Datenschutzverletzung melden
Hauptinhalt
Wenn Ihnen als Verantwortlichem eine Verletzung des Schutzes personenbezogener Daten bekannt wird, müssen Sie unverzüglich überprüfen, welches Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen damit verbunden ist und welche weiteren Maßnahmen gegebenenfalls zu ergreifen sind.
Inhalt des Artikels:
Verschiedene Pflichten treffen die Verantwortlichen, wenn ein erhöhtes oder hohes Risiko für die Rechte und Freiheiten natürlicher Personen vorliegt. Art. 33 DSGVO ist so zu lesen, dass die Meldepflicht dann entfällt, wenn nur ein geringes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.
Ist ein erhöhtes oder hohes Risiko zu bejahen, so sind Sie gemäß Artikel 33 DSGVO dazu verpflichtet, eine Datenschutzverletzung unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Aufsichtsbehörde zu melden. Dazu können Sie uns dieses Meldeformular ausgefüllt zusenden oder das Online-Meldeformular auf dieser Seite nutzen.
Wenn Sie eine Datenschutzverletzung nicht oder verspätet melden, kann dies aufsichtsrechtliche Maßnahmen gegen den Verantwortlichen nach sich ziehen.
Bei einem hohen Risiko müssen Sie überdies die betroffenen Personen in der Regel unverzüglich und in klarer und einfacher Sprache über den Vorfall informieren, Art. 34 DSGVO.
| Pflichten auf Basis der Risikobewertung | kein/ geringes Risiko | erhöhtes Risiko | hohes Risiko |
|---|---|---|---|
| Dokumentationspflicht intern (Art. 33 Abs. 5 DSGVO) | ja | ja | ja |
| Meldepflicht an zuständige Aufsichtsbehörde (Art. 33 Abs. 1 DSGVO) | nein | ja | ja |
| Benachrichtigungspflicht gegenüber betroffenen Personen (Art. 34 DSGVO) | nein | nein | ja |
Anhaltspunkte zur Beurteilung des Risikos einer Datenschutzverletzung finden Sie im Kurzpapier Nr. 18 der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz).
