Allein in Deutschland wurden in den ersten sechs Monaten nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) laut einer Statistik der EU-Kommission mehr als 12.000 schwerwiegende Datenpannen den Aufsichtsbehörden gemeldet. EU-weit wurden mehr als 41.000 Datenpannen gemeldet.
Datenschutzverletzten müssen nach Artikel 33 DSGVO binnen 72 Stunden den Aufsichtsbehörden gemeldet werden, sofern “die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Bei einem vorrausichtlich nur geringen Risiko reicht die Protokollierung der Verletzung aus.
Die Spanne meldepflichtiger Pannen ist hierbei recht groß und kann z.B. falsch gesetzte Benutzerrechte, Sicherheitslücken in Web- oder Cloudanwendungen, verlorene bzw. gestohlene USB-Sticks oder Laptops, Infektionen von betrieblichen Systemen durch Schadsoftware oder gehackte Server und Systeme umfassen.
Bedenkt man, dass viele Unternehmen noch immer ihre “Hausaufgaben” in Bezug auf die DSGVO gemacht haben und ihre Meldepflicht nicht kennen, dürfte es eine große Dunkelziffer nicht gemeldeter Verstöße geben. Nicht aufgeführt sind die Anzahl der Fälle, in denen nicht nur die Aufsichtsbehörde, sondern auch die Betroffenen der Datenschutzverletzung informiert werden mussten, eine Pflicht, die auch vielen Unternehmen nicht bekannt ist.
Verstöße gegen beide Meldepflichten können von den Aufsichtsbehörden mit erheblichen Strafen belegt werden. Diese Strafen dürften umso höher ausfallen, je unvollständiger die Pflichten der DSGVO im Unternehmen umgesetzt worden sind.
Wenn in Ihrem Unternehmen Unklarheit besteht, ob alle Regelungen und Pflichten zur DSGVO richtig umgesetzt worden sind, berate ich Sie gerne als externer Datenschutzbeauftragter.