INFORMATIONEN

Top-Tipps für die Meldung von Verstößen an Aufsichtsbehörden im Rahmen der DSGVO

Sie benachrichtigen die Aufsichtsbehörden über Verstöße gegen den Schutz personenbezogener Daten, was ein überlegtes Vorgehen erfordert. In der Hitze des Gefechts können nur allzu leicht teure Fehler gemacht werden, vor allem wenn die 72-Stunden-Frist abläuft.

Hier sind unsere fünf besten Tipps für den Umgang mit den verschiedenen Fallstricken bei der Meldung einer Sicherheitsverletzung.

Benachrichtigen Sie den richtigen Regler

Es kann unklar sein, welche Aufsichtsbehörde zu benachrichtigen ist, wenn das Ereignis Menschen in mehreren Ländern betrifft. Angenommen, Ihr Unternehmen hat eine federführende Aufsichtsbehörde für die Zwecke der DSGVO eingerichtet. In diesem Fall wird die Sache einfacher, d. h. Sie können die federführende Aufsichtsbehörde benachrichtigen (obwohl es Gründe geben kann, warum Sie trotzdem eine Aufsichtsbehörde in einem anderen Land benachrichtigen wollen, um das Risiko zu verringern).

Wurde keine federführende Aufsichtsbehörde bestimmt oder besteht Unklarheit darüber, wer die federführende Aufsichtsbehörde sein wird, empfiehlt der Europäische Datenschutzausschuss, dass zumindest die Behörde, in der der Verstoß stattgefunden hat, informiert werden sollte. Dadurch wird sichergestellt, dass eine Liste von Aufsichtsbehörden in die engere Wahl genommen werden kann und dass eine einzelne Aufsichtsbehörde für Länder, in denen sich Personen befinden könnten, nicht benachrichtigt werden muss.

Die Auswahlliste sollte gründlich geprüft werden. Die Position mit der größten Anzahl betroffener Personen ist ein üblicher Faktor, der in Betracht gezogen wurde. Ein weniger offensichtlicher Aspekt, den Sie in Betracht ziehen können, ist die Möglichkeit, dass eine bestimmte Aufsichtsbehörde durch andere Mittel auf einen Verstoß aufmerksam gemacht wird, z. B. durch unbefugte Warnmeldungen des Auftragsverarbeiters.

Andere Regulierungsbehörden (z. B. die für bestimmte Sektoren wie Finanzdienstleistungen zuständigen) oder Einrichtungen (z. B. Versicherer) müssen ebenso informiert werden wie die Datenschutzaufsichtsbehörden. Es ist eine gute Idee, eine Checkliste der Personen, die Sie kontaktieren müssen, in Ihre Pläne zur Behandlung von Datenschutzverletzungen aufzunehmen.

Unerwünschte Alarme von Prozessoren verhindern

Es ist nicht ungewöhnlich, dass Auftragsverarbeiter zu den Aufsichtsbehörden rennen, um eine Meldung zu machen. Auftragsverarbeiter sind nicht verpflichtet, Aufsichtsbehörden oder betroffene Personen über Verstöße gegen personenbezogene Daten zu informieren. Nach der DSGVO sind sie verpflichtet, den für die Verarbeitung Verantwortlichen zu benachrichtigen. Es ist dann Sache des für die Verarbeitung Verantwortlichen – falls erforderlich – zu entscheiden, ob es sich bei einem Vorfall um einen meldepflichtigen Verstoß handelt, und die Meldung vorzunehmen.

Legen Sie vertraglich fest, dass die Auftragsverarbeiter Sie, den Administrator, unverzüglich über Verstöße informieren müssen (dies ist in jedem Fall eine vertragliche Verpflichtung der Auftragsverarbeiter).

