Die gesetzliche Regelung ist denkbar einfach:
"Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der [...] zuständigen Aufsichtsbehörde [...]."
Das heißt: jeder Datenschutzverstoß löst erst einmal die Meldepflicht aus. Sie soll nach Art. 33 Abs. 1 Halbsatz 2 DSGVO der Regelung nur dann entfallen, wenn die Datenpanne "voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen" führen wird.
Aus dem Regel-Ausnahme-Prinzip folgt unweigerlich eine Umkehr der Beweislast: Der Verantwortliche hat zu beweisen, dass es zu diesem Risiko nicht kommen wird. Meint er dies, sollte er diese Einschätzung sorgsam begründen und dokumentieren.
Schön und gut. Wann aber verletzt der Verantwortliche oder wer auch immer ihm zurechenbar Handelnde den Schutz personenbezogener Daten?
Antwort: Immer dann, wenn er - beabsichtigt oder unbeabsichtigt - eine ihm obliegende Sicherung verletzt und dies zu
Datenvernichtung, |
Datenverlust, |
Datenveränderung oder |
Offenlegung von oder unbefugten Zugang zu personenbezogenen Daten führt, die der Verantwortliche verarbeitet. |
Beispiel:
Testen Sie "Fit für die DSGVO" jetzt 14 Tage kostenlos und rufen Sie Ihr Dokument sofort gratis ab.
|