Nicht jeder Datenschutzvorfall muss an die Aufsichtsbehörde gemeldet werden. Das bedeutet jedoch nicht, dass er folgenlos bleibt. Nach der Datenschutz-Grundverordnung besteht die Pflicht, jeden Datenschutzvorfall intern zu dokumentieren, auch dann, wenn keine externe Meldung erfolgt.
Ein Datenschutzvorfall liegt bereits dann vor, wenn personenbezogene Daten unbeabsichtigt offengelegt, verändert, gelöscht oder unbefugt zugänglich gemacht werden. Typische Beispiele sind falsch versendete E-Mails, verlorene Unterlagen oder unberechtigte Zugriffe auf Systeme. Ob eine Meldung an die Aufsichtsbehörde erforderlich ist, hängt vorn Risiko für die betroffenen Personen ab.
Unabhängig von dieser Risikobewertung verlangt die DSGVO eine vollständige interne Dokumentation.
Diese muss nachvollziehbar festhalten, was passiert ist, welche Daten betroffen waren, wie das Risiko bewertet wurde und warum gegebenenfalls keine Meldung erfolgt ist. Die Dokumentation dient nicht nur der Rechenschaftspflicht, sondern auch als Nachweis gegenüber der Aufsichtsbehörde.
In der Praxis wird diese Pflicht häufig übersehen. Datenschutzvorfälle werden intern ,gelöst“, ohne sie sauber zu erfassen oder zu bewerten. Das ist problematisch, da fehlende Dokumentation selbst einen Datenschutzverstoß darstellen kann. Gerade bei späteren Prüfungen oder Beschwerden fehlt dann die notwendige Grundlage.
Eine strukturierte interne Vorgehensweise hilft, Vorfälle richtig einzuordnen, Entscheidungen nachvollziehbar zu dokumentieren und Risiken zu minimieren. Datenschutz bedeutet dabei nicht, jeden Fehler zu melden, sondern jeden Fehler rechtlich korrekt zu bewerten und festzuhalten.