Ein Verstoß gegen die DSGVO ist im Regelfall der zuständigen Aufsichtsbehörde zu melden. Diese Meldepflicht ist aber leider mit einer Bußgeldgefahr verknüpft. Die ersten Aufsichtsbehörden haben für einen offenen E-Mail-Verteiler bereits eine Geldbuße verhängt.
Der Fehler ist beim Versenden einer Massenmail schnell passiert: Die E-Mail Adressen (= personenbezogene Daten) werden aus einer Liste gezogen und alle in das ''Cc''- oder sogar das ''An''- Feld des Mailprogramms kopiert. Nach dem Klick auf Senden werden diese Daten dann allen Empfängern zugänglich und sichtbar gemacht. Gibt es keine Einwilligung in diese Zugänglichmachung, liegt ein datenschutzrechtlicher Verstoß und damit eine meldepflichtige Datenpanne vor.
Die E-Mail Adressen müssen daher immer in das ''Bcc''-Feld für Blindkopien eingefügt werden, das ''An''-Feld kann man freilassen, damit keine Adressen sichtbar sind.
Rechtliche Grundlage
In Art. 33 DSGVO ist die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde geregelt. Danach ist es die Aufgabe bzw. die Entscheidung des Verantwortlichen und nicht die eines eventuell vorhandenen Datenschutzbeauftragten, die Meldung vorzunehmen. Bei dem Verantwortlichen handelt es sich im Regelfall um die (juristische) Person, die auch im Impressum angegeben ist. Der Verantwortliche hat sowohl die Datenschutzverletzung als auch deren Auswirkungen und die ergriffenen Maßnahmen zu dokumentieren. In der Praxis werden diese Maßnahmen aber meistens vom Datenschutzbeauftragten durchgeführt.
Die Dokumentation des Vorfalls soll der Aufsichtsbehörde die Überprüfung der Einhaltung der in Art. 33 DSGVO geregelten Pflichten ermöglichen. Sie dient damit auch als Grundlage für Bemessung der Höhe einer Geldbuße.
Meldeformulare
Die meisten Behörden stellen auf ihren Websites für die Meldung der Datenpanne elektronische Formulare bereit wie zum Beispiel hier.
Meldefrist
Wenn Daten gehackt oder Datenträger verloren wurden, muss dies binnen 72 Stunden gemeldet werden. Bei einem hohen Risiko (z.B. Zahlungsdaten, Gesundheitsdaten etc.) müssen auch die Betroffenen informiert werden. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gibt hierzu weitere Informationen und Beispielsfälle.
Volker Dr. Baldus
"Rechtsanwalt Dr. Volker Baldus arbeitet bereits seit 2006 bei dem Online-Rechtsportal janolaw AG und betreut dort den AGB Hosting-Service inklusive Datenschutzerklärung. Er beschäftigt sich mit Rechtsfragen rund um Webseiten, Online-Shops, E-Commerce und insbesondere mit der DSGVO."