Das Wichtigste zum Thema “DSGVO-Verstoß melden” in Kürze
In der Regel muss jeder Datenschutzverstoß der zuständigen Datenschutzbehörde gemeldet werden. Ein Ausnahme besteht, wenn ein geringes Verletzungsrisiko der personenbezogenen Daten vorliegt. Mehr dazu lesen Sie hier.
Wem der DSGVO-Verstoß zu melden ist, richtet sich nach dem Ort der Datenpanne und der verarbeitenden Stelle. In der Tabelle weiter unten haben wir Ihnen die örtlichen Zuständigkeiten übersichtlich zusammengefasst.
Ein Datenschutzverstoß definiert die DSGVO allgemein als Verletzung des Schutzes personenbezogener Daten. Diese kann in der Vernichtung, dem Verlust, der Veränderung oder der Offenlegung der Daten liegen.
Wie können Sie einen Datenschutzverstoß melden?
Die Datenschutz-Grundverordnung (DSGVO) legt strenge Regelungen fest, wenn es um den Umgang mit personenbezogenen Daten geht. Von Zeit zu Zeit kann es vorkommen, dass diese Regeln gebrochen werden – sei es vorsätzlich oder aus Versehen. In einem solchen Fall ist es wichtig, den Verstoß gegen die DSGVO zu melden. Doch wie läuft das ab? Wer ist Ansprechpartner, wenn Sie Datenschutzverstöße melden wollen? Und generell: Was ist überhaupt ein Datenschutzverstoß? Diesen Fragen gehen wir im folgenden Ratgeber auf den Grund.
Inhaltsverzeichnis
Datenschutz: Einen Verstoß erkennen und melden
Bevor es um die Frage geht, wie Sie einen DSGVO-Verstoß melden können, ist es zunächst wichtig zu klären, was überhaupt unter einem solchen Verstoß verstanden wird.
Nach der DSGVO liegt ein Datenschutzverstoß ganz allgemein dann vor, wenn der Schutz personenbezogener Daten verletzt wurde. Die Rede ist dann auch von der sogenannten Datenpanne. Im Einzelnen wird zwischen zwei Alternativen unterschieden:
- Vernichtung, Verlust oder Veränderung der personenbezogenen Daten
- unbefugte Offenlegung bzw. unbefugter Zugang von/zu personenbezogenen Daten
Liegt ein solcher Fall vor, handelt es sich um einen Verstoß gegen den Datenschutz, den Sie melden müssen. Dies ist in Art. 33 der DSGVO geregelt. Dort heißt es:
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der […] zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die DSGVO legt also sowohl fest, wer den Datenschutzverstoß melden muss, als auch innerhalb welcher Frist die Meldung vorgenommen werden muss. Wer Verantwortlicher im Sinne der DSGVO ist, wird im Art. 4 Nr. 7 definiert. Dementsprechend ist derjenige verantwortlich, der über die Zwecke und Mittel der Verarbeitung entscheidet.
Eine Meldung ist laut. Art. 33 DSGVO nicht erforderlich, wenn ein geringes Verletzungsrisiko bzgl. der personenbezogenen Daten besteht. Dies ist bspw. dann der Fall wenn sicher verschlüsselte Datenträger verloren gegangen sind, auf denen sich entsprechende Daten befinden.
Bei wem müssen Sie Datenschutzverstöße melden?
Um einen DSGVO-Verstoß zu melden, muss sich der Verantwortliche an die zuständige Datenschutzbehörde wenden. Je nachdem wo die personenbezogenen Daten (unzulässig) verarbeitet wurden und welche Stelle für die Datenpanne verantwortlich ist, ändert sich auch die zuständige Behörde. In der folgenden Tabelle haben wir übersichtlich aufgelistet, wer in Ihrem jeweiligen Bundesland für den Datenschutz zuständig ist. Beachten Sie jedoch, dass in einigen Fällen der Bundesdatenschutzbeauftragte oder auch spezielle Datenschutzbehörden unabhängig vom Ort des Verstoßes zuständig sind.
Landesdatenschutzbeauftragte in Deutschland
| Bundesland | Landesdatenschutzbeauftragte/r | Homepage |
|---|---|---|
| Baden-Württemberg | Dr. Stefan Brink | Homepage |
| Bayern | Prof. Dr. Thomas Petri | Homepage |
| Berlin | Maja Smoltczyk | Homepage |
| Brandenburg | Dagmar Hartge | Homepage |
| Bremen | Dr. Imke Sommer | Homepage |
| Hamburg | Prof. Dr. Johannes Caspar | Homepage |
| Hessen | Prof. Dr. Michael Ronellenfitsch | Homepage |
| Mecklenburg-Vorpommern | Heinz Müller | Homepage |
| Niedersachsen | Barbara Thiel | Homepage |
| Nordrhein-Westfalen | Helga Block | Homepage |
| Rheinland-Pfalz | Prof. Dr. Dieter Kugelmann | Homepage |
| Saarland | Monika Grethel | Homepage |
| Sachsen | Andreas Schurig | Homepage |
| Sachsen-Anhalt | Dr. Harald von Bose | Homepage |
| Schleswig-Holstein | Marit Hansen | Homepage |
| Thüringen | Dr. Lutz Hasse | Homepage |
Bildnachweise: Fotolia.com/peterschreiber.media, Fotolia.com/mangpor2004
Quellen und weiterführende Links
(29 Bewertungen, Durchschnitt: 4,14 von 5)
Loading...
Nadin meint
Wenn ein Fotograf ohne einem Vertrag und ohne mündlicher Vereinbarung Fotos öffentlich von mir verwendet, verkauft und öffentlich zur Verfügung stellt, kann ich was dagegen tun?
Hugo meint
Das ganze Thema wird ironischerweise interessant, wenn eine Webseite in vielen Punkten möglicherweise gegen die DSGVO verstößt (kein Cookie-Hinweis, jede Menge Social-Media-Cookies, Google-Ressourcen, kein HTTPS), aber die Webseite zudem gegen die Impressumspflicht verstößt, das heißt, kein “Unternehmenssitz” angegeben ist. Die Webseite besitzt einen Spenden-Button und Sponsoren-Links, es handelt sich also um eine kommerzielle Seite.
Der Webspace-Hoster sitzt nach IP-geolocation in NRW, die Webseite hat eine .de-Domain, aber ansonsten gibt es keine persönlichen Informationen zum Betreiber. NRW bietet ein online ausfüllbares Beschwerdeformular, dass per Post oder Fax (!!) geschickt werden muss, zusammen mit kopierten Unterlagen (Webseite ausdrucken?) zum DSGVO-Verstoß. Bonus: man muss Namen und Sitz des “Unternehmens” mit angeben.. Glückwunsch, Deutschland. Großartig umgesetzt, die Neulandpolitik hat es geschafft.
B. meint
Jemand veröffentlicht bei Facebook eine gerichtliche Verfügung und lässt dabei den Namen der Person gegen die, die gerichtliche Verfügung gerichtet ist ungeschwärzt stehen.
Auf den Hinweis an die postende, dass dies datenschutzrechtlich nicht richtig sei! Erwiderte die postende Person, es sei ihr egal.
Bei der postenden Person als auch der benannten Person, handelt es sich um Privatpersonen.
Es geht offensichtlich nur um das schädigen der benannten Person.