Skip to main content
Metasoul Docs
Wechsel zwischen Dunkel/Hell/Auto Modus Wechsel zwischen Dunkel/Hell/Auto Modus Wechsel zwischen Dunkel/Hell/Auto Modus Zurück zur Startseite
  1. Metasoul Docs
  2. /
  3. Datenschutz Tips und Tricks
  4. /
  5. Meldepflichten

Meldepflichten

Was ist ein Datenschutzvorfall?

Ein Datenschutzvorfall (auch „Datenpanne“ oder „Verletzung des Schutzes personenbezogener Daten“) liegt vor, wenn die Sicherheit personenbezogener Daten verletzt wird. Das umfasst insbesondere:

  • Unbefugten Zugang: z. B. durch Hackerangriffe oder interne Einsichtnahme ohne Berechtigung
  • Bewusst oder versehentliche Offenlegung: z. B. Versand von Daten an falsche Empfänger
  • Datenverlust: z. B. Verlust von Laptops, USB-Sticks oder versehentliches Löschen von Daten
  • Unbefugte Veränderung oder Vernichtung: z. B. durch Softwarefehler oder menschliches Versagen
  • Technische Störungen: z. B. Serverabsturz mit Datenverlust

Ein Vorfall ist meldepflichtig, wenn er voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (z. B. Identitätsdiebstahl, Diskriminierung, Rufschädigung). Es ist wichtig, allen Mitarbeitern eine Möglichkeit zu bieten, schnell und unkompliziert potenzielle Datenschutzvorfälle zu melden, und die Mitarbeiter auf die Erkennung und richtige interne Meldung von Datenschutzvorfällen zu schulen.

Was muss ich tun, wenn ich einen Datenschutzvorfall bemerke?

Wird ein potenzieller Datenschutzvorfall entdeckt, ist folgendes Vorgehen zu empfehlen:

  • Vorfall initial dokumentieren: Was ist passiert? Welche Daten sind betroffen? Wann und wie wurde der Vorfall entdeckt?
  • Unverzüglich die zuständigen Stellen informieren (Datenschutzbeauftragter, IT, Geschäftsleitung).
  • Den Grund für den Vorfall beseitigen (Systeme sichern, weitere Datenverluste verhindern, Zugang sperren…).
  • Beweise zum Vorfall (Relevante Protokolle, E-Mails und Systemdaten…) sichern.
  • Dokumentation bezüglich der Fakten, Auswirkungen, getroffenen Maßnahmen, Risikobewertung und Entscheidungsgrundlagen vervollständigen.
  • Einschätzung, ob und in welchem Ausmaß ein Risiko für die Rechte und Freiheiten der Betroffenen besteht.
  • Entscheiden über eine Meldung an die Datenschutzbehörde und an die vom Vorfall betroffenen Personen, falls Risiken für diese betroffene Personen bestehen (Meldefristen müssen eingehalten werden).
  • Nacharbeit: Treffen von Maßnahmen, damit ähnliche Datenschutzvorfälle in Zukunft nicht mehr passieren.

Idealerweise existiert ein Reaktionsplan für Datenschutzvorfälle, ein Vorfallsregister, in dem Datenschutzvorfälle dokumentiert werden.

Welche Fristen muss ich bei der Meldung von Datenschutzvorfällen einhalten?

Folgende Fristen sind bei Datenschutzvorfällen einzuhalten:

  • Meldung an die Datenschutzbehörde: Innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. Falls dies innerhalb der vorgegebenen Zeit nicht möglich ist, ist dies in der Meldung zu begründen. Es kann auch eine Teilmeldung innerhalb der 72 Stunden erfolgen, die später ergänzt wird.
  • Meldung an die betroffenen Personen: Dies muss unverzüglich erfolgen.

Wichtig: Die 72-Stunden-Frist für die Meldung an die Datenschutzbehörde beginnt, sobald der Verantwortliche mit hinreichender Sicherheit Kenntnis vom Vorfall hat – auch an Wochenenden und Feiertagen. Versäumte oder verspätete Meldungen können zu Bußgeldern führen (bis zu 2 % des weltweiten Jahresumsatzes).