DR. ARNO FRINGS
ist
Fachanwalt für Arbeitsrecht
und Partner bei der Kanzlei
Fringspartners in Düsseldorf.
STEPHANIE SIMOKAT
ist
Rechtsanwältin bei der
Kanzlei Fringspartners in
Düsseldorf.
für den Verantwortlichen beinhalten,
eine Abschätzung der Folgen der vor-
gesehenen Verarbeitungsvorgänge vor-
zunehmen. Auf diese Weise soll eine
Risikobewertung ermöglicht werden.
Die Datenschutzfolgeabschätzung
stellt zwar keine Dokumentationspflicht
im engeren Sinne dar, sollte jedoch un-
ter Berücksichtigung der drakonischen
Sanktionen auch zwingend beachtet
werden.
Meldepflichten:
Verletzung unverzüglich offenlegen
Ferner sieht die DSGVO in Art. 33 eine
Meldepflicht des Verantwortlichen vor.
Diese greift im Falle einer Verletzung
des Schutzes personenbezogener Daten.
Liegt eine solche vor, meldet der Verant-
wortliche unverzüglich und möglichst
binnen 72 Stunden, nachdem ihm die
Verletzung bekannt wurde, diese der
zuständigen Aufsichtsbehörde. Eine
Ausnahme besteht nur dann, wenn die
Verletzung des Schutzes personenbe-
zogener Daten voraussichtlich nicht zu
einem Risiko für die Rechte und Freihei-
ten natürlicher Personen führt.
Was unter einer Verletzung personen-
bezogener Daten zu verstehen ist, regelt
Art. 4 Nr. 12 DSGVO: Danach liegt eine
Verletzung personenbezogener Daten
vor, wenn eine Verletzung der Sicher-
heit gegeben ist, die – ob unbeabsichtigt
oder unrechtmäßig – zur Vernichtung,
zum Verlust, zur Veränderung oder
zur unbefugten Offenlegung von bezie-
hungsweise zum unbefugten Zugang
zu personenbezogenen Daten führt, die
übermittelt, gespeichert oder auf sons
tige Weise verarbeitet wurden.
Die bisher in § 42 a BDSG geregelte
Meldepflicht ist nicht derart weitgehend,
da lediglich die Verletzung bestimmter
personenbezogener Daten anzuzeigen
ist. Zudem gilt die Pflicht nur dann,
wenn Daten unrechtmäßig übermittelt
oder auf sonstige Weise Dritten unrecht-
mäßig zur Kenntnis gelangt sind.
Nach der europäischen Neuregelung
existiert nunmehr keine Beschränkung
auf eine bestimmte Art personenbezo-
gener Daten. Es sind sämtliche Verlet-
zungen zu melden. Dabei wird auch
nicht mehr ausschließlich auf die unbe-
rechtigte Kenntnisnahme durch Dritte
abgestellt, sondern es genügt bereits,
wenn beispielsweise Daten versehent-
lich vernichtet werden.
Ausblick:
Erhebliche Geldbußen drohen
Um drakonische Sanktionen zu vermei-
den, haben Verantwortliche auf die Ein-
haltung der Pflichten zu achten. Gerade
die Dokumentationspflicht ist ernst zu
nehmen. Sie ermöglicht es dem Arbeit-
geber, seiner Beweislast nachzukom-
men – was er denklogisch nur dann
kann, wenn er seine anderen Pflichten
auch erfüllt hat. Dies gilt auch vor dem
Hintergrund eines Schadensersatzan-
spruchs für immaterielle Schäden.
19
