In der DSGVO normierte Meldepflicht bei einem Datenschutzvorfall

Von Jan Frederik Strasmann
Letzte Aktualisierung am: 12. Februar 2025
Geschätzte Lesezeit: 6 Minuten

Wann sind Datenpannen zu melden?

Laut DSGVO besteht Meldepflicht bei einer Datenpanne, wenn diese mit Risiken für die betroffenen Personen verbunden ist.

Sie sitzen im Zug und jemand stiehlt Ihren Laptop samt USB-Stick. Personenbezogene Daten gelangen durch den Fehler eines Mitarbeiters an die Öffentlichkeit. Hacker haben ihr Unternehmen angegriffen. Derartige Datenpannen können sehr riskant werden für die betroffenen Personen, insbesondere wenn deren Daten in die falschen Hände gelangen.

Solche Fälle müssen schnell aufgeklärt und Maßnahmen eingeleitet werden, um die Risiken für die Betroffenen zu minimieren und um mögliche Schäden abzuwenden. Deshalb sieht Art. 33 DSGVO eine Meldepflicht für jede Datenpanne bzw. für jede „Verletzung des Schutzes personenbezogener Daten“ vor, die mit den erwähnten Gefahren einhergehen.

Inhaltsverzeichnis:

FAQ: In der DSGVO normierte Meldepflicht

Wann verstößt man gegen Datenschutz?

Ein Verstoß gegen den Datenschutz im Sinne des Art. 33 DSGVO meint eine „Verletzung des Schutzes personenbezogener Daten“, zum Beispiel indem Hacker solche Daten bei einem Cyber-Angriff abschöpfen. An dieser Stelle erklären wir den Begriff ausführlicher.

Ist eine Datenschutzverletzung meldepflichtig?

Ja. Art. 33 DSGVO schreibt eine Meldepflicht für jede Datenschutzverletzung in Bezug auf personenbezogene Daten vor, vorausgesetzt, dass diese Panne mit einem Risiko für den/die Betroffenen einhergeht. Der Vorfall ist der zuständigen Aufsichtsbehörde zu melden. Darüber hinaus schreibt § 65 BDSG eine Meldung an den oder die Bundesbeauftragten vor.

Wie schnell muss ein Datenleck gemeldet werden?

Die Meldung hat unverzüglich, also ohne schuldhaftes Zögern, und möglichst innerhalb von 72 Stunden ab Bekanntwerden der Datenschutzverletzung erfolgen.

Was passiert, wenn man eine Datenpanne nicht meldet?

Ein Verstoß gegen die Meldepflicht gemäß DSGVO kann ein Bußgeldverfahren nach sich ziehen und laut Art. 83 IV a) DSGVO zu einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweit erzielten Vorjahresumsatzes führen.

Begriff der Datenschutzverletzung im Sinne des Art. 33 DSGVO

Die bei einem Datenschutzvorfall geltende Meldepflicht soll helfen, Betroffene vor den Risiken zu schützen und Schäden abzuwenden.

Als Datenpanne gilt jede „Verletzung des Schutzes personenbezogener Daten“ in Sinne des Art. 4 Nr. 12 DSGVO. Einfach ausgedrückt, ist damit jedes versehentliche oder beabsichtigte Fehlverhalten gemeint, das zum Verlust, zur Vernichtung, Veränderung, unbefugten Offenlegung oder zum unbefugten Zugriff auf diese Daten führt.

In solchen Fällen besteht laut DSGVO eine Meldepflicht gegenüber der Aufsichtsbehörde. Typische Beispiele für derartige Datenpannen sind:

Verlust von Kommunikationsgeräten und mobilen Datenträgern wie Smartphone, Tablet, Laptop, USB-Stick, etwa durch Diebstahl oder Vergessen bzw. Liegenlassen an öffentlichen Plätzen
Verlust, Diebstahl oder unsicherer Lagen von Akten, Unterlagen und Dokumenten
Versenden von personenbezogenen Daten an den falschen Empfänger
Akten oder Datenträger werden nicht datenschutzgerecht entsorgt und geraten in die falschen Hände, wie beispielsweise im Falle von Betriebsspionage
Unbefugte bzw. Kriminelle gelangen durch einen Hacker-Angriff oder Phishing an personenbezogene Daten

Allerdings besteht die in der DSGVO normierte Meldepflicht nur in jenen Fällen, in denen die Datenschutzverletzung zu einem Risiko für die Freiheiten und Rechte der betroffenen Personen führt. Besteht sogar ein hohes Risiko, muss der Verantwortliche laut Art. 34 DSGVO außerdem die Betroffenen benachrichtigen. Diese Benachrichtigungspflicht entfällt insbesondere, wenn der Verantwortliche „geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen“ und die personenbezogenen Daten z. B. verschlüsselt hat.

