Zuletzt gehen wir auf das „worst-case-Szenario“ nach der derzeitigen Rechtslage ein und geben Ihnen die wichtigsten Verhaltensregeln an die Hand, um aus diesem Schlamassel wieder heraus zu kommen.

Es ist nun also passiert, personenbezogene Daten sind in die Hände Unbefugter gekommen. Dies kann sehr schnell geschehen, z.B. durch einen ungesperrten, unbewachten PC im Vereinsheim und schon hat ein Dritter mitgelesen.

Sie denken sich jetzt sicherlich, „ja das ist nicht gut, aber die Daten sind dennoch in unserem System weiterhin enthalten, ist das wirklich so schlimm?“ Ja das ist es, Schweigen ist in dieser Situation nicht Gold, sondern kann schon nach der gegenwärtigen Rechtslage übel enden. Die derzeitige Rechtslage begrenzt eine Meldepflicht auf den Fall, dass eine unmittelbare Bedrohung für die betroffenen Personen besteht.

Die oben genannte Einschränkung gilt ab dem 25.05.2018 nicht mehr, denn dann tritt die DSGVO in Kraft. Hier muss dann jede Verletzung von personenbezogenen Daten der Aufsichtsbehörde gemeldet werden.

Die Meldefrist beträgt 72 Stunden nach Bekanntwerden der Panne, eine etwaige Verzögerung durch ein Mitglied trägt nicht.

Eine Benachrichtigung der Betroffenen muss gemäß § 34 DSGVO nur im Falle eines erhöhten Risikos der Beeinträchtigung vorgenommen werden.

Hinzu kommen die Schadensersatzansprüche betroffener Personen, Art. 82 I DSGVO.