21. Gibt es Meldepflichten bei der Verletzung des Datenschutzes?

Die DS-GVO sieht Meldepflichten gegenüber der Aufsichtsbehörde und gegenüber den Betroffenen vor.

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Rechtsanwalt grundsätzlich unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden; es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 Abs. 1 Satz 1 DS-GVO). Der Ausnahmefall kann z. B. gegeben sein, wenn der Laptop eines Rechtsanwalts verloren geht, aber die Daten auf dem Gerät verschlüsselt sind. Die Mindestangaben der Meldung sind in Art. 33 Abs. 3 DS-GVO aufgelistet.

Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Der Kanzleiinhaber als Verantwortlicher muss Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten dokumentieren. Dazu gehören auch deren Auswirkungen und die ergriffenen Abhilfemaßnahmen. Diese Dokumentation soll der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen nach Art. 33 DS-GVO ermöglichen.

Zudem muss der Rechtsanwalt die von der Verletzung des Schutzes personenbezogener Daten betroffene Person unverzüglich benachrichtigen (Art. 34 DS-GVO), wenn aus der Datenschutzverletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen folgt. In klarer und einfacher Sprache muss der Rechtsanwalt die Art der Verletzung und die in Art. 33 Abs. 3 DS-GVO genannten Mindestangaben mitteilen.

Eine Benachrichtigung des Betroffenen ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

  1. „der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
  2. der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht,
  3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.“
 
Copyright 2018 - Bundesrechtsanwaltskammer