I. Meldepflicht bei Datenpannen

Grundsatz

Die gesetzliche Regelung ist denkbar einfach:

"Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der [...] zuständigen Aufsichtsbehörde [...]."

Meldepflicht

Das heißt: jeder Datenschutzverstoß löst erst einmal die Meldepflicht aus. Sie soll nach Art. 33 Abs. 1 Halbsatz 2 DSGVO der Regelung nur dann entfallen, wenn die Datenpanne "voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen" führen wird.

Beweislastumkehr

Aus dem Regel-Ausnahme-Prinzip folgt unweigerlich eine Umkehr der Beweislast: Der Verantwortliche hat zu beweisen, dass es zu diesem Risiko nicht kommen wird. Meint er dies, sollte er diese Einschätzung sorgsam begründen und dokumentieren.

II. Wann greift die Meldepflicht

Definition "Verletzung"

Schön und gut. Wann aber verletzt der Verantwortliche oder wer auch immer ihm zurechenbar Handelnde den Schutz personenbezogener Daten?

Antwort: Immer dann, wenn er - beabsichtigt oder unbeabsichtigt - eine ihm obliegende Sicherung verletzt und dies zu

Datenvernichtung,

Datenverlust,

Datenveränderung oder

Offenlegung von oder unbefugten Zugang zu personenbezogenen Daten führt, die der Verantwortliche verarbeitet.

Beispiel:

Beispiel "Meldepflicht bei verlorenem Datenträger"