search

Wer meldet grundsätzlich Datenschutzverletzungen der Aufsichtsbehörde

1 Jahrs vor
Kommentare: 0
Ansichten: 109

Im Fall einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche diese unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme der gemäß Artikel 55 DS-GVO zuständigen Aufsichtsbehörde. Er muss dies nicht tun, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Show

Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Dieses Formular ist zur Meldung durch verantwortliche Stellen (Unternehmen, Vereine u.ä.) gedacht.

Sie sind selbst nicht verantwortlich, möchten aber ein rechtswidriges Handeln melden?

Dann nutzen Sie bitte unser Formular "Online-Beschwerde".

Bevor Sie einen Vorfall melden, lesen Sie bitte die Informationen zur Meldung von Datenschutzverstößen. Sie erfahren dort z. B., wann ein geringes Risiko vorliegt, das nicht meldepflichtig ist.

Im Einklang mit dem Grundsatz der Rechenschaftspflicht sollten die Verantwortlichen gegenüber der Aufsichtsbehörde nachweisen können, dass mindestens eine dieser Bedingungen erfüllt ist. Dabei gilt es zu beachten, dass auch, wenn zunächst auf die Meldung verzichtet werden kann, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, sich die Umstände mit der Zeit ändern können, sodass das Risiko erneut bewertet werden muss.

In Artikeln über die Datenschutz-Grundverordnung (DSGVO) scheint in jedem zweiten Satz das Wort „Bußgeld“ zu fallen, egal, worum es in den einzelnen Artikeln inhaltlich eigentlich geht. Stellt ein Unternehmen dann fest, dass es zu einer Datenschutzpanne gekommen ist, fallen Mitarbeitern und Geschäftsführung in aller Aufruhr meist zuerst das Bußgeld ein.

Wir möchten Sie an dieser Stelle beruhigen und sagen, dass auch bei einem Datenschutzvorfall ein strukturiertes Vorgehen möglich ist und es meist lange dauern wird, bis das letzte Wort in Sachen Bußgeld und Sanktion gesprochen ist. Insbesondere, wenn der Vorfall sorgfältig aufgeklärt und dokumentiert wird. Dazu gehört auch die Meldepflicht bei der Aufsichtsbehörde und gegebenenfalls bei den von dem Datenschutzvorfall betroffenen Personen zu beachten.

Wir zeigen Ihnen im Folgenden, wie Sie dabei am besten vorgehen und wann sie überhaupt einen Vorfall melden müssen.

Vorab schon einmal der wichtigste Hinweis:

Nachdem ein Datenschutzvorfall bekannt wird, haben Sie noch 72 Stunden Zeit für die Meldung!

Was sind Datenschutzvorfälle?

Grundvoraussetzung für die Meldung ist natürlich, dass überhaupt ein Datenschutzvorfall vorliegt. Ein Datenschutzvorfall ist grundsätzlich jedes Ereignis, in dem die Vertraulichkeit personenbezogener Daten verletzt wurde. Er kann sowohl durch vorsätzliche als auch durch unbeabsichtigte Handlungen von internen und externen Personen verursacht werden. Dazu gehören generell gefasst unbefugter Zugriff, Nutzung, Offenlegung, Verlust und unbefugte Zerstörung von personenbezogenen Daten.

Zum besseren Verständnis sind im Folgenden ein paar Beispiele von Datenschutzvorfällen genannt:

  • Unrechtmäßige Übermittlung (z.B. Versand einer E-Mail an den falschen Adressaten),
  • Verlust oder Diebstahl von Speichermedien oder Dokumentationen, die personenbezogene Daten enthalten,
  • Datenpannen / Datenlecks (z.B. Softwarefehler, Angriffe auf das IT-System durch Hacking),
  • Versehentliche Änderung oder auch die unbeabsichtigte Löschung personenbezogener Daten.

