+49 221 33 77 23-0
Aktuelles Aktuelles IT-Strafrecht   

Die Meldung eines Datenschutzverstoßes

   
23. Juli 2024

Bei einem Datenschutzverstoß müssen Unternehmen aktiv auf die Aufsichtsbehörde zugehen, damit sie ihren rechtlichen Verpflichtungen aus der Datenverarbeitung nachkommen und gleichzeitig finanzielle Schäden vermeiden. Es geht also darum, aus der Datenverarbeitung bereits resultierende Risiken gering zu halten und keine neuen Risiken einzugehen.

Meldepflicht nach Art. 33 DS-GVO

Denn der Datenverarbeitende ist bei einem Datenschutzverstoß nach Artikel 33 der Datenschutz-Grundverordnung (DS-GVO) verpflichtet, der Datenschutzbehörde den Vorfall zu melden. Eine gute Vorbereitung solcher Meldungen ist notwendig, da die Meldungen unverzüglich und möglichst binnen 72 Stunden nach Kenntnis des Vorfalls abzugeben sind. Überschreitet der Datenverarbeitende diese Frist, muss er der verspäteten Meldung eine Begründung für die Fristverletzung beifügen.

Inhalt einer Meldung

In Artikel 33 Absatz 3 DS-GVO ist vorgeschrieben, welche Inhalte eine Meldung mindestens enthalten muss. Hierzu gehören die Beschreibung der Datenschutzverletzungsart mit Schadensausmaß sowie die Kontaktdaten des Datenschutzbeauftragten inklusive Folgenabschätzung des Vorfalls. Letztlich muss der Verarbeitende erklären, welche Maßnahmen zur Schadensbegrenzung bzw. Behebung des Vorfalls bereits erfolgt sind bzw. noch in Betracht kommen.

Bedeutung der Meldepflicht

Die Meldung eines Datenschutzverstoßes hat aus mehreren Gründen einen großen Einfluss auf die Rechtsfolgen eines Verstoßes. Denn für die Frage der möglichen Bußgeldsanktion eines Verstoßes (Artikel 83 DS-GVO) spielt es eine Rolle, auf welche Art und Weise der Verstoß der Datenschutzbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der oder die Verantwortliche den Verstoß mitgeteilt hat. Weiterhin kann die Verletzung der Meldepflicht (bspw. inhaltliche Fehler, verspätete oder unterlassene Meldung) eine neuerliche Datenschutzverletzung darstellen, die wiederum ihre eigenen Rechtsrisiken birgt.

Beweisverwendungsverbot im Strafprozess

Moderne Gesetze erlegen Unternehmen vielfach Meldepflichten auf, deren Verletzungen sanktionsbewährt sind. Dies mag für den „einheimischen“ Rechtsanwendenden ungewohnt sein, da er seinen Fehler offenbaren muss und die Behörde regelmäßig erst deshalb Kenntnis vom Verstoß erlangt. So gerät der Verarbeitende in den Zwiespalt, dass er Sanktionen vermeiden will und deshalb schweigt, dadurch aber das Rechtsrisiko noch weiter steigt.

In Strafverfahren gilt aber der sog. „Nemo-Tenetur-Grundsatz“, wonach sich eine Person nicht selbst belasten muss. Damit dieser Grundsatz bei einem möglichen Strafverfahren gegen den Datenverarbeitenden gewahrt bleibt, regelt § 42 Absatz 4 des Bundesdatenschutzgesetzes ein Beweisverwendungsverbot für die Meldung nach Art. 33 DS-GVO. Die Meldung darf nicht als Grundlage für strafrechtliche Ermittlungen herangezogen werden. Sie darf in einem Strafverfahren gegen den Meldepflichtigen nur mit dessen Zustimmung verwendet werden. In § 43 Abs. 4 des Bundesdatenschutzgesetzes ist die Parallelregelung für Bußgeldverfahren verankert.

Allerdings stellt sich die Frage, wie sich das Verbot zu Informationen verhält, die der oder die Meldepflichtige der Behörde überobligatorisch übermittelt hat, die also nicht zwingend hätten gemeldet werden müssen. Diese Unklarheit zeigt erneut auf, wie wichtig die gute Vorbereitung solcher Meldungen ist, nicht nur für das Unternehmen, sondern auch für dessen Leitungspersonen.


Kontaktieren Sie uns:

 Diana Nadeborn Diana Nadeborn