In Artikel 33 der DSGVO ist die Meldepflicht geregelt:
"Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen."
Die Meldung muss bestimmte Informationen enthalten, insbesondere welche Maßnahmen ergriffen oder geplant sind zur Behebung der Verletzung und ggf. welche Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen für die betroffenen Personen durchgeführt werden. Diese Informationen können auch schrittweise der Behörde zur Verfügung gestellt werden.
Die maximale Zeit von 72 Stunden ist schnell erreicht; im schlimmsten Fall erlangt der Verantwortliche am Freitagnachmittag Kenntnis über den Vorfall. Das Szenario Fall X vorher durch zu spielen und die sinnvolle Beschreibung des Vorgehens zu dokumentieren, empfiehlt sich sehr! Die Prozesskette sollte im Unternehmen in den wesentlichen Punkten allen bekannt sein. Durch die präventive Beschäftigung und Analyse ergeben sich meist Defizite im Unternehmen. Die Behebung dieser und sinnvollen Verbesserungen in den technisch-organisatorischen Maßnahmen sollten in der Datenschutz-Dokumentation niedergeschrieben werden.
Wird die Meldefrist gerissen, wie z.B. durch booking.com, die einen Vorfall im Januar 2019 der Behörde erst 25 Tage nach Bekanntwerden meldete UND ihren Prozess nicht im Griff hatten, kann das 475.000€ kosten. Die Höhe begründet die niederländische Behörde "Autoriteit Persoonsgegevens" am 31.03.2021 u.a. so:
"Ein Datenleck kann leider überall passieren, auch wenn Sie gute Vorsichtsmaßnahmen getroffen haben. Aber um Schaden für Ihre Kunden und eine Wiederholung einer solchen Datenverletzung zu verhindern, müssen Sie sie rechtzeitig melden. Diese Geschwindigkeit ist sehr wichtig. In erster Linie für die Opfer eines Lecks."
Laut der Behörde hat booking.com das Bußgeld akzeptiert und wird nicht dagegen vorgehen. Details zu dem Beispiel und Ablauf siehe die 27 seitige Begründung der niederländischen Behörde.
Quellen
- Das BSI bietet für Unternehmen ein Erste-Hilfe-Paket bei einem IT-Sicherheitsvorfall an, um die ersten Schritte zur Bewältigung des Vorfalls angehen zu können. U.a. eine Vorfall-Checklisten für Organisatorisches und für Technik.