Datenschutzgrundverordnung
Alles neu, alles anders? – Ein Überblick Teil 4
Die neue Datenschutzgrundverordnung, die ab dem 25. Mai 2018 das bisher bestehende Bundesdatenschutzgesetz (BDSG) ablöst. bringt viele Neuerungen mit sich. Über die meisten dieser Änderungen haben wir Sie an dieser Stelle bereits informiert.
Zu den wichtigsten Änderungen gehören die Vorschriften zu den Pflichten bei Datenpannen. Bisher galt die Pflicht zur Meldung solcher Datenpannen an die Aufsichtsbehörden nur, wenn unrechtmäßig Daten übermittelt wurden oder Dritte in sonstiger Weise unrechtmäßig Kenntnis von Daten erlangt haben und wenn schwerwiegende Beeinträchtigungen für die Rechte der Betroffenen drohten. Diese Meldepflichten wurden nun stark erweitert. Die gelten nicht nur, wenn Dritte unbefugten Zugriff auf Daten hatten, sondern für jeden Fall einer rechtswidrigen Datenpanne. Hierunter fällt auch jeder Verlust oder Zerstörung oder Veränderung von Daten. Dies gilt unabhängig von der Art der Daten – auch nicht sensitive Daten sind umfasst – und davon, ob die Änderung oder der Verlust nur versehentlich geschah. Eine Ausnahme gilt nur, wenn Risiken für die Rechte der Betroffenen unwahrscheinlich sind. Die Meldung an die Aufsichtsbehörden hat möglichst innerhalb von 72 Stunden zu erfolgen. Kann diese Frist nicht eingehalten werden, so ist die Verzögerung zu begründen. Die Meldung muss die Datenpanne ausführlich beschreiben, sie hat eine Einschätzung der Auswirkungen auf den Betroffenen einschließlich der Maßnahmen zur Begrenzung dieser Auswirkungen zu enthalten.
Grundsätzlich gilt, dass es bei jeder Datenpanne einer Abschätzung bedarf, ob ein Risiko für Betroffene besteht oder nicht. Daher ist grundsätzlich jede Datenpanne zu dokumentieren, auch wenn im Ergebnis eine Meldung an die Aufsichtsbehörden nicht erfolgt. Bei einem voraussichtlich hohen Risiko für den Betroffenen ist dieser neben der Aufsichtsbehörde zu informieren.
Sofern den Meldepflichten nicht nachgekommen wird, drohen erhebliche Bußgelder. Hier liegt eine der wesentlichen Änderungen der DS-GVO gegenüber dem bisher geltenden Recht. Die Höchstgrenze der Bußgelder lag bei. 300.000 EUR. Diese Höchstgrenze wird erheblich erhöht. Für Verstöße gegen die DS-GVO können nunmehr Bußgelder von bis zu 20 Mio. EUR oder bis zu 4% des weltweiten Jahresumsatzes verhängt werden. Dies bedeutet nicht, dass die Unternehmen für den kleinsten Verstoß in den Ruin getrieben werden. Wenn allerdings der Höchstsatz ansteigt, so kann davon ausgegangen werden, dass auch Bußgelder für kleinere Verstöße ab Mai 2018 erheblich höher ausfallen. Die Aufsichtsbehörden haben hier einen Ermessensspielraum, der sich jedoch auch an den Höchstgrenzen orientiert, so dass damit zu rechnen ist, dass die verhängten Bußgelder insgesamt drastisch erhöht werden. Lassen Sie es nicht darauf ankommen. Ziehen Sie rechtzeitig Ihren Anwalt für Datenschutz zu Rate. Nehmen Sie Kontakt mit uns auf, wir beraten Sie gerne.
Rechtsanwältin Friederike Lemme, April 2018 · Berlin