DSGVO Update 3.0 am 03.02.2020: Der richtige Umgang mit Datenpannen / Bußgeldpraxis

„Nicht jede Datenpanne muss gemeldet werden! Vielmehr ist die Meldepflicht im Einzelfall genau zu prüfen.“ – insoweit waren sich Dr. Réne Meis (LDI NRW) und Prof. Dr. Lüdemann (NDZ HS Osnabrück) einig. Und auch sonst bestand – abgesehen von der Frage, wie lange 72 Stunden dauern – weitestgehend Konsens zwischen den Vortragenden. Kritik übte Prof. Lüdemann am neuen Konzept der Bußgeldbemessung der deutschen Aufsichtsbehörden.

DSGVO Update 3.0 am 3. Februar 2020

Auf unserer diesjährigen DSGVO-Update-Veranstaltung referierten Dr. Réne Meis von der Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI NRW) und Prof. Dr. Volker Lüdemann vom Niedersächsischen Datenschutzzentrum der Hochschule Osnabrück zum Thema „Datenpannen und Bußgeldpraxis“. Zunächst gab Prof. Lüdemann wichtige Hinweise, was aus Unternehmenssicht im Falle einer Datenpanne unbedingt beachtet werden solle. Er zeigte dabei insbesondere zahlreiche Stellschrauben, welche Unternehmen im Falle einer Datenpanne zu ihren Gunsten nutzen könnten. Um Beispiele zu nennen: Zeitpunkt der Kenntniserlangung der Datenpanne, Höhe des Risikos für die Rechte und Freiheiten natürlicher Personen sowie die Berechnung der 72-Stunden-Frist. Mit entsprechender juristischer Unterstützung käme man nach sorgfältiger Prüfung einer Datenpanne häufig zum Ergebnis, dass überhaupt keine Meldepflicht bestehe.

Dr. Réne Meis gab anschließend Einblicke in die Praxis des LDI NRW im Umgang mit Datenpannen. Mit seinem Vorredner war er sich einig: Es sind ausschließlich solche Datenpannen der Aufsichtsbehörde zu melden, die voraussichtlich zu einem mittleren oder hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen. Allein im Jahr 2019 gingen 2.227 Meldungen von Datenpannen bei der LDI NRW ein. Eine Zahl, die im Verhältnis zur personellen Besetzung der LDI von etwa 60 Mitarbeitern, die große Herausforderung der Behörde zeigt. Insofern ist die Meldung von „Bagatelldatenpannen“ weder im Interesse der LDI NRW noch im Interesse des Datenschutzes. Wann das Risiko für die Rechte und Freiheiten natürlicher Personen so hoch ist, dass eine Meldung alternativlos ist, ist allein durch die verantwortlichen Unternehmen abzuwägen.

Frist zur Meldung von Datenpannen

Die Frage „Wie lange dauern 72 Stunden“ wurde von den Rednern unterschiedlich beantwortet. Nach Art. 33 Abs. 1 DSGVO sind Verantwortliche verpflichtet, meldepflichtige Datenpannen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Doch läuft die Frist auch außerhalb der üblichen Geschäftszeiten, am Wochenende und an Feiertagen?

Die Antwort ist nach Ansicht des LDI NRW eindeutig: Die Frist wird durch Wochenenden, Feiertage etc. nicht verlängert. Um die Auswirkungen zu verdeutlichen, wählte Dr. Meis folgendes Beispiel: Werde dem Verantwortlichen am 9. April 2020 um 17.44 Uhr (Gründonnerstag) eine Datenpanne bekannt, so ende die Frist am 12.04.2020 um 18.00 Uhr (Ostermontag).

Prof. Dr. Lüdemann teilte diese Ansicht nicht. Vielmehr verwies er auf eine europäische Fristenverordnung (VO (EWG, EURATOM) Nr. 1182/71 des Rates v. 3.6.1971 zur Festlegung für die Fristen, Daten und Termine). Aufgrund der Geltung der Verordnung seien Wochenenden in jedem Fall zu berücksichtigen (Beispiel: Datenpanne wird an einem Freitag um 16.15 Uhr bekannt - Fristende am darauffolgenden Dienstag um 17.00 Uhr).

Bußgeldkonzept der deutschen Aufsichtsbehörden

Kritik übte Prof. Dr. Lüdemann am Bußgeldkonzept der deutschen Aufsichtsbehörden. Dieses knüpfe bei der Berechnung des Bußgelds maßgeblich an den Unternehmensumsatz an. Der Umsatz werde in Art. 83 Abs. 2 S. 2 DSGVO jedoch gerade nicht als Berechnungskriterium herangezogen. Ausführlich haben wir diese Thematik in unserem Blogbeitrag vom 24.01.2020 beschrieben.

Fazit

Unternehmen können durch die Einrichtung eines Datenschutzmanagementsystems bereits im Vorfeld Datenpannen weitestgehend vermeiden. Das Risiko, dass Daten versehentlich gelöscht, unbefugt offengelegt oder Dritten ungewollt zur Verfügung gestellt werden, lässt sich in der Praxis nicht gänzlich ausschließen. Im Falle einer Datenpanne sollte im Unternehmen ein Notfallplan existieren. Mit entsprechender juristischer Unterstützung kann nach Prüfung im Einzelfall eine Meldepflicht häufig verneint werden.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Andere Leser interessieren sich auch für

Bußgeldkonzept der deutschen Aufsichtsbehörden
Anlässlich unserer alljährlichen DSGVO-Update-Veranstaltung am 3. Februar 2020 – dieses Jahr zum Thema "Datenpannen und Bußgeldpraxis“ – möchten wir in diesem Beitrag über das Bußgeldkonzept der deutschen Aufsichtsbehörden informieren, welches bei der Berechnung des Bußgelds maßgeblich an den Unternehmensumsatz anknüpft und damit die Gefahr hoher Bußgelder birgt.
DSGVO 2020 Datenpannen und Bußgeldpraxis
Datenpanne - der Super-GAU? Wann eine Datenpanne tatsächlich vorliegt, was zu tun ist und wie man welche Sanktionen vermeiden kann, erläutern Fachleute in unserer diesjährigen Veranstaltung