Verlassen Sie sich jedoch nicht allein darauf. Es ist auch eine gute Idee, einem Auftragsverarbeiter zu verbieten, einen Verstoß an Dritte zu melden, und dafür zu sorgen, dass der Auftragsverarbeiter weiß, dass er bei Unfällen, in die Auftragsverarbeiter verwickelt sind, keine anderen Warnungen als an Ihren für die Verarbeitung Verantwortlichen auslösen darf.

Verwendung des richtigen Typs

Glauben Sie nicht, dass das Formular, das Sie bei der letzten Meldung eines Verstoßes verwendet haben, noch aktuell ist. Die Aufsichtsbehörden können ihre Meldeformulare für Verstöße aktualisieren. Vergewissern Sie sich, dass Sie das neueste Formular verwenden, und bedenken Sie, dass manche Formulare die Anzahl der Zeichen in einer Antwort beschränken. Es ist eine gute Idee, im Voraus zu wissen, welche Informationen für die Länder benötigt werden, in denen Sie wahrscheinlich auf den Formularen Bericht erstatten müssen. Auf diese Weise lassen sich die richtigen Fragen schon im Vorfeld beantworten.

Wird ein Verlust personenbezogener Daten nicht innerhalb der in der DSGVO festgelegten Fristen gemeldet, so stellt dies einen Verstoß gegen die Datenschutz-Grundverordnung dar. In einer Situation, die ohnehin schon unter Druck steht, bedeutet dies eine große zusätzliche Belastung. Lassen Sie dies nicht zu einer übereilten Meldung eskalieren, die dem Unternehmen überhaupt nicht hilft.

Stellen Sie sicher, dass Sie Ihren Verpflichtungen nachkommen.

In bestimmten Situationen kann die Meldung unweigerlich Verpflichtungen zur Beseitigung solcher Durchsetzungslücken erfordern, z. B. zusätzliche Vorbereitungen, Regelungen und Verfahrensumsetzungen usw. In einigen Fällen können solche Durchsetzungsmaßnahmen von der Aufsichtsbehörde verlangt werden.

Es ist jedoch sinnvoll, solche Lücken zu finden und sich zu ihrer Beseitigung zu verpflichten, vorzugsweise innerhalb eines bestimmten Zeitraums, um sich an die Spitze zu setzen. Am besten wäre es allerdings, wenn Sie sicher wären, dass Sie diese Verpflichtungen auch einhalten können.

DSGVO-Zustimmung: Leitfaden für die Datenverarbeiter

27/05/2021 Keine Kommentare

Zustimmungserfordernisse Die Datenschutz-Grundverordnung stellt hohe Anforderungen an den Erhalt einer Einwilligung. In bestimmten Situationen benötigen Sie jedoch keine Einwilligung. Zustimmung bedeutet, dass der Einzelne das

mehr »

Private Nutzung des Internets am Arbeitsplatz

19/10/2021 Keine Kommentare

Viele Arbeitsplätze sind heute PC-Arbeitsplätze mit Internetanschluss. Es zeigt sich, dass viele Menschen im Büro das Internet auch privat nutzen. Die Verwischung der Grenzen zwischen

mehr »

Bedingungen und Konditionen – Was sind die Grundvoraussetzungen?

30/08/2022 Keine Kommentare

Es stimmt, dass jeder von uns mindestens einmal in eine Situation geraten ist, in der er ein Produkt oder eine Dienstleistung online kaufen möchte und

mehr »

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

INFORMATIONEN

Top-Tipps für die Meldung von Verstößen an Aufsichtsbehörden im Rahmen der DSGVO

Benachrichtigen Sie den richtigen Regler

Unerwünschte Alarme von Prozessoren verhindern

Verwendung des richtigen Typs

Stellen Sie sicher, dass Sie Ihren Verpflichtungen nachkommen.

DSGVO-Zustimmung: Leitfaden für die Datenverarbeiter

Private Nutzung des Internets am Arbeitsplatz

Bedingungen und Konditionen – Was sind die Grundvoraussetzungen?

Cookie and External Connections Consent / Einwilligung in Cookies und externe Verbindungen