Nach den Bestimmungen der Datenschutz-Grundverordnung muss eine Verletzung des Schutzes personenbezogener Daten in den meisten Fällen der zuständigen Aufsichtsbehörde gemeldet werden, wenn die Rechte und Freiheiten der betroffenen Person durch die Verletzung beeinträchtigt werden.

Was ist eine Datenschutzverletzung?

Zunächst einmal muss darauf hingewiesen werden, dass eine Datenschutzverletzung auch Umstände umfassen kann, die der Sicherheitsbeauftragte nicht als Verstöße im Sinne der DSGVO betrachten kann.

Nach Artikel 4 der Datenschutz-Grundverordnung ist eine Verletzung der Sicherheit personenbezogener Daten beispielsweise eine Verletzung der Sicherheit, die zu einer zufälligen oder unrechtmäßigen Beschädigung, einem Verlust, einer Änderung, einer unbefugten Weitergabe oder einem Zugriff auf gespeicherte, übermittelte oder anderweitig verarbeitete personenbezogene Daten führt.

Aus anderen Bestimmungen wie Artikel 32 der Datenschutz-Grundverordnung über die Sicherheit der Verarbeitung personenbezogener Daten und Erwägungsgrund 49 geht hervor, dass die Nichtverfügbarkeit von Geräten häufig als Datenschutzverletzung angesehen wird.

Außerdem sind Verstöße häufig Situationen, in denen personenbezogene Daten ohne Genehmigung gelesen, kopiert, verändert, gelöscht oder weitergegeben werden. Daher sollten die Sicherheitsbeauftragten die Zuverlässigkeit aller genutzten Anwendungen zur Verarbeitung personenbezogener Daten sicherstellen.

Wo melden Sie eine Datenschutzverletzung im Rahmen der Datenschutz-Grundverordnung?

Es besteht die Notwendigkeit, eine Aufsichtsbehörde über eine Verletzung des Datenschutzes zu informieren. Für jeden Mitgliedstaat hat jedes EU-Land eine eigene Aufsichtsbehörde. Die Situation wird jedoch schwieriger, wenn Sie Niederlassungen in vielen EU-Ländern haben oder von außerhalb der Europäischen Union aus arbeiten.

Für Organisationen, die Niederlassungen in verschiedenen EU-Ländern haben und Betroffene aus verschiedenen Ländern betreuen, ist die Situation heute noch komplizierter.

In diesem Fall sollte der Verstoß der „federführenden Aufsichtsbehörde“ oder LSA gemeldet werden. Wenn betroffene Personen aus verschiedenen Ländern an Verarbeitungstätigkeiten beteiligt sind, bestimmt die als LSA handelnde Aufsichtsbehörde (mit einigen Ausnahmen), ob der für die Verarbeitung Verantwortliche, der grenzüberschreitende Verarbeitungstätigkeiten durchführt, seinen alleinigen oder Hauptgeschäftssitz hat (Artikel 56 Absatz 1 der DSGVO).

Wenn sie außerhalb der Europäischen Union ansässig ist, sollte Ihre Organisation einen Vertreter in der Europäischen Union haben.

Was enthält die Benachrichtigung der LSA über eine Datenschutzverletzung?

Die LSA können ihr eigenes Format haben, aber die allgemeinen Meldeanforderungen sind in Artikel 33 der Datenschutz-Grundverordnung enthalten. Die Meldung sollte enthalten:

Gemäß Artikel 33 Absatz 5 der Datenschutz-Grundverordnung sollten die für die Verarbeitung Verantwortlichen ein Verzeichnis der Verstöße führen, einschließlich der Verstöße, die nicht für eine Meldung an die Aufsichtsbehörde geeignet sind (oder die betroffene Person betreffen, ein weiteres Thema, das in diesem Beitrag nicht behandelt wird). Diese Instrumente können es jeder Aufsichtsbehörde ermöglichen, dieses Register für Untersuchungen und Überprüfungen zu führen.