Datenschutzverletzungen: Tausende von Meldungen aufgrund der DSGVO

Foto: Beschädigtes GlasDie neue Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass Datenschutzverletzungen der zuständigen Aufsichtsbehörde und allenfalls auch den betroffenen Personen gemeldet werden müssen (Art. 33 f. DSGVO).

Mit der Geltung der DSGVO seit dem 25. Mai 2018 wurden teilweise schon bestehende Meldepflichten verschärft. Auch Unternehmen und andere Verantwortliche ausserhalb von Europäischer Union (EU) und Europäischem Wirtschaftsraum (EWR) einschliesslich Liechtenstein können betroffen sein. So gibt es bereits einzelne Schweizer Unternehmen, die einen «Data Breach» gemäss DSGVO an Aufsichtsbehörden in der EU melden mussten.

In der Folge kam es in den letzten Wochen zu einem deutlichen Anstieg von Meldungen unter anderem in Deutschland, wie Netzpolitik.org meldet.

Tausende von Meldungen allein in Deutschland und Grossbritannien

Der deutsche Bundesbeauftragte für den Datenschutz (BfDI), bei dem die Meldungen an deutsche Aufsichtsbehörden zusammenlaufen, erhielt allein im ersten Monat der Geltung der DSGVO über 1’000 Meldungen!

Auch in Grossbritannien erhält das zuständige Information Commissioner’s Office (ICO) viele Meldungen. Im Juni 2018 wurden – so berichtet Netzpolitik.org – knapp 1’750 Meldungen verzeichnet.

Deutschland: Möglichkeit für Online-Meldung von Datenschutzverletzungen

Meldungen müssen unverzüglich – möglichst innerhalb von 72 Stunden – erfolgen. Bei Verantwortlichen im Ausland können sich die Aufsichtsbehörden im weiteren Verfahren auch an den obligatorischen Datenschutz-Vertreter gemäss Art. 27 DSGVO wenden.

Der BfDI stellt ein Formular für die Meldung von Datenschutzverstößen zur Verfügung und hat ein Informationsblatt veröffentlicht.

Betroffene Personen, die sich über Datenschutzverletzungen von Unternehmen und anderen Verantwortlichen beschweren möchten, finden beim BfDI ein Formular zur Online-Beschwerde sowie ein Informationsblatt.

Schweiz: Meldepflichten kommen erst mit dem revidierten Datenschutzgesetz

Das heutige Datenschutzgesetz (DSG) in der Schweiz kennt keine Meldepflichten bei Datenschutzverletzungen. Hingegen sieht der vorliegende Entwurf für das revidierte DSG in Art. 22 die «Meldung von Verletzungen der Datensicherheit» vor:

«1 Der Verantwortliche meldet dem Beauftragten so rasch als möglich eine Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.

2 In der Meldung nennt er mindestens die Art der Verletzung der Datensicherheit, deren Folgen und die ergriffenen oder vorgesehenen Massnahmen.

3 Der Auftragsbearbeiter meldet dem Verantwortlichen so rasch als möglich eine Verletzung der Datensicherheit.

4 Der Verantwortliche informiert die betroffene Person, wenn es zu ihrem Schutz erforderlich ist oder der Beauftragte es verlangt.»

Die Revision verzögert sich. Es ist deshalb noch nicht absehbar, wann das revidierte DSG in Kraft treten wird.

Offenlegung: Die Verlinkung von «Datenschutz-Vertreter» führt zu «Datenschutzpartner», einem Angebot der Papiertiger GmbH für die Datenschutz-Vertretung in der EU, an der Rechtsanwalt Martin Steiger unter anderem als Mitgründer beteiligt ist.

Bild: Pixabay / skeeze, Public Domain-ähnlich.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.