<h1>Meldepflicht bei Datenschutzverletzungen</h1> <h2>Grunds&auml;tzlich ist ein Unternehmen verpflichtet, jede Verletzung des Schutzes personenbezogener Daten an die zust&auml;ndige Aufsichtsbeh&ouml;rde zu melden... Quelle IHK Rheinhessen</h2> <p>Nach der Europ&auml;ischen Datenschutzgrundverordnung (DS-GVO) unterliegen Unternehmen im Falle einer Verletzung des Schutzes personenbezogener Daten folgenden Pflichten: der Meldepflicht gegen&uuml;ber der Aufsichtsbeh&ouml;rde gem&auml;&szlig; Art. 33 und der Benachrichtungspflicht des Betroffenen gem&auml;&szlig; Art. 34. Diese Pflichten sind im Vergleich zu der bisher geltenden Regelung des &sect; 42a Bundesdatenschutzgesetz (BDSG) umfangreicher. Adressat der Regelung ist jeder Verantwortliche im Sinne der DS-GVO. Dies ist jede nat&uuml;rliche oder juristische Person, Beh&ouml;rde, Einrichtung oder andere Stelle, die - allein oder gemeinsam - &uuml;ber die Zwecke und Mittel der Verarbeitung entscheidet. Innerhalb eines Unternehmensverbundes k&ouml;nnen auch mehrere als gemeinsam Verantwortliche kooperieren, sog. Joint Controllers. Liegt eine Auftragsverarbeitung vor, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unverz&uuml;glich zu informieren. Dieser nimmt dann die Meldung an die Aufsichtsbeh&ouml;rde vor. Grunds&auml;tzlich ist ein Unternehmen verpflichtet, jede Verletzung des Schutzes personenbezogener Daten an die zust&auml;ndige Aufsichtsbeh&ouml;rde zu melden. Nach Artikel 4 Nr. 12 DSGVO stellt jede Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtm&auml;&szlig;ig, zur Vernichtung, zum Verlust, zur Ver&auml;nderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten f&uuml;hrt, die &uuml;bermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, eine meldepflichtige Verletzung dar. Die Meldung ist unverz&uuml;glich und m&ouml;glichst binnen 72 Stunden vorzunehmen. Kann die 72 Stunden-Frist nicht eingehalten werden, ist der Meldung eine Begr&uuml;ndung f&uuml;r die Verz&ouml;gerung beizuf&uuml;gen. Eine Meldung kann ausnahmsweise unterbleiben, wenn die Datenschutzverletzung nicht zu einem Risiko f&uuml;r die Rechte und Freiheiten der betroffenen Personen f&uuml;hrt. Ein Risiko - und damit eine Meldepflicht - besteht nach Erw&auml;gungsgrund 75 der DS-GVO immer bei solchen Verarbeitungen, die zu physischem, materiellen oder immateriellen Schaden, Diskriminierung, Identit&auml;tsdiebstahl/-betrug, finanziellem Verlust, Rufsch&auml;digung, Vertraulichkeitsverlust von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugter Aufhebung der Pseudonymisierung, erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen f&uuml;hren k&ouml;nnen, betroffene Personen um Rechte und Freiheiten bringt oder diese an der Kontrolle personenbezogener Daten hindert, die rassische oder ethnische Herkunft, politische Meinung, religi&ouml;se oder weltanschauliche &Uuml;berzeugungen, Gewerkschaftszugeh&ouml;rigkeit, genetische Daten, Gesundheitsdaten, Angaben zum Sexualleben oder strafrechtliche Verurteilungen betreffen, die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, pers&ouml;nliche Vorlieben, Zuverl&auml;ssigkeit, Verhalten, Aufenthaltsort oder den Ortswechsel betreffen, analysieren oder prognostizieren zwecks Profilings, personenbezogene Daten schutzbed&uuml;rftiger Personen, insbesondere Kinder, betreffen oder gro&szlig;e Mengen personenbezogener Daten und eine gro&szlig;e Anzahl von betroffenen Personen betreffen. Die Meldung an die Aufsichtsbeh&ouml;rde muss mindestens die Beschreibung der Art der Verletzung, die Angabe von Kategorien und ungef&auml;hrer Zahl der Betroffenen und der Datens&auml;tze enthalten. Au&szlig;erdem ist Name und Kontakt des Datenschutzbeauftragten zu benennen. Abschlie&szlig;end hat eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung, sowie der von dem Verantwortlichen ergriffenen und vorgeschlagenen Ma&szlig;nahmen zur Behebung zu erfolgen</p> <p><a href="https://www.jobadu.de/pdfs/02452.pdf">Publikation zeigen</a></p>