Die Verantwortlichen unterliegen einer Dokumentationspflicht und müssen jeden Datenschutzvorfall genau dokumentieren und anschließend bewerten, ob laut Datenschutz eine Meldepflicht besteht oder nicht.

In Art. 33 III DSGVO normierte Meldepflicht: Inhalt und Frist

Meldepflicht: Der Datenschutzverstoß muss laut DSGVO innerhalb von 72 Stunden gemeldet werden.

Art. 33 III DSGVO listet genau auf, welche Informationen die Meldung mindestens enthalten muss:

Art der Datenschutzverletzung, z. B. Hackerangriff oder Diebstahl
Kategorien der betroffenen Personen, z. B. Mitarbeiter, Kunden etc.
wie viel Personen sind betroffen?
Kategorie der betroffenen Datensätze
Name und Anschrift des Datenschutzbeauftragten
voraussichtliche Folgen des Datenschutzverstoßes, beispielsweise finanzielle Schäden
bereits ergriffene oder geplante Schutzmaßnahmen
weitere noch denkbare Gegenmaßnahmen

Auch wenn die in der DSGVO normierte Meldepflicht keine Vorgaben dazu macht, wie diese Meldung erfolgen soll, ist ein Brief per Einschreiben oder Fax ratsam. So können die Verantwortlichen nachweisen, dass sie ihren Pflichten nachgekommen sind. Auch empfiehlt es sich, die Aufsichtsbehörde zuvor telefonisch zu informieren.

Laut DSGVO sind meldepflichtige Vorfälle unverzüglich zu melden, möglichst aber innerhalb von 72 Stunden nach Bekanntwerden der Datenpanne. Unverzüglich bedeutet, so schnell wie möglich bzw. ohne schuldhaftes Zögern.

Insbesondere bei sehr komplexen oder großen Datenpannen brauchen die Verantwortlichen mitunter mehr Zeit um, alle Informationen zusammenzutragen und zu ermitteln. Sind sie deshalb nicht in der Lage, alle Informationen auf einmal zu melden, so können sie sie auch in mehreren Schritten zur Verfügung stellen, sofern es dadurch nicht zu weiteren unangemessenen Verzögerungen kommt.

Art. 83 DSGVO: Verstoß gegen Meldepflicht kann zu millionenschwerem Bußgeld führen

Verstoßen die Verantwortlichen nach einem Datenschutzverstoß gegen die Meldepflicht, so kann die Aufsichtsbehörde ein eine Geldbuße von bis zu 10 Millionen Euro oder bei einem Unternehmen von bis zu 2 % des weltweit erzielten Vorjahresumsatzes verhängen – je nachdem, welcher Betrag höher ausfällt.

Die Behörde hat bei der Verhängung des Bußgeldes einen gewissen Ermessensspielraum. Sie wird dabei unter anderem folgende Dinge berücksichtigen:

Art und Schwere sowie Dauer des Verstoßes
Vorsatz oder Fahrlässigkeit
mögliche frühere Verstöße
zur Schadensminderung getroffene Maßnahmen
Grad der Verantwortung
bisherige Zusammenarbeit mit der Aufsichtsbehörde zur Abhilfe und Schadensminderung
Kategorie der betroffenen personenbezogenen Daten
Art und Weise, wie die Aufsichtsbehörde von dem Vorfall erfahren hat

Alte Rechtslage bis 2017: Meldepflicht nach dem BDSG für automatisierte Datenverarbeitung

§ 4d BDSG a. F. regelte die Meldepflicht von nicht-öffentlichen Stellen bei einer automatisierten Datenverarbeitung.

Vor Inkrafttreten der DSGVO galt eine Meldepflicht für die automatisierte Datenverarbeitung durch nicht-öffentliche Stellen:

Wenn Unternehmen bei ihrer Arbeit automatisiert personenbezogene Daten nutzten, erhoben oder verarbeiteten, mussten sie ihrer Meldepflicht nach § 4d Bundesdatenschutzgesetz alte Fassung (BDSG a. F.) nachkommen.

Sie waren demnach verpflichtet, die automatisierte Datenverarbeitung und die damit verbundene Speicherung personenbezogener Daten bei der zuständigen Datenschutzbehörde zu melden.

Ohne eine entsprechende Meldung durften große Datensammlungen mit personenbezogenen Daten weder angelegt noch verwendet werden.

Diese Meldepflicht erleichterte es dem Gesetzgeber, die Regelungen zum Datenschutz so umzusetzen, wie es in der EU-Datenschutz-Grundverordnung (EU-DSGVO) vorgeschrieben ist. Inzwischen ist der alte § 4d BDSG ersatzlos weggefallen. Die nachfolgenden Abschnitte erläutern diese alte Rechtslage.

