INFORMATIONEN

Was sollte eine Benachrichtigung über eine Datenschutzverletzung enthalten?

Es ist zu beachten, dass einer der beiden Beteiligten zu benachrichtigen ist: die Aufsichtsbehörde und/oder die betroffenen Personen. Mit der DSGVO-Compliance-Software können Sie diesen Prozess unterstützen und Ihre Fähigkeit verbessern, die DSGVO-Anforderungen zu erfüllen.

Benachrichtigung der Betroffenen im Falle einer Datenschutzverletzung

In den Artikeln 33 und 34 der Datenschutz-Grundverordnung werden drei Arten von Fällen unterschieden. Es ist unwahrscheinlich, dass ein Verstoß zu einem Risiko für die Rechte und Freiheiten von Personen führt (Artikel 33 Absatz 1 der DSGVO). In diesem Fall ist keine Benachrichtigung erforderlich, aber der Verstoß sollte zu Zwecken der Rechenschaftspflicht innerhalb Ihrer Organisation registriert werden.

Eine Verletzung stellt wahrscheinlich ein Risiko für die Rechte und Freiheiten natürlicher Personen dar (Artikel 33 Absatz 1 der Datenschutz-Grundverordnung). In dieser Situation ist es angebracht, die Aufsichtsbehörde zu informieren.

Ein Verstoß stellt wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten von Personen dar. In diesem Fall muss auch die betroffene Person informiert werden und die Meldung an die Aufsichtsbehörde erfolgen (Artikel 34 Absatz 1 DSGVO).

  • Für den dritten Fall gibt es drei Ausnahmen (Art. 34(3) DSGVO):
  • Personenbezogene Daten wurden so aufbereitet, dass sie nicht mehr lesbar sind, z. B. durch Verschlüsselung (und der Entschlüsselungsschlüssel ist immer noch sicher);
  • Es ist unwahrscheinlich, dass sich das hohe Risiko aufgrund von Folgemaßnahmen verwirklicht;
  • Die Meldung würde einen unverhältnismäßig hohen Aufwand erfordern.
  • Meiner Meinung nach handelt es sich bei diesen Verstößen jedoch nicht um Ausnahmen, da die ersten beiden das „große“ von dem „hohen Risiko für die betroffene Person“ effektiv eliminieren. Und die dritte ist immer eine Ankündigung, wenn auch mit unterschiedlichen Mitteln.

    Bitte beachten Sie, dass die Aufsichtsbehörde die Notwendigkeit einer Benachrichtigung der betroffenen Person bestimmen und den Begriff „hohes Risiko“ sowie die Ausnahmen auslegen kann.

    Inhalt der Mitteilung der Aufsichtsbehörde

    Gemäß Artikel 33 der Datenschutz-Grundverordnung erfolgt die Meldung an die Aufsichtsbehörde. Diesem Bericht zufolge müssen die folgenden Bestandteile in die Meldung aufgenommen werden.

    Das Ausmaß des Verstoßes, einschließlich, wenn möglich:

  • Die Gruppen und die ungefähre Anzahl der teilnehmenden Personen;
  • Art und Anzahl der betroffenen personenbezogenen Datensätze;
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson;
  • Definition der möglichen Folgen der Verletzung des Datenschutzes für die betroffene Person;
  • Maßnahmen zur Behebung der Folgen einer Datenschutzverletzung, einschließlich Bemühungen zur Verringerung der nachteiligen Auswirkungen auf die betroffenen Personen;
  • Erfolgt innerhalb von 72 Stunden, nachdem der für die Verarbeitung Verantwortliche von dem Verstoß Kenntnis erlangt hat, keine Benachrichtigung, sollten die Gründe für die Verzögerung angegeben werden.
  • Bitte beachten Sie, dass Sie ein Protokoll über Verstöße führen müssen, auch wenn Sie sich entschieden haben, einen Verstoß nicht zu melden.

    Inhalt der Benachrichtigung der betroffenen Person

    Hinsichtlich des Inhalts einer Mitteilung an den Betroffenen sind die folgenden Vorgaben zu beachten (Art. 34 DSGVO):

  • Name und Kontaktinformationen des Datenschutzbeauftragten oder einer anderen Kontaktperson;
  • Eine Liste der möglichen Folgen des Verstoßes für die betroffene Person;
  • Es wurden Schritte unternommen, um die Auswirkungen von Datenschutzverletzungen zu bewältigen, einschließlich der Verhinderung von Maßnahmen zum Ausgleich der nachteiligen Folgen für die betroffenen Personen;
  • Erfolgt innerhalb von 72 Stunden, nachdem der für die Verarbeitung Verantwortliche von dem Verstoß Kenntnis erlangt hat, keine Benachrichtigung, sollten die Gründe für die Verzögerung angegeben werden.
  • Diese spiegeln die Kriterien von Artikel 33 Absatz 3 wider, mit Ausnahme des Kerns der Verletzung. Dies ist ungewöhnlich, da von der betroffenen Person erwartet werden sollte, dass sie sich zumindest der Arten personenbezogener Daten bewusst ist, die Teil der Verletzung sind, um daraufhin zu handeln (z. B. ein geleaktes Passwort zu ändern).

    Wichtig ist auch, dass die Artikel 33 und 34 der Datenschutz-Grundverordnung zwar keine Abweichungen von den nationalen Rechtsvorschriften vorsehen, die Aufsichtsbehörden aber über ein Mittel verfügen können, um sie über Verstöße zu informieren, und dass ihnen bei der Entwicklung der entsprechenden (Web-)Formulare ein großer Spielraum bei der Beantwortung der ihnen gestellten Fragen eingeräumt werden sollte. Dies könnte dazu führen, dass in der Praxis mehr Fragen gestellt werden als in den Artikeln 33 und 34 vorgesehen.

    An overview on Brazil Data Protection Act

    Die EU-Datenschutzgrundverordnung trat am 25. Mai 2018 in Kraft und zwingt Unternehmen, die in der Europäischen Union ansässig und tätig sind, die überarbeitete Verordnung über

    mehr »

    DSGVO: Der Grundsatz der Rechenschaftspflicht

    Das Prinzip der Rechenschaftspflicht, ein modernes Datensicherheitsprinzip, bei dem Organisationen rechenschaftspflichtig sein und die Einhaltung der DSGVO und anderer Standards nachweisen müssen, ist eine der

    mehr »