Artikel 33 EU-DSGVO: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

  1. Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

  2. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

  3. Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:

    1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personen bezogenen Datensätze;

    2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

    3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

    4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

  4. Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

  5. Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels.

Kommentar zu Art. 33 DSGVO

Art. 33 DSGVO beinhaltet eine Meldepflicht für eine Verletzung des Schutzes personenbezogener Daten bei der zuständigen Aufsichtsbehörde. Hierbei nennt die Norm - im Gegensatz zur alten Fassung des Bundesdatenschutzgesetzes - keine bestimmten meldungswürdigen Verstöße, sondern spricht eine allgemeingültige Meldepflicht aus. Allerdings besteht eine Ausnahme für solche Verstöße, die voraussichtlich nicht zu einem Risiko für die betroffene Person führen. In diesen Fällen ist eine Meldung entbehrlich.

Liegt ein solcher Fall nicht vor, so sind in der Folge weitere Maßnahmen zu treffen. So müssen Sie beispielsweise unter Umständen alle betroffenen Personen informieren, einen Plan zur Folgenbeseitigung und Prävention entwickeln sowie den gesamten Vorgang dokumentieren. Ein Verstoß gegen die DSGVO und weitere datenschutzrechtliche Normen zieht also weitreichende Folgen nach sich. Aus diesem Grund ist die rechtzeitige und eingehende Auseinandersetzung mit diesem Thema, unter Umständen durch das Hinzuziehen eines professionellen Datenschutzbeauftragten, von großer Bedeutung.

Art. 33 DSGVO - Anforderungen an die Meldung


In Art. 33 DSGVO und insbesondere im dritten Absatz sind zahlreiche Anforderungen an die Meldung, dass datenschutzrechtliche Regulierungen verletzt wurden, genannt. Wenn es also zu einem Verstoß gekommen ist, sind folgende Punkte zu beachten:

  1. Meldung durch den Verantwortlichen an die zuständige Aufsichtsbehörde (in Deutschland die jeweiligen Landes- und Bundesdatenschutzbeauftragten)

  2. Unverzügliche Meldung, d.h. möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung (bei späteren Meldungen inklusive einer Begründung für die Verspätung)

  3. Unverzügliche Meldung durch den Auftragsverarbeiter an den Verantwortliche

  4. Die Meldung sollte Folgendes beinhalten:

  • Art der Verletzung, betroffene Daten und ungefähre Anzahl der betroffenen Personen

  • Namen und Kontaktdaten des Datenschutzbeauftragten,

  • Wahrscheinliche Folgen der Verletzung

  • Geplante oder bereits getroffene Maßnahmen zur Behebung der Verletzung

Welche Verstöße sind an die Aufsichtsbehörde zu übermitteln?


Weiter oben wurde bereits beschrieben, dass eine Meldung dann nicht notwendig ist, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Hier kommt es demnach nicht auf das Risiko für die Verletzung von Firmengeheimnisse an, sondern die betroffene Person steht im Vordergrund. Somit muss die Aufsichtsbehörde im Normalfall nicht unterrichtet werden, wenn sich beispielsweise ein Besucher Ihrer Firma nicht in die Besucherliste eingetragen hat, jedoch zu keiner Zeit in Kontakt mit personenbezogenen Daten gekommen ist. Andererseits ist es bei Unsicherheiten aufgrund der unter Umständen hohen Strafen, die bei Verstößen gegen datenschutzrechtliche Vorschriften drohen, sicherlich empfehlenswert, die Aufsichtsbehörde auch bei kleineren Verstößen zu informieren. So gehen Sie auf Nummer sicher.

Verletzungen personenbezogener Daten, die Sie melden sollten, sind etwa:

  • Hackerangriffe

  • Diebstahl Ihrer Firmenakten oder IT-Geräte

  • Durch Transportunternehmen verlorengegangene Sendungen

  • Virtueller Datenklau

  • Weitergabe firmeninterner Daten durch Mitarbeiter

  • Einsicht in Akten, die personenbezogene Daten enthalten durch unautorisierte Mitarbeiter

  • Montage von Überwachungskameras

  • Unvollständige Datenschutzerklärung

  • Veröffentlichung von Daten Ihrer Kunden trotz fehlender Einwilligung im Internet

Was bedeutet Art. 33 DSGVO für Ihr Unternehmen?


Art. 33 DSGVO bedeutet für Ihr Unternehmen vor allen Dingen, dass Sie im Falle einer Verletzung des Schutzes personenbezogener Daten schnell handeln müssen. Vor allem die 72-stündige Frist zur Meldung ist einzuhalten. Daneben müssen Berichte verfasst, Interventionspläne ausgearbeitet und betroffene Mitarbeiter unterrichtet werden. Je nach Schwere des Verstoßes kann dies viel Zeit in Anspruch nehmen. Zudem wird Ihr Unternehmen künftig von der Aufsichtsbehörde voraussichtlich genauer unter die Lupe genommen. Damit Sie für diesen Fall gut vorbereitet sind und eine nach Maßgaben des fünften Absatzes der DSGVO ausreichende Dokumentation der Vorgänge stattfindet, empfiehlt sich die Einsetzung eines professionellen Datenschutzbeauftragten. Dieser berät zudem im Vorfeld über datenschutzrechtliche Maßnahmen, so dass sich Verstöße vielfach vermeiden lassen.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr