Meldepflicht bei Datenschutzvorfällen – Die 72-Stunden-Regel

Eine Verletzung des Schutzes personenbezogener Daten – im Volksmund als „Datenpanne" bezeichnet – kann jeden Verantwortlichen treffen. Ob gestohlener Laptop, versehentlich versandter E-Mail-Anhang oder Ransomware-Angriff: Die DSGVO verpflichtet in solchen Fällen zur schnellen Reaktion. Art. 33 DSGVO gibt dafür eine klare Frist vor: 72 Stunden.

Was ist eine Verletzung des Schutzes personenbezogener Daten?

Art. 4 Nr. 12 DSGVO definiert die Verletzung des Schutzes personenbezogener Daten als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden."

Diese Definition ist weit gefasst. Sie umfasst nicht nur externe Angriffe, sondern auch interne Fehler: ein versehentlich gelöschtes Backup, eine E-Mail an den falschen Empfänger, ein verlorenes USB-Laufwerk oder ein Einbruch in die Büroräume mit Zugriff auf Akten.

Die 72-Stunden-Frist

Nach Art. 33 Abs. 1 DSGVO muss der Verantwortliche eine meldepflichtige Verletzung „unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde" der zuständigen Aufsichtsbehörde melden. Die Frist beginnt ab dem Zeitpunkt, zu dem der Verantwortliche von der Verletzung Kenntnis erlangt.

Wichtig: Die Frist beginnt nicht erst, wenn alle Details der Verletzung bekannt sind. Sobald eine Person innerhalb der Organisation von dem Vorfall erfährt, beginnt die Uhr zu laufen. Wenn die Meldung nicht innerhalb von 72 Stunden erfolgen kann, muss sie zusammen mit einer Begründung für die Verzögerung übermittelt werden.

Wann besteht eine Meldepflicht?

Die Meldepflicht besteht nach Art. 33 Abs. 1 DSGVO, wenn die Verletzung „voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt." Verletzungen, die voraussichtlich kein Risiko darstellen, müssen nicht gemeldet werden – müssen aber intern dokumentiert werden (Art. 33 Abs. 5 DSGVO).

Die Bewertung des Risikos ist eine der schwierigsten Aufgaben im Umgang mit Datenpannen. Faktoren, die das Risiko erhöhen, sind unter anderem: die Art der betroffenen Daten (besonders sensible Daten erhöhen das Risiko), die Anzahl der betroffenen Personen, die Identifizierbarkeit der Betroffenen und die möglichen Folgen für die Betroffenen (Diskriminierung, Identitätsdiebstahl, finanzielle Schäden).

Inhalt der Meldung

Die Meldung nach Art. 33 Abs. 3 DSGVO muss mindestens folgende Informationen enthalten: eine Beschreibung der Art der Verletzung, die Kategorien und die ungefähre Zahl der betroffenen Personen und Datensätze, die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung.

Benachrichtigung der Betroffenen

Neben der Meldung an die Aufsichtsbehörde kann auch eine Benachrichtigung der betroffenen Personen erforderlich sein. Nach Art. 34 DSGVO muss der Verantwortliche die betroffene Person unverzüglich benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für ihre Rechte und Freiheiten zur Folge hat. Die Schwelle für die Benachrichtigung der Betroffenen ist damit höher als für die Meldung an die Aufsichtsbehörde.

Praktische Vorbereitung

Die 72-Stunden-Frist ist kurz. Organisationen, die nicht vorbereitet sind, werden sie kaum einhalten können. Eine gute Vorbereitung umfasst: einen internen Meldeprozess für Datenpannen, klare Verantwortlichkeiten, vorbereitete Meldeformulare und regelmäßige Schulungen der Mitarbeitenden. Als externer Datenschutzbeauftragter bin ich im Ernstfall sofort erreichbar und begleite den gesamten Meldeprozess.