Was ist die 72-Stunden-Frist?
Wenn eine Datenschutzverletzung voraussichtlich ein Risiko für die Rechte und Freiheiten von Betroffenen darstellt, muss der Vorfall innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Datenschutzbehörde gemeldet werden. Wann liegt ein meldepflichtiges Risiko vor?  Für die Risikoeinstufung gibt der europäische Datenschutzausschuss in seinen Guidelines Verantwortlichen Kriterien an die Hand wie:

• Zahl der Betroffenen
• Art und Umfang der Daten
• Art der Verletzung
• Identifizierbarkeit der betroffenen Person
• die Schwere der Folgen für die betroffene Person
• besondere Eigenschaften des Verantwortlichen
• besondere Eigenschaften der betroffenen Person (Kinder, Art. 9 DSGVO Daten)
• zu erwartende Konsequenzen.

Die 72-Stunden-Frist gemäß beginnt gemäß Art. 33 Abs. 1 DSGVO mit Kenntnisnahme zu laufen, d.h. sollte es einen Datenschutzvorfall bei Ihnen geben, laufen die 72 Stunden, sobald Sie oder einer Ihrer Mitarbeiter davon Kenntnis erlangt. Die Frist kennt keine Feiertage und kein Wochenende, sie läuft auch dann. Es ist also Eile geboten und entscheidend, dass Mitarbeiter sensibilisiert werden und bei Vorliegen eines Datenschutzvorfalls unverzüglich reagieren.

Datenschutzvorfall – und nun?

Die Meldung an die Behörde sollte gemäß Art. 33 Abs. 3 DSGVO mindestens die folgenden Informationen enthalten:

1. Art der Verletzung: Beschreibung des Vorfalls (z. B. Datenverlust, unbefugter Zugriff)

2. Betroffene Daten: Art der kompromittierten personenbezogenen Daten (z. B. Gesundheitsdaten, Bankdaten).

3. Betroffene Personen: Anzahl der betroffenen Personen und Datensätze, soweit bekannt.

4. Folgen: Beschreibung der möglichen Konsequenzen der Verletzung (z. B. Identitätsdiebstahl, wirtschaftliche Schäden) à hierbei kann Ihnen Ihr Datenschutzbeauftragter behilflich sein

5. Maßnahmen: Ergriffene oder geplante Schritte zur Behebung der Verletzung und zur Minderung des Schadens.

6. Ansprechpartner: Kontaktdaten für Rückfragen (z. B. Datenschutzbeauftragter).

Die Behörden haben auf ihren Webseiten in der Regel ein Formular, welches diesem Schema folgt. Es ist wichtig, dass Sie intern einen Prozess etabliert haben, der festlegt, wer im Falle einer Datenschutzverletzung Ansprechpartner ist, der Meldepflicht nachkommt und die Dokumentationspflicht erfüllt. Es kann sich dabei auch um ein Team handeln. Der Datenschutzbeauftragte ist in der Regel mit einzubeziehen; für die Risikoabwägung müssen ihm alle relevanten Informationen zur Verfügung gestellt werden.

Wichtig ist die Einhaltung der 72-Stunden-Frist, auch wenn Ihnen noch nicht alle Informationen vorliegen; Ihre Meldung können Sie zu einem späteren Zeitpunkt ergänzen oder korrigieren.

Fazit
Die Einhaltung der 72-Stunden-Frist ist essenziell, um Bußgelder zu vermeiden. Schnelle Reaktionen und eine strukturierte Vorgehensweise sind entscheidend.