Fallbasierte Leitlinien für Datenschutzverletzungen
Der Europäische Datenschutzausschuss (EDSA) hat seine aktualisierten Leitlinien zu Datenschutzverletzungen veröffentlicht.
Die DS-GVO schreibt in bestimmten Fällen vor, dass eine Verletzung des Schutzes personenbezogener Daten der zuständigen nationalen Aufsichtsbehörde gemeldet werden muss und dass die Personen, deren personenbezogene Daten von der Verletzung betroffen sind, über die Verletzung zu informieren sind (Artikel 33 und 34 DS-GVO). Die Artikel-29-Datenschutzgruppe hatte bereits im Oktober 2017 einen allgemeinen Leitfaden zur Meldung von Datenschutzverletzungen erstellt, in dem die einschlägigen Abschnitte der DS-GVO analysiert wurden (Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679) (im Folgenden „WP 250“). Aufgrund ihrer Art und ihres Zeitpunkts wurden in dieser Leitlinie jedoch nicht alle praktischen Fragen hinreichend ausführlich behandelt. Daher hat der ESDA den Bedarf an einem praxisorientierten, fallbasierten Leitfaden erkannt, der die von den nationalen Aufsichtsbehörden seit der Anwendbarkeit der Datenschutz-Grundverordnung gesammelten Erfahrungen in einer Leitlinie für die Verantwortlichen nutzbar macht.
Die neue fallbasierte Leitlinie ist als Ergänzung zu dem WP 250 gedacht und spiegelt die gemeinsamen Erfahrungen der nationalen Aufsichtsbehörden des EWR seit dem Wirksamwerden der DS-GVO. Es soll den für die Datenverarbeitung Verantwortlichen bei der Entscheidung helfen, wie mit Datenschutzverletzungen umzugehen ist und welche Faktoren bei der Risikobewertung zu berücksichtigen sind.
Die dargestellten Fälle sind im wesentlichen nach folgenden Themen unterteilt:
1. Ransomware
2. Data Exfiltration ATTACKS
3. Internal Human Risk Source
4. Lost or stolen devices and paper documents
5. Mispostal
6. Other Cases – Social Engineering
EDSA
(Foto: elenabsl – stock.adobe.com)
Verwandte Produkte
-
Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz
Seminar
940,10 € Mehr erfahren -
-
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
