Die europäische Datenschutz-Grundverordnung

Cyberangriffe und Datenlecks

Melden oder nicht melden?

Datenpannen gehören für deutsche Unternehmen zum Alltag: mehr als 12.000 Fälle von "Personal Data Breach" wurden seit Inkrafttreten der DSGVO bis Anfang 2019 gemeldet. Der Hogan Lovells Data Breach Assessor hilft hier als innovatives Legal Tech Tool, schnell die richtige Entscheidung über die Meldung zu treffen.

Die Einhaltung der Meldepflichten im Falle der Verletzung des Schutzes personenbezogener Daten ("Personal Data Breach") gemäß Art. 33, 34 DSGVO stellt Unternehmen vor große Herausforderungen. Denn der risikobasierte Ansatz der DSGVO führt zu Graubereichen und Unsicherheiten bei der Rechtsanwendung. In der Praxis ist es daher oft schwer, innerhlab der kurzen gesetzlichen Meldefrist die richtige Entscheidung zu treffen. Bei der Frage, ob ein Vorfall gemeldet werden sollte oder nicht, muss man zudem abwägen zwischen einem Bußgeldrisiko und der Gefahr, potentielle Schwachstellen zu offenbaren und ein Behörden-Audit zu riskieren.

Nach Art. 33 Abs. 1 DSGVO ist der Verantwortliche dazu verpflichtet, einen "Personal Data Breach" innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls bei der zuständigen Datenschutzbehörde zu melden. Die Meldepflicht wird durch jede Schutzverletzung ausgelöst, bei der personenbezogene Daten unbeabsichtigt oder unrechtmäßig vernichtet, verloren, verändert oder unbefugt offengelegt bzw. abgerufen werden. Das gilt nur dann nicht, wenn die Verletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Ist hingegen mit einem hohen Risiko zu rechnen, muss der Vorfall nicht nur der Behörde, sondern auch den betroffenen Personen unverzüglich bekannt gegeben werden (Art. 34 DSGVO). Die Risikobewertung obliegt dabei dem Unternehmen selbst. Das heißt, jedes Unternehmen muss in der Lage sein, das Risiko innerhalb der Meldefrist sachgerecht einzuschätzen. Zudem führt die im Gesetz angelegte Beweislastumkehr dazu, dass jeder "Personal Data Breach" als meldepflichtig anzusehen ist, wenn das Unternehmen im Rahmen seiner Rechenschaftspflicht nicht von sich aus nachweisen kann, dass voraussichtlich kein Risiko besteht. 

Der Risikobewertung kommt daher eine zentrale Rolle zu: Erstens ist sie ausschlaggebend für die Entscheidung, ob eine Meldung an die Behörde abzusetzen ist und gegebenenfalls auch die betroffenen Personen zu benachrichtigen sind. Zweitens ist ihre ordentliche Dokumentation unerlässlich, um einen Verstoß gegen die Meldepflicht auszuschließen, wenn von der Meldung eines bekannt gewordenen "Personal Data Breaches" mangels Risikowahrscheinlichkeit abgesehen wird. Denn ohne Dokumentation der Risikobewertung kann der Nachweis darüber, dass keine Meldepflicht bestand, nicht erbracht werden. 

Hogan Lovells Data Breach Assessor     

Der Hogan Lovells Data Breach Assessor hilft uns in der Beratung dabei, im Falle eines "Personal Data Breach" schnell die richtige Entscheidung zu treffen. Unternehmen können damit auch ihrer Rechenschaftspflicht nachzukommen. Durch die Beantwortung eines dynamischen Fragebogens werden die Risiken für die betroffenen Personen umfassend analysiert und mit einem Risiko-Score bewertet. Der Hogan Lovells Data Breach Assessor gibt eine konkrete Handlungsempfehlung und eine detaillierte Dokumentation der Risikobewertung und Entscheidungsfindung. Die in den Fragebogen eingearbeiteten Faktoren zur Risikobewertung reflektieren die von der European Union Agency for Network and Information Security (ENISA), dem Europäischen Datenschutzausschuss und den Deutschen Datenschutzbehörden entwickelten Kriterien und bieten daher eine gute Grundlage für die Entscheidung.


Zum Hogan Lovells Data Breach Tool


Hogan Lovells Legal Tech

Loading data