Das Thema Datenschutz ist für Unternehmen schon seit Jahren ein heikles Thema. Denn die Kundendaten und das Wissen um das Verbraucherverhalten ist für viele Unternehmen mehr Wert als bares Geld, etwa wenn es um die Akquise neuer Kunden geht. Europaweit gilt seit Mai 2018 europaweit die neue Datenschutz-Grundverordnung, die das Datenschutzrecht innerhalb der Europäischen Union vereinheitlicht hat. Vor allem hinsichtlich der Meldepflicht von Datenschutzverletzungen gab es in diesem Zusammenhang umfangreiche neue Regelungen.

Was bedeutet Datenschutzverletzung?

Laut Datenschutzgrundverordnung liegt eine Datenschutzverletzung vor, wenn personenbezogene Daten vernichtet, verloren oder verändert werden. Aber auch wenn die personenbezogenen Daten unbefugten Personen offengelegt wurden oder diese Zugang zu den sensiblen Daten hatten. Dabei ist es einerlei, ob die Datenschutzverletzung unrechtmäßig oder unbeabsichtigt erfolgt ist. Mehr dazu auf der Webseite von Advokatur Héritier & Partner AG.

Wann besteht eine Meldepflicht?

Grundsätzlich sind Unternehmen dazu verpflichtet, jegliche Datenschutzverletzung personenbezogener Daten an die für sie zuständige Aufsichtsbehörde zu melden. Diese Meldung muss unverzüglich und innerhalb einer Frist von 72 Stunden erfolgen. Ist es den Unternehmen nicht möglich, diese Frist einzuhalten, müssen sie begründen können, warum es zu dieser Verzögerung gekommen war.

Diese Meldung muss beinhalten, um welche Art von Datenschutzverletzung es sich handelte. Ferner müssen die Unternehmen angeben, wie viele Datensätze davon ungefähr betroffen sind. Des weiteren müssen die Unternehmen auch den Datenschutzbeauftragten benennen und melden, wie dieser erreicht werden kann. Des weiteren müssen die Unternehmen beschreiben, welche Folgen die Datenschutzverletzung möglicherweise für die Betroffenen haben könnte, und welche Maßnahmen ergriffen werden, um derartige Datenschutzverletzungen künftig zu vermeiden.

Wann müssen die Betroffenen benachrichtigt werden?

Sofern die Art der Datenschutzverletzung ein hohes Risiko birgt, Freiheiten oder Rechte der Betroffenen einzuschränken, müssen auch diese benachrichtigt werden. Auch diese Meldung muss unverzüglich erfolgen. Auch in der Meldung an die Betroffenen müssen die Unternehmen darlegen, welche Folgen dies möglicherweise für sie hat und wie sie die Datenschutzverletzung beheben wollen. Und auch der Betroffene muss erfahren, wer der Datenschutzbeauftragte ist und wie er ihn erreichen kann.

Was passiert, wenn die Meldepflicht nicht eingehalten wird?

Laut Datenschutzgrundverordnung bleibt das Nichteinhalten der Meldepflicht für die Unternehmen nicht ohne unangenehme Folgen. Sie müssen damit rechnen, dass ein Bußgeld verhängt wird, dessen Höhe maximal zwei Prozent des weltweiten Umsatzes aus dem vergangenen Geschäftsjahr erreichen kann.