Dies ist eine alte Version des Dokuments!
Die Meldung eines Datenschutzverstoßes muss gemäß Art. 33 Abs. 1 DSGVO erfolgen, wenn der Schutz personenbezogener Daten verletzt wird, also faktisch bei jeder nicht ordnungsgemäßen Beachtung des Datenschutzes. Eine Ausnahme besteht dann, wenn der Verantwortliche eine Prognoseentscheidung treffen kann, dass der Datenschutzverstoß „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Diese Prognose ist durch den Landesdatenschutzbeauftragten und gerichtlich voll überprüfbar. Fehler können zu Ordnungswidrigkeiten und damit Bußgeldern führen.
Die Meldung muss innerhalb von 72 Stunden nach Bekanntwerden des Datenschutzverstoßes erfolgen. Die Zeit ist außerordentlich knapp, vor allem, da Abhilfemaßnahmen möglichst schon ganz oder teilweise umgesetzt und in der Meldung dokumentiert sein sollten. Allein das Entfernen von Inhalten im Cache von Google kann schon Stunden in Anspruch nehmen.
Bei der Meldung eines Datenschutzverstoßes ist die Verwendung eines Formular nicht vorgeschrieben. Es kann sich aber anbieten, vom Landesdatenschutzbeauftragten vorgeschlagene Formulare zu nutzen, z.B. vom Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit dieses Formular1) um Risiken durch unvollständige Information zu vermeiden und andererseits auch nicht unnötig viel zu melden.