21. Dezember 2020
Bußgeld gegen Twitter – die 72h-Meldefrist für Datenschutzverletzungen nach Art. 33 DS-GVO kennt keine Ferien (Teil 1 von 3)
Betriebsferien oder Unterbesetzung - jedes Unternehmen kennt es, wenn Feiertage oder Ferien vor der Tür stehen. Es werden noch schnell die letzten Aufgaben erledigt und Vertretungspläne erstellt, wer was im Fall der Fälle zu übernehmen hat. Häufig wird hierbei jedoch der Datenschutz vergessen. Dies ist nun auch Twitter zum Verhängnis geworden. In einer dreiteiligen Beitragsreihe befasst sich unsere Datenschutzbeauftragte und Volljuristin Corinna mit den Besonderheiten der Meldefristen für Datenschutzverletzungen.
Teil 1 – Meldepflicht von Datenschutzverletzungen des Verantwortlichen1 gegenüber der Aufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO
Die irische Datenschutzbehörde hat gegen Twitter ein Bußgeld in Höhe von 450.000 Euro wegen der Verletzung der Meldefrist von 72h und der Dokumentationspflicht von Datenschutzverletzungen nach Art. 33 Abs. 1, 5 DS-GVO verhängt.2 Der Datenschutzverletzung lag ein Bug bei Twitter zugrunde, wodurch temporär geschützte Tweets für die Öffentlichkeit lesbar waren. Twitter selbst sei während der Weihnachtsfeiertage 2018 und Neujahr darauf aufmerksam geworden; habe jedoch nach eigenen Angaben aufgrund der Unterbesetzung im Unternehmen während der Feiertage die Meldefrist von 72h nach Art. 33 Abs. 1 DS-GVO an die Datenschutzbehörde nicht einhalten können.3
An dieser Stelle sollten Sie sich fragen: „Kann unserem Unternehmen das auch passieren?“
Das hängt natürlich davon ab, wie gut Sie intern bzgl. des Managements von Datenschutzverletzungen aufgestellt sind. Denn grundsätzlich trifft eine Unterbesetzung von Personal für die meisten Unternehmen während der Ferien oder Feiertagen zu. Die Begründung von Twitter, warum die Meldefrist nicht eingehalten worden ist, scheint daher auf den ersten Blick nicht abwegig, sondern vielmehr plausibel; ob sie der Wahrheit entspricht, sei mal dahingestellt. Vergewissern Sie sich daher insbesondere vor den Ferien oder den Feiertagen, dass auch entsprechende Vertretungsregelungen in Bezug auf die Erkennung und Meldung von Datenschutzverletzungen bei Ihnen im Unternehmen getroffen worden sind.
Dreiteilige Beitragsreihe
Damit Sie sich noch einmal vor Augen führen, was in Bezug auf die Meldepflicht nach Art. 33 DS-GVO wichtig ist, haben wir dies für Sie in 3 Teilen zusammengefasst. Im 1. Teil erläutern wir die Meldepflicht von Datenschutzverletzungen des Verantwortlichen gegenüber der Aufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO, im 2. Teil befassen wir uns mit der Frage, wem gegenüber der Auftragsverarbeiter Datenschutzverletzungen zu melden hat, im 3. Teil gehen wir letztlich auf die Benachrichtigungspflicht von Datenschutzverletzungen des Verantwortlichen gegenüber den betroffenen Personen nach Art. 34 DS-GVO ein.
Autorin: Corinna Stanke