the factlights Artikel
Die Melde- und Benachrichtigungspflichten nach Art. 33, Art. 34 DSGVO in der betrieblichen Praxis
Die in Art. 33 und Art. 34 DSGVO geregelten Melde- und Benachrichtigungspflichten stehen nicht isoliert, sondern bilden wesentliche Elemente eines umfassenden Systems aktiver und passiver Informationspflichten (vgl. die übergreifende Darstellung bei Kamps/Schneider, K&R-Beil. 1 zu Heft 7/8/2017, 24ff.).
Die Zahlen aus dem erst kürzlich veröffentlichten Tätigkeitsbericht 2017/2018 des Bayerischen Landesamts für Datenschutzaufsicht mit Blick auf die Praxisrelevanz der Meldepflicht sprechen eine eindeutige Sprache.
Mit insgesamt 2.471 Meldungen im Jahr 2018 wurde ein Rekordwert in der Geschichte der Aufsichtsbehörde verzeichnet; die Zahlen stiegen damit auf mehr als das 18fache im Vergleich zu 2017 und damit der Rechtslage unter § 42a BDSG a. F. (BayLDA, 8. Tätigkeitsbericht 2017/2018, abrufbar unter: www.lda.bayern.de/media/baylda_report_08.pdf, S.18).
Für den Berichtszeitraum 2019/2020 wird überdies eine weitere Steigerung erwartet (BayLDA, 8. Tätigkeitsbericht 2017/ 2018, abrufbar unter: www.lda.bayern.de/media/baylda _report_08.pdf, S.19).
Auch eine unionsweite Betrachtung der Meldepflicht zeichnet ein ähnliches Bild. Insgesamt aufaddiert wurden in der EU von sämtlichen nationalen Aufsichtsbehörden zum Stand Januar 2019 über 41.000 Meldungen getätigt (EU-Kommission unter Bezugnahme auf den EDSA, GDPR in numbers, abrufbar unter: https://ec.europa.eu/commission/sites/beta-poIitical/files/190125_gdpr_infographics_v4.pdf).
Bis dato sind sowohl zur Melde- als auch zur Benachrichtigungspflicht noch keinerlei (publizierten) Gerichtsentscheidungen verfügbar.
Dies führt aufgrund einiger zentraler, bislang noch offener Detailfragen zu einer enormen Rechtsunsicherheit bei Unternehmen, zumal Verstöße gegen Art. 33, Art. 34 DSGVO als Ordnungswidrigkeiten mit Geldbußen von bis zu 10 Millionen Euro oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des Unternehmens bewehrt sind, Art. 83 Abs. 4 lit. a DSGVO.
Daneben können Verletzungen der Benachrichtigungspflicht u. U. Schadensersatzansprüche aus Vertrags- und Deliktsrecht nach sich ziehen.
Über wesentliche Herausforderungen in der Praxis sowie zugehörige Lösungsvorschläge im Zusammenhang mit der Meldepflicht an die Aufsichtsbehörden nach Art. 33 DSGVO einerseits und die Pflicht zur Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO andererseits.
Der von Robert Faußner (Rechtsanwalt HEUSSEN) und Dr. Christina-Maria Leeb (Wissenschaftliche Mitarbeiterin HEUSSEN) verfasste und hier downloadbare Artikel umfasst zwei Teile.
Die beiden Autoren thematisieren wesentliche Herausforderungen in der Praxis sowie zugehörige Lösungsvorschläge im Zusammenhang mit der Meldepflicht an die Aufsichtsbehörden nach Art. 33 DSGVO einerseits und der Pflicht zur Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO andererseits. Sie behandeln die Fragen, wann eine Verletzung des Schutzes personenbezogener Daten anzunehmen ist und wie die Maximaldauer der Meldefrist zu berechnen ist. Der Schwerpunkt der Darstellung liegt auf dem Risikobegriff, der für beide Pflichten des Verantwortlichen gleichermaßen Relevanz besitzt. Der erste Teil des Beitrags führt in die Thematik ein und vermittelt die zum Verständnis notwendigen Grundlagen. Der zweite Teil widmet sich konkreten Lösungsvorschlägen und Handlungsempfehlungen.
Inhalt Teil I
- Die Meldung an die Aufsichtsbehörde nach Art.33 DSGVO: Grundlagen und Arbeitshilfen
- Die Benachrichtigung betroffener Personen nach Art. 34 DSGVO: Grundlagen und Arbeitshilfen
- Wesentliche Unterschiede zu§ 42a BDSG a.F.
Inhalt Teil II
- Aktuelle Herausforderungen und Lösungsvorschläge
- Die Verletzung des Schutzes personenbezogener Daten i.S.d. Art. 4 Nr. 12 DSGVO
- Der Risikobegriff: Kriterien für die Prognoseentscheidung
- Die Berechnung der Maximaldauer der Meldefrist
- Übergreifende Handlungsempfehlungen
Artikel von HEUSSEN als PDF downloaden:
News von HEUSSEN
the factlights Top-Thema
the factlights bringt Einblicke und Learnings:
- Am Puls der Zeit
the factlights 2020 hat über 1.000 Unternehmen im deutschsprachigen Raum zu ihrer Realität von Digitalisierung, Analytics und Datenarbeit befragt. Highlights, Updates und die kompletten Studienergebnisse gibt's hier. - Experten analysieren und empfehlen
Namhafte Vertreter führender Unternehmen nehmen Stellung zu aktuellen Trends, stellen Checklisten, Use Cases, Whitepaper bereit und stehen Ihnen gerne mit Empfehlungen, Tipps und Best Practices rund um die Themen der Digitalisierung und Datenarbeit zur Seite. - Studien-Ergebnisse holen
Sichern Sie sich Ihr persönliches Exemplar mit allen Ergebnissen, Einschätzungen, Branchenspecials, Extra Notes, Expert Quotes und profitieren Sie von Empfehlungen und Learnings.