Meldepflicht nach Art. 33 DSGVO

Auch: Meldepflicht bei Datenpanne · Data-Breach-Meldepflicht

Die Meldepflicht nach Art. 33 DSGVO verpflichtet ein Maklerbüro, eine Datenpanne – also eine Verletzung des Schutzes personenbezogener Daten – der zuständigen Landesdatenschutzbehörde zu melden, wenn dadurch ein Risiko für die betroffenen Personen entstehen kann.

Ausführliche Erklärung

Anders als die reine Fristfrage (siehe 72-Stunden-Frist) beschreibt die Meldepflicht selbst den vollständigen Pflichtenkatalog: ob, an wen und mit welchem Inhalt eine Datenschutzverletzung zu melden ist.

Wann besteht die Pflicht? Sobald eine Verletzung des Schutzes personenbezogener Daten vorliegt – also eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt. Für Makler typisch: Versand von Interessentenlisten an falsche Empfänger, gehackte CRM-Systeme, verlorene Laptops mit unverschlüsselten Kundendaten.

Ausnahme: Keine Meldepflicht besteht, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt (z. B. Verlust eines vollständig verschlüsselten, nicht entschlüsselbaren Datenträgers).

Inhalt der Meldung (Art. 33 Abs. 3 DSGVO): Die Meldung an die Aufsichtsbehörde muss enthalten:

1. Beschreibung der Art der Verletzung, möglichst mit Kategorien und ungefährer Anzahl der betroffenen Personen und Datensätze.

2. Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle.

3. Beschreibung der wahrscheinlichen Folgen der Verletzung.

4. Beschreibung der ergriffenen oder vorgeschlagenen Abhilfemaßnahmen.

Abgrenzung zu Art. 34 DSGVO: Zusätzlich zur Meldung an die Behörde kann eine Pflicht entstehen, auch die betroffenen Personen selbst zu benachrichtigen – dies aber nur, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht (strengere Schwelle als bei der Behördenmeldung). Beispiel: Werden Bonitäts- oder Ausweisdaten von Kaufinteressenten offengelegt, ist regelmäßig auch eine Direktbenachrichtigung der Betroffenen erforderlich.

Interne Organisation: Makler sollten einen internen Ablaufplan ("Incident-Response-Plan") vorhalten, der festlegt, wer im Verdachtsfall zu informieren ist, wie die Risikoeinschätzung erfolgt und wer die Meldung an die Behörde vornimmt. Auch Vorfälle ohne Meldepflicht müssen intern dokumentiert werden (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO), da die Aufsichtsbehörde diese Dokumentation im Kontrollfall einsehen kann.

Verstöße gegen die Meldepflicht – sei es durch Unterlassen, verspätete oder unvollständige Meldung – können mit Bußgeldern nach Art. 83 Abs. 4 DSGVO geahndet werden.

Beispiel aus der Praxis

Ein Maklerbüro bemerkt, dass ein Mitarbeiter-Laptop mit unverschlüsselten Kundendaten gestohlen wurde. Da ein Risiko für die Betroffenen besteht, meldet die Geschäftsführung den Vorfall der zuständigen Landesdatenschutzbehörde mit Angaben zur Art des Vorfalls, zur Anzahl betroffener Personen und zu den getroffenen Gegenmaßnahmen (z. B. Fernlöschung, Passwortänderungen).

Rechtsgrundlage

  • Art. 33 DSGVO – Meldepflicht gegenüber der Aufsichtsbehörde, inklusive Fristen- und Inhaltsanforderungen.
  • Art. 34 DSGVO – Benachrichtigungspflicht gegenüber betroffenen Personen bei hohem Risiko.
  • Art. 83 DSGVO – Bußgeldrahmen bei Verstößen.

Verwandte Begriffe