Meldepflichten – der Vorgang und Verantwortlichkeiten

Der Vorgang zur Meldung der Datenschutzpanne gegenüber der zuständigen Aufsichtsbehörde wird durch die Kenntniserlangung des Datenschutzvorfalls in Gang gesetzt. Dies geschieht beispielsweise per Mitteilung durch einen Mitarbeiter oder durch einen Auftragsverarbeiter. Falls nach grober Prüfung nicht von vornherein ausgeschlossen werden kann, dass personenbezogene Daten betroffen sind, müssen die Geschäftsführung, der Datenschutzbeauftragte und die interne IT-Abteilung informiert werden. Es ist daher stets folgender (grober) Ablauf einzuhalten:

  1. Sammlung aller wichtigen Eckdaten zum Vorfall (Was ist passiert, wann ist es passiert, welche Abteilung ist involviert, sind personenbezogene Daten betroffen, wer ist betroffen etc.)
  2. Meldung des Datenschutzvorfalls an den Datenschutzkoordinator
  3. Datenschutzkoordinator: Notiert Zeitpunktdes Datenschutzvorfalls und informiert umgehend IT-Abteilung, Geschäftsführung und ggf. Datenschutzbeauftragten
  4. IT-Abteilung: schnellstmögliche Einleitung von Sicherheitsvorkehrungen
  5. Datenschutzbeauftragter: prüft Vorfall datenschutzrechtlich und schätzt ein, ob der Vorfall meldepflichtig ist
  6. Geschäftsführung: trifft abschließende Entscheidung, ob Vorfall gemeldet werden soll
  7. Meldung des Vorfalls an die zuständige Datenschutzbehörde und die betroffene(n) Person(en)

Dem Datenschutzkoordinator kommt bei diesem Prozess die Aufgabe der Koordinierung und Information der Beteiligten zu. Die rechtliche Prüfung des Vorfalls sowie die Anweisung konkreter Handlungen obliegt dagegen dem Datenschutzbeauftragten, ggf. in Absprache mit der Rechtsabteilung. Die Geschäftsführung leitet den Krisenstab, unterstützt bei der Aufklärung und trifft letztendlich die Entscheidung, ob eine Meldung erfolgt. Die schnelle Überprüfung der technischen Systeme sowie ggf. die Sicherstellung von Backups der betroffenen Systeme kommt der IT-Abteilung zu.

Meldung an die Aufsichtsbehörde

Sind alle Informationen zum Vorfall gesammelt, muss eine Meldung an die zuständige Aufsichtsbehörde erfolgen, wenn ein Risiko für die persönlichen Rechte und Freiheiten von natürlichen Personen droht. Dabei muss es sich um keine schwerwiegende Beeinträchtigung handeln. Ob ein Risiko besteht, wird anhand einer Risikoabwägung festgestellt. Innerhalb der Risikoabwägung müssen u.a. folgende Gesichtspunkte untersucht werden:

  • Art der betroffenen Daten: bei sensiblen Daten (z.B. Gesundheitsdaten) ist von einem hohen Risiko auszugehen,
  • Grad der Vertraulichkeit der Daten,
  • Art des Angriffs auf die Daten,
  • Missbrauchspotential,
  • Möglichkeiten der Schadensbegrenzung.

Liegt ein Risiko vor und muss eine Meldung an die Aufsichtsbehörde erfolgen, so werden an die Meldung einige formale Anforderungen gestellt. Sie muss Name und Kontaktdaten des Datenschutzbeauftragten, die Art der Verletzung sowie Angaben zur Kategorie der Daten und der ungefähren Anzahl der betroffenen Datensätze und Personen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie die von dem Unternehmen ergriffenen und vorgeschlagenen Maßnahmen zur Behebung der Verletzung enthalten.

Ergibt die Abwägung, dass lediglich belanglose Daten von dem Vorfall betroffen sind, so wird eine Meldung in der Regel unterbleiben können.