Meldepflicht nach § 4d BDSG a. F.

Grundsätzlich galt diese Datenschutz-Meldepflicht für alle Verfahren, bei denen personenbezogenen Daten automatisiert verarbeitet wurden, insbesondere für:

die Verwaltung von Kunden- und Lieferantendaten, z. B. für einen Onlineshop
die Verwaltung von Bank- und Kreditdaten eines Kreditinstituts
die Erfassung von Telefondaten
die Videoüberwachung

Diese Meldepflicht galt nach § 4d Absatz 4 BDSG a. F. ausnahmslos für automatisierte Verarbeitungsverfahren, wenn personenbezogene Daten geschäftsmäßig aus folgenden Gründen gespeichert wurden:

zum Zweck der Übermittlung nach § 29 BDSG a. F. (Hierunter fielen insbesondere der Adresshandel, Werbung und Auskunfteien.)
für die anonymisierte Übermittlung im Sinne von § 30 BDSG a. F.
für die Markt- und Meinungsforschung gemäß § 30 a BDSG a. F.

Wer musste melden?

Zur Meldung verpflichtet war immer die Stelle, die für die Verarbeitung der personenbezogenen Daten verantwortlich war.

Unternehmen konnten diese Pflicht nicht dadurch abwälzen, dass sie ein anderes Dienstleistungsunternehmen mit der Datenverarbeitung beauftragten. Dies geht aus § 11 BDSG a. F. hervor. Das heißt, die Meldepflicht zum Datenschutz blieb auch im Falle einer solchen Beauftragung bestehen.

Wann musste die Meldung erfolgen?

Die Meldung hatte bereits vor der Inbetriebnahme der entsprechenden Datenverarbeitung zu erfolgen. Auch Änderungen zu den meldepflichtigen Verfahren und deren Beendigung mussten vorher gemeldet werden.

Ausnahmen von der Meldepflicht zum Datenschutz nach § 4d BDSG a. F.

Die Meldepflicht nach dem BDSG a.F. bestand bereits vor Inbetriebnahme der Datenverarbeitung.

Wurden personenbezogene Daten zu anderen Zwecken gespeichert bzw. verarbeitet, konnte diese Verpflichtung unter bestimmten Voraussetzungen entfallen. Hatte die verantwortliche Stelle einen betrieblichen Datenschutzbeauftragten (DSB) bestellt, so entfiel diese Meldepflicht nach § 4 Absatz 2 BDSG a. F.

Eine weitere Ausnahme sah Absatz 3 dieser Vorschrift vor. Sie griff unter folgenden Voraussetzungen:

Die verantwortliche Stelle erhob, verarbeitete oder nutzte diese Daten nur für eigene Zwecke.
In der Regel waren maximal neun Personen mit der Erhebung, Nutzung oder Verarbeitung beschäftigt.
Es lag eine Einwilligung der betroffenen Personen vor.
Die Erhebung, Nutzung oder Verarbeitung diente der Begründung, Durchführung oder Beendigung eines Schuldverhältnisses mit dem Betroffenen.

Was musste gemeldet werden – Der Inhalt der Meldung

Der Inhalt der Meldung ergab sich aus § 4e BDSG a. F. Danach waren folgende Angaben zu machen:

Firmenname der verantwortlichen Stelle
Name der Firmenleitung und idealerweise Name des Datenschutzbeauftragten
Anschrift der Firma bzw. verantwortlichen Stelle
Zweck der Datenverarbeitung, -erhebung oder -nutzung
Übersicht zu den betroffenen Personen, deren Daten erfasst werden
Empfänger der Daten bzw. Kategorien von Empfängern
Fristen für die Datenlöschung
Datenübermittlung an Drittstaaten, soweit diese geplant sind
eine Beschreibung zur Datensicherheit bzw. zu getroffenen Sicherheitsmaßnahmen

Verletzung der Meldepflicht

Verstöße gegen die Pflicht stellten eine Ordnungswidrigkeit dar. Wenn ein Verantwortlicher seine Meldung unterließ oder ihr zu spät bzw. nur unvollständig nachkam, riskierte er ein Bußgeld in Höhe von 50.000 Euro.

Über den Autor

Jan Frederik Strasmann

Jan Frederik Strasmann absolvierte sein Studium an der Universität Bremen. Nach seinem Referendariat am OLG Celle erwarb er in Dublin seinen Master of Laws (LL. M.). Seit 2014 ist er als Rechtsanwalt zugelassen. Als Autor für bussgeldkatalog.org befasst er sich u. a. mit Einsprüchen zum Bußgeldbescheid.

Bildnachweise

Konnten wir Ihnen weiterhelfen? Dann bewerten Sie uns bitte:

(73 Bewertungen, Durchschnitt: 4,30 von 5)

Diese Themen könnten Sie auch interessieren: