Artikel 33 der Datenschutz-Grundverordnung (DSGVO) behandelt die Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten. Diese Verpflichtung betrifft alle Verantwortlichen, die personenbezogene Daten verarbeiten, sowie Auftragsverarbeiter, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten.
Die Meldepflicht nach Artikel 33 DSGVO besteht dann, wenn eine Verletzung des Schutzes personenbezogener Daten vorgefallen ist. Hierunter fallen alle Ereignisse, bei denen personenbezogene Daten verloren gegangen sind, gestohlen wurden oder in sonstiger Weise unrechtmäßig Dritten zugänglich gemacht wurden. Dazu gehören beispielsweise Hacks, Datenlecks oder Verluste von Datenträgern, die personenbezogene Daten enthalten.
Die Meldepflicht besteht unverzüglich nach Kenntnisnahme der Verletzung des Schutzes personenbezogener Daten. Verantwortliche müssen daher schnellstmöglich Maßnahmen ergreifen, um den Vorfall zu untersuchen und weitere Verletzungen zu vermeiden. Hierzu gehört auch die Einschaltung eines Datenschutzbeauftragten.
Die Meldepflicht nach Artikel 33 DSGVO umfasst folgende Angaben:
- Art der Verletzung des Schutzes personenbezogener Daten: Hierbei handelt es sich um eine Beschreibung des Vorfalls, der zur Verletzung des Schutzes personenbezogener Daten geführt hat. Dies kann beispielsweise ein Hack oder ein Verlust von Datenträgern sein.
- Umfang der Verletzung des Schutzes personenbezogener Daten: Hierunter fallen alle betroffenen personenbezogenen Daten sowie die Anzahl der betroffenen Personen. Es ist wichtig, den Umfang der Verletzung genau zu beschreiben, um die betroffenen Personen informieren zu können.
- Betroffene Personengruppen: Hierunter fallen alle betroffenen Personen, die von der Verletzung des Schutzes personenbezogener Daten betroffen sind. Hierbei ist es wichtig, zwischen verschiedenen Personengruppen zu unterscheiden, wie beispielsweise Kunden, Mitarbeiter oder Lieferanten.
- Kontaktdaten des Datenschutzbeauftragten: Hierunter fallen die Kontaktdaten des Datenschutzbeauftragten, der von dem Verantwortlichen eingeschaltet wurde. Dieser ist für die Untersuchung des Vorfalls zuständig und kann betroffene Personen bei Fragen oder Anliegen unterstützen.
- Empfohlene Maßnahmen zur Abhilfe: Hierbei handelt es sich um die von dem Verantwortlichen empfohlenen Maßnahmen zur Abhilfe der Verletzung des Schutzes personenbezogener Daten. Diese können beispielsweise die Änderung von Passwörtern oder die Anpassung von Sicherheitsvorkehrungen sein.
Die Meldepflicht nach Artikel 33 DSGVO gilt nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich kein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Hierunter fallen beispielsweise Verletzungen des Schutzes personenbezogener Daten, die nur sehr geringfügige Daten betreffen oder bei denen die betroffenen Personen nicht identifizierbar sind.
Wenn die Meldepflicht nach Artikel 33 DSGVO besteht, müssen Verantwortliche die zuständige Aufsichtsbehörde informieren. In Deutschland ist dies beispielsweise der Landesbeauftragte für den Datenschutz und die Informationsfreiheit.
Verantwortliche müssen die zuständige Aufsichtsbehörde unverzüglich informieren, spätestens jedoch innerhalb von 72 Stunden nach Kenntnisnahme der Verletzung des Schutzes personenbezogener Daten. Ist dies nicht möglich, müssen die Gründe hierfür angegeben werden.
Zusätzlich müssen Verantwortliche betroffene Personen über die Verletzung des Schutzes personenbezogener Daten informieren, wenn diese Verletzung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Benachrichtigung muss unverzüglich erfolgen, es sei denn, es liegen Ausnahmen vor, die in Artikel 34 DSGVO genannt sind.