Mehr Informationen zum Thema:

Datenschutzvorfälle mit Gesundheitsdaten: Maßnahmen für Verantwortliche
Effizienter Datenschutz durch Datenschutz­managementsysteme

Meldung an den Betroffenen

Zudem muss geprüft werden, ob die betroffene Person informiert werden muss. Die betroffene Person ist diejenige, deren Daten beispielsweise unrechtmäßig durch Diebstahl oder Hacking an eine dritte Person gelangt sind. Eine Meldung muss jedoch nicht immer erfolgen. Im Vergleich zu den Anforderungen der Meldung an die Aufsichtsbehörde sind die Anforderungen höher anzusetzen: Sie ist nur dann vorgeschrieben, wenn voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person besteht. Ob ein derartiges hohes Risiko besteht, wird ebenfalls anhand einer Risikoabwägung festgestellt.

Folgende Beispiele stellen ein hohes Risiko dar, sodass von einer Meldepflicht auszugehen ist:

  • Rufschädigung,
  • Identitätsdiebstahl- und betrug,
  • Finanzielle Schäden,
  • Diskriminierung.

Muss eine Meldung erfolgen, dann ist sie verständlich und möglichst laienhaft zu formulieren und muss einige formale Kriterien erfüllen, u.a. Name und Kontaktdaten des Datenschutzbeauftragten, sowie eine Beschreibung der Art der Verletzung, den wahrscheinlichen Folgen einer Verletzung und den vom Verantwortlichen ergriffenen und vorgeschlagenen Maßnahmen.

Keine Meldepflicht liegt vor, wenn:

  • geeignete technische und organisatorische Maßnahmen getroffen wurden, sodass Nachteile für betroffene Personen ausgeschlossen werden können,
  • die Meldung mit unverhältnismäßigem Aufwand verbunden wäre. In diesem Fall ist jedoch stattdessen eine öffentliche Bekanntmachung oder eine vergleichbare Maßnahme erforderlich,
  • durch die Meldung Informationen offenbart würden, die wegen überwiegenden Interesses eines Dritten geheim gehalten werden müssten.

Fazit: Schnelles und strukturiertes Handeln ist angesagt!

Gehen Sie sorgfältig mit einem Datenschutzvorfall um und verhalten Sie sich nach den gesetzlichen Regeln, dann können Sie sowohl die Aufsichtsbehörde als auch die betroffenen Personen friedlich stimmen. Sie sollten weder die Zeit verstreichen lassen, noch die formalen und inhaltlichen Anforderungen an die Meldung ignorieren. Taktisch klug handelt nur der, der sich exakt an die Regeln hält – insbesondere, wenn er es vorher nicht gemacht hat und es so zu einem Datenschutzvorfall gekommen ist. Wichtig ist auch, dass der Datenschutzvorfall sorgfältig aufgeklärt und dokumentiert wird.

Die Meldung eines Datenschutzvorfalls: die wichtigsten Punkte

  • Sorgfältige interne Aufklärung des Vorfalles
  • Koordinierte und strukturierte Arbeitsteilung zwischen Legal, Datenschutzbeauftragter (DSB), IT und Geschäftsführung – jeder muss seine Rolle kennen!
  • Risiko abwägen:
    einfaches Risiko: nur Aufsichtsbehörde verständigen
    hohes Risiko: betroffene Person und Aufsichtsbehörde verständigen
  • Formale Anforderungen an die Meldungen einhalten!
  • 72 Stunden der Meldung gegenüber der Behörde dürfen nicht überschritten werden!
  • Dokumentation aller Datenschutzvorfälle. Auch wenn keine Meldung gegenüber der Behörde erfolgt!

