Umstrittene DSGVO-Problematik

Meldepflicht vs. Bußgeld

von - 25.10.2019
DSGVO
Foto: mixmagic / shutterstock.com
Annähernd jede Datenschutzverletzung ist im Rahmen der DSGVO zu melden. Allerdings muss sich niemand selbst belasten. Unternehmen sind jedoch dazu verpflichtet, Datenpannen zu melden.
Seit Inkrafttreten der DSGVO muss nahezu jede Datenschutzverletzung an die zuständige Aufsichtsbehörde gemeldet werden, und das binnen 72 Stunden. Ausnahme: wenn kein „Risiko für Rechte und Freiheiten“ der Betroffenen besteht. Im Rahmen der Risikoanalyse stellen sich Unternehmen daher oft die Frage, ob überhaupt gemeldet werden soll, wobei meist die Angst vor Bußgeldern dahintersteckt. Denn in der Praxis werden häufig Bußgelder verhängt, wenn eine gemeldete Datenpanne durch die Behörde aufgeklärt wird.
Das Bayerische Landesamt für Datenschutzaufsicht (Bay­LDA) hat sich jüngst zu dieser Problematik geäußert. Ausgangspunkt ist § 43 Abs. 4 BDSG, der ausschließt, dass eine Meldung von Datenpannen an die Aufsichtsbehörde oder an die betroffene Person nach Art. 33, 34 DSGVO zu einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden führt. Die Vorschrift dient der Umsetzung des Grundrechts, wonach sich niemand selbst belasten muss, wird aber aus unterschied­lichen Gründen als europarechtswidrig angesehen.

Folgen für die betroffenen Personen

Das BayLDA stellt zunächst klar, dass „im Zusammenhang mit der Meldung von Datenschutzverletzungen der Fokus von Verantwortlichen, aber auch der Aufsichtsbehörden, immer darauf gelegt werden sollte, dass die für die betroffenen Personen nachteiligen Folgen möglichst schnell und umfassend abgewendet werden“. Für Verantwortliche wichtiger ist die Aussage, dass bis auf Weiteres die Vorschrift nicht nur als Verwertungs-, sondern sogar als Verwendungsverbot an­gesehen wird, das heißt, dass eine gemeldete Datenschutzverletzung grundsätzlich nicht zum Gegenstand eines Ordnungswidrigkeitenverfahrens gemacht wird. Eine verspätete oder unterlassene Meldung könne hingegen sehr wohl ein Bußgeld nach sich ziehen.
Es empfiehlt sich deshalb, vor einer Meldung oder Benachrichtigung genau zu prüfen, ob tatsächlich eine Pflicht dazu besteht. Sollte das so sein, ist darauf zu achten, nur solche Informationen in die Meldung aufzunehmen, die zwingend vorgeschrieben sind. Denn auch wer Fragen einer Behörde beantwortet und sich dadurch selbst belastet, obwohl er zur Beantwortung nicht verpflichtet ist, kann sich später nicht darauf berufen, sein Recht, sich nicht selbst belasten zu müssen, sei verletzt.
FAQ Datenschutz: 100 Fragen & Antworten
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat eine FAQ mit mehr als 100 Antworten veröffentlicht, die prägnant und praxisnah zu unterschiedlichen Aspekten des Datenschutzes und der DSGVO Stellung nimmt (so auch zur oben beschriebenen Meldepflicht). Es handelt sich dabei um Stellungnahmen einer Behörde, die keinen rechtsverbindlichen Charakter entfalten. Gerichte können also durchaus anderer Auffassung sein, zum Beispiel hinsichtlich der eher restriktiven Haltung des Landesamtes zum Thema Google- und Facebook-Tools. Die Rechtsauffassung zu Kunden­zufriedenheitsumfragen etwa (laut Bay­LDA ohne Zustimmung zulässig) ignoriert erstaunlicherweise sogar die Auffassung des BGH (Zustimmung vorab erforderlich). Im Ergebnis ist die FAQ aber eine gelungene Praxishilfe (www.lda.bayern.de/de/faq.html).
Verwandte Themen