INFORMATIONEN

Top-Tipps für die Meldung von Verstößen an Aufsichtsbehörden im Rahmen der DSGVO

Sie benachrichtigen die Aufsichtsbehörden über Verstöße gegen den Schutz personenbezogener Daten, was ein überlegtes Vorgehen erfordert. In der Hitze des Gefechts können nur allzu leicht teure Fehler gemacht werden, vor allem wenn die 72-Stunden-Frist abläuft.

Hier sind unsere fünf besten Tipps für den Umgang mit den verschiedenen Fallstricken bei der Meldung einer Sicherheitsverletzung.

Benachrichtigen Sie den richtigen Regler

Es kann unklar sein, welche Aufsichtsbehörde zu benachrichtigen ist, wenn das Ereignis Menschen in mehreren Ländern betrifft. Angenommen, Ihr Unternehmen hat eine federführende Aufsichtsbehörde für die Zwecke der DSGVO eingerichtet. In diesem Fall wird die Sache einfacher, d. h. Sie können die federführende Aufsichtsbehörde benachrichtigen (obwohl es Gründe geben kann, warum Sie trotzdem eine Aufsichtsbehörde in einem anderen Land benachrichtigen wollen, um das Risiko zu verringern).

Wurde keine federführende Aufsichtsbehörde bestimmt oder besteht Unklarheit darüber, wer die federführende Aufsichtsbehörde sein wird, empfiehlt der Europäische Datenschutzausschuss, dass zumindest die Behörde, in der der Verstoß stattgefunden hat, informiert werden sollte. Dadurch wird sichergestellt, dass eine Liste von Aufsichtsbehörden in die engere Wahl genommen werden kann und dass eine einzelne Aufsichtsbehörde für Länder, in denen sich Personen befinden könnten, nicht benachrichtigt werden muss.

Die Auswahlliste sollte gründlich geprüft werden. Die Position mit der größten Anzahl betroffener Personen ist ein üblicher Faktor, der in Betracht gezogen wurde. Ein weniger offensichtlicher Aspekt, den Sie in Betracht ziehen können, ist die Möglichkeit, dass eine bestimmte Aufsichtsbehörde durch andere Mittel auf einen Verstoß aufmerksam gemacht wird, z. B. durch unbefugte Warnmeldungen des Auftragsverarbeiters.

Andere Regulierungsbehörden (z. B. die für bestimmte Sektoren wie Finanzdienstleistungen zuständigen) oder Einrichtungen (z. B. Versicherer) müssen ebenso informiert werden wie die Datenschutzaufsichtsbehörden. Es ist eine gute Idee, eine Checkliste der Personen, die Sie kontaktieren müssen, in Ihre Pläne zur Behandlung von Datenschutzverletzungen aufzunehmen.

Unerwünschte Alarme von Prozessoren verhindern

Es ist nicht ungewöhnlich, dass Auftragsverarbeiter zu den Aufsichtsbehörden rennen, um eine Meldung zu machen. Auftragsverarbeiter sind nicht verpflichtet, Aufsichtsbehörden oder betroffene Personen über Verstöße gegen personenbezogene Daten zu informieren. Nach der DSGVO sind sie verpflichtet, den für die Verarbeitung Verantwortlichen zu benachrichtigen. Es ist dann Sache des für die Verarbeitung Verantwortlichen – falls erforderlich – zu entscheiden, ob es sich bei einem Vorfall um einen meldepflichtigen Verstoß handelt, und die Meldung vorzunehmen.

Legen Sie vertraglich fest, dass die Auftragsverarbeiter Sie, den Administrator, unverzüglich über Verstöße informieren müssen (dies ist in jedem Fall eine vertragliche Verpflichtung der Auftragsverarbeiter).

Verlassen Sie sich jedoch nicht allein darauf. Es ist auch eine gute Idee, einem Auftragsverarbeiter zu verbieten, einen Verstoß an Dritte zu melden, und dafür zu sorgen, dass der Auftragsverarbeiter weiß, dass er bei Unfällen, in die Auftragsverarbeiter verwickelt sind, keine anderen Warnungen als an Ihren für die Verarbeitung Verantwortlichen auslösen darf.

Verwendung des richtigen Typs

Glauben Sie nicht, dass das Formular, das Sie bei der letzten Meldung eines Verstoßes verwendet haben, noch aktuell ist. Die Aufsichtsbehörden können ihre Meldeformulare für Verstöße aktualisieren. Vergewissern Sie sich, dass Sie das neueste Formular verwenden, und bedenken Sie, dass manche Formulare die Anzahl der Zeichen in einer Antwort beschränken. Es ist eine gute Idee, im Voraus zu wissen, welche Informationen für die Länder benötigt werden, in denen Sie wahrscheinlich auf den Formularen Bericht erstatten müssen. Auf diese Weise lassen sich die richtigen Fragen schon im Vorfeld beantworten.

Wird ein Verlust personenbezogener Daten nicht innerhalb der in der DSGVO festgelegten Fristen gemeldet, so stellt dies einen Verstoß gegen die Datenschutz-Grundverordnung dar. In einer Situation, die ohnehin schon unter Druck steht, bedeutet dies eine große zusätzliche Belastung. Lassen Sie dies nicht zu einer übereilten Meldung eskalieren, die dem Unternehmen überhaupt nicht hilft.

Stellen Sie sicher, dass Sie Ihren Verpflichtungen nachkommen.

In bestimmten Situationen kann die Meldung unweigerlich Verpflichtungen zur Beseitigung solcher Durchsetzungslücken erfordern, z. B. zusätzliche Vorbereitungen, Regelungen und Verfahrensumsetzungen usw. In einigen Fällen können solche Durchsetzungsmaßnahmen von der Aufsichtsbehörde verlangt werden.

Es ist jedoch sinnvoll, solche Lücken zu finden und sich zu ihrer Beseitigung zu verpflichten, vorzugsweise innerhalb eines bestimmten Zeitraums, um sich an die Spitze zu setzen. Am besten wäre es allerdings, wenn Sie sicher wären, dass Sie diese Verpflichtungen auch einhalten können.

Schutz personenbezogener Daten

Für den Umgang mit vertraulichen Informationen am Arbeitsplatz legt die Datenschutz-Grundverordnung mehrere Regeln fest, die befolgt werden müssen. Arbeitnehmer haben Rechte und Pflichten, wenn es

mehr »

Was sind die wichtigsten DSGVO-Sanktionen?

Artikel 83 der Datenschutz-Grundverordnung sieht vor, dass bei Verstößen gegen die Datenschutz-Grundverordnung angemessene, verhältnismäßige und abschreckende Sanktionen verhängt werden. Ein Bußgeld im Zusammenhang mit der

mehr »