Insbesondere der Datenschutzbeauftragte spielt eine wichtige Rolle, wenn es zu einem Datenschutzvorfall gekommen ist. Ihm obliegt u.a. die wichtige Aufgabe der datenschutzrechtlichen Prüfung des Vorfalls. Die ISiCO Datenschutz GmbH kann für Ihr Unternehmen den externen Datenschutzbeauftragten stellen und durch die gezielte Implementierung der DSGVO-Vorgaben bei der Bearbeitung von Datenschutzvorfällen unterstützen oder sogar bereits deren Entstehung verhindern! Unsere Rechts- und IT-Experten können zudem Ihre internen Datenschutzbeauftragten in DSB-Schulungen auf Ihre Aufgaben vorbereiten oder Ihre Mitarbeiter im Umgang mit Datenschutzvorfällen schulen. Vertrauen Sie auf uns und unsere Expertise im Datenschutz!

Welchen Zeitraums müssen datenpannen durch die verantwortliche Stelle an die zuständige Aufsichtsbehörde gemeldet werden?

Die Datenpanne muss innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden.

Wann gelten Daten als personenbezogen?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare lebende Person beziehen. Verschiedene Teilinformationen, die gemeinsam zur Identifizierung einer bestimmten Person führen können, stellen ebenfalls personenbezogene Daten dar.

Was gehört zu den besonderen Kategorien personenbezogener Daten?

Zu diesen gehören genetische, biometrische und Gesundheitsdaten sowie personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit des Betroffenen hervorgehen.

Was ist eine Datenverarbeitung im Sinne der Dsgvo?

Sie umfasst das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen ...

wer meldet grundsätzlich datenschutzverletzungen der aufsichtsbehörde Art 33 DSGVO Meldung Datenschutzverletzung Datenschutzverletzung DSGVO 65 BDSG Art 33 gdpr

zusammenhängende Posts

Arbeiten in der Schweiz als Ausländer
Arbeiten in der Schweiz als Ausländer

Was soll ich in der Bibel lesen?
Was soll ich in der Bibel lesen?

Was ist das stärkste tier auf der welt
Was ist das stärkste tier auf der welt

Wie werde ich Logopädin in der Schweiz?
Wie werde ich Logopädin in der Schweiz?

Wer hat den ballon d or gewonnen
Wer hat den ballon d or gewonnen

Wer würde den Weissen Hai nicht mehr schreiben?
Wer würde den Weissen Hai nicht mehr schreiben?

Wer spielt die Nonne bei Hinter Gittern?
Wer spielt die Nonne bei Hinter Gittern?

3 gegenstände nennen und fragen wer ist das
3 gegenstände nennen und fragen wer ist das

Was bedeutung der name sühan
Was bedeutung der name sühan

Was ist der unterschied von beta albumin und alpha
Was ist der unterschied von beta albumin und alpha

Werbung

NEUESTEN NACHRICHTEN

Borderline wer ist schuld
1 Jahrs vor . durch LunarLine-up
Wer hat mich auf Instagram blockiert
1 Jahrs vor . durch IncipientHeader
Wie geht es dir was soll ich antworten?
1 Jahrs vor . durch SolubleAuthority
Kind 1 Jahr wie oft Fleisch
1 Jahrs vor . durch ThirstyRepublic
Was müssen Sie bei der Beladung von Fahrzeugen zu beachten?
1 Jahrs vor . durch WaxedHeadquarters
Schütz Die Himmel erzählen die Ehre Gottes
1 Jahrs vor . durch ExtrinsicSaucer
In planning an IS audit, the MOST critical step is the identification of the
1 Jahrs vor . durch SteepPanther
Wie lange darf eine Kaution einbehalten werden?
1 Jahrs vor . durch SeasonalBanjo
Sarah connor nicht bei voice of germany
1 Jahrs vor . durch FloridIceberg
Kann man mit dem Fachabitur Jura studieren?
1 Jahrs vor . durch PolarIndecency

Werbung

Populer

Werbung

Um

Legal

Hilfe

Sozial

homeendefrjpkoptzhhiitthtr
Urheberrechte © © 2024 ketiadaan Inc.