16
Jun
2016

Datenschutz und IT-Recht

Praxishinweis: Meldepflichten bei Datenschutzverletzungen nach der neuen Datenschutzgrundverordnung − welche Maßnahmen Unternehmen jetzt treffen sollten

Die neue EU-Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft und sieht bei Datenschutzverletzungen umfassende Meldepflichten gegenüber der Aufsichtsbehörde und den betroffenen Personen vor. Soweit noch nicht erfolgt, sollten Unternehmen dringend interne Verfahren etablieren, um die Erfüllung dieser Pflichten sicherstellen zu können. Andernfalls droht den Unternehmen ein Bußgeld in Höhe von bis zu € 10 Mio. oder 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher der Beträge höher ist.

Was ändert sich gegenüber den bisherigen Pflichten nach dem BDSG?

Bereits nach dem geltenden Bundesdatenschutzgesetz (BDSG) haben Unternehmen im Falle von Datenschutzverletzungen, wie z. B. Hackerangriffen, umfangreiche Informationspflichten zu beachten (§ 42a BDSG). Die DSGVO hält an der Grundstruktur des § 42a BDSG fest, erweitert jedoch den Anwendungsbereich sowie einzelne Pflichten und erhöht das Bußgeld bei Pflichtverstößen.

 

BDSGDSGVOWesentliche Änderungen

 • § 42a BDSG

 • § 44 Abs. 2 Nr. 7, Abs. 3 BDSG

 

 

 

 

 

 • Art. 33 DSGVO

 • Art. 34 DSGVO

 • Art. 83 Abs. 4 DSGVO

 

 

 

 • keine Begrenzung auf besonders sensitive Datenarten

 • Erweiterung der Informationspflichten gegenüber Aufsichtsbehörde und Betroffenen

 • Meldepflicht gegenüber der Aufsichtsbehörde spätestens innerhalb 72 Stunden; eine spätere Meldung bedarf einer Begründung

 • Erweiterung der Ausnahmen von der Meldepflicht gegenüber Betroffenen gem. Art. 34 Abs. 3 DSGVO

 • Erhöhung des Bußgeldes bei Pflichtverletzung auf bis zu € 10 Mio. oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher der Beträge höher ist (Art. 83 Abs. 4 DSGVO)

 

Praxishinweis

Unternehmen die bisher den Aspekt der Meldepflichten bei Datenschutzverletzungen im Rahmen ihres Compliancemanagements nicht oder nur unzureichend berücksichtigt haben, sollten die folgenden Praxishinweise beachten:

Präventiv sollten folgende Maßnahmen umgesetzt werden:

  • Prüfung der Datenverarbeitungsprozesse sowie der technischen und organisatorischen Maßnahmen auf Gesetzeskonformität,
  • Identifizierung und Minimierung besonders riskanter Sachverhalte (z. B. die Nutzung privater Geräte für dienstliche Zwecke, Nutzung von externen Datenträgern)
  • Anpassung und Schulung der IT-Richtlinien für alle Mitarbeiter,
  • Prüfung der Notwendigkeit eines Versicherungsschutzes,
  • Etablierung eines Krisenstabes und Maßnahmenkatalogs für den Fall einer Datenschutzverletzung,
  • Kontinuierliche Auswertung aller informell oder öffentlich bekannt gewordenen Schadensfälle im Sinne einer „lernenden Organisation“

Im Falle einer Datenschutzverletzung hat der Krisenstab neben IT-technischen Maßnahmen ein umfangreiches Szenario abzuarbeiten:

  • Beachtung gesetzlicher und vertraglicher Informationspflichten
  • Prüfung und Abwehr von Schadenersatzansprüchen betroffener Personen,
  • Prüfung und Durchsetzung von Schadenersatzansprüchen gegen einen Vertragspartner wegen einer Vertragsverletzung,
  • Stellung einer Strafanzeige,
  • Prüfung und Durchsetzung von Schadenersatzansprüchen gegen den Täter,
  • Geltendmachung des Versicherungsschadens
  • Abstimmung der Öffentlichkeitsarbeit.

Siehe auch:

Autor: Dr. Karsten Krupna

Weiterführende Literatur:

  • Karsten Krupna: Cyberkriminalität – Zur Strafbarkeit von Hackerangriffen und den Informationspflichten betroffener Unternehmen nach dem Bundesdatenschutzgesetz In: Festschrift für Prof. Dr. Dieter Rössner „Über allem Menschlichkeit“, 1. Auflage 2015, (Hrsg.: Bannenberg, Brettel, Freund, Meier, Remschmidt, Safferling), S. 814-828
  • Karsten Krupna: IT-Compliance – Informationspflichten nach dem Bundesdatenschutzgesetz bei Hackerangriffen; Betriebs-Berater 2014, S. 2250-2254

» zur Übersicht