Datenschutzvorfall-Register
Auch: Incident-Log Datenschutz · Verletzungsregister
Das Datenschutzvorfall-Register ist eine interne, fortlaufend geführte Aufstellung aller Datenschutzverletzungen im Maklerbüro. Es muss auch dann geführt werden, wenn ein Vorfall nicht meldepflichtig war, weil kein Risiko für Betroffene bestand.
Ausführliche Erklärung
Art. 33 Abs. 5 DSGVO verpflichtet jeden Verantwortlichen, sämtliche Datenschutzverletzungen zu dokumentieren – einschließlich der Tatsachen, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentationspflicht ist von der Meldepflicht nach Art. 33 Abs. 1 DSGVO strikt zu unterscheiden: Auch Vorfälle, die kein Risiko begründen und daher nicht der Aufsichtsbehörde gemeldet werden müssen, gehören ins Register. Die Aufsichtsbehörde muss in der Lage sein, anhand des Registers die Einhaltung der DSGVO zu überprüfen (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).
Ein praxistaugliches Register enthält für jeden Vorfall mindestens:
- Datum und Uhrzeit der Kenntniserlangung sowie des mutmaßlichen Vorfalls,
- Beschreibung des Vorfalls (Art, betroffene Datenkategorien, Anzahl betroffener Personen),
- Risikoeinschätzung und Begründung, ob eine Meldung an die Behörde bzw. Benachrichtigung Betroffener erfolgte oder warum nicht,
- ergriffene Sofort- und Folgemaßnahmen (z. B. Sperrung von Zugängen, Information der Beteiligten, technische Nachbesserung),
- verantwortliche Person für die Bearbeitung.
Für Maklerbüros empfiehlt sich eine einfache, aber lückenlos geführte Tabelle oder ein Modul in der eingesetzten CRM-Software. Fehlt ein solches Register vollständig oder ist es erkennbar unvollständig, wird dies von Aufsichtsbehörden bei Prüfungen regelmäßig als eigenständiger Verstoß gegen die Rechenschaftspflicht beanstandet – unabhängig vom eigentlichen Vorfall.
Beispiel aus der Praxis
Ein Mitarbeiter verschickt versehentlich eine E-Mail mit dem Namen eines Interessenten an einen falschen, aber ebenfalls maklerinternen Empfänger. Da kein Risiko für die betroffene Person erkennbar ist, erfolgt keine Meldung an die Aufsichtsbehörde. Der Vorfall wird dennoch mit Datum, Beschreibung und der Begründung "kein Risiko, da Empfänger ebenfalls zur Verschwiegenheit verpflichteter Mitarbeiter" im Datenschutzvorfall-Register des Büros festgehalten.
Rechtsgrundlage
- Art. 33 Abs. 5 DSGVO – Pflicht zur Dokumentation aller Datenschutzverletzungen, unabhängig von der Meldepflicht.
- Art. 5 Abs. 2 DSGVO – Allgemeine Rechenschaftspflicht des Verantwortlichen.