Beispiele für Informationspflichten bei Datenpannen

Data Breach

Nach ErwG 85 der DS-GVO kann eine Verletzung des Schutzes personenbezogener Daten  – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.

Deshalb soll nach dem Willen des Verordnungsgebers der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt.

Betrachtet man die Tätigkeitsberichte der Datenschutz-Aufsichtsbehörden kann wohl angenommen werden, dass sich die „neue Regelung“ des Art. 33 DS-GVO etabliert hat. So berichtet auch der Bayerische Landesbeauftragte für den Datenschutz in seiner Veröffentlichung „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen – Erläuterungen zu Art. 33 und 34 Datenschutz-Grundverordnung„, dass er von bayerischen öffentlichen Stellen nahezu täglich Meldungen nach Art. 33 DS-GVO erhalte und Melde- und die Benachrichtigungspflicht zudem immer wieder Gegenstand von Beratungsanfragen seien.

Zusammen mit dem Orientierungsleitfaden des BayLfD und dem Papier „Data-Breach-Meldungen nach Art. 33 DS-GVO“ des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit haben der Verantwortliche und der Anwender bereits recht umfangreiche Informationsquellen zum Umgang mit der Benachrichtigungspflicht.

Trotz umfangreicher Informationen zur Anwendung des Art. 33 DS-GVO können beim Verantwortlichen Unsicherheiten darüber verbleiben, ob es sich bei einem Datenschutzvorfall tatsächlich um eine meldepflichte Datenschutzverletzung im Sinne des Art. 33 DS-GVO handelt. In diesem Fällen sind Beispielsfälle hilfreich, die hinzugezogen werden können, um sich der Antwort auf diese Fragestellung zu nähern.

Solche Beispielsfälle ließen sich bisher u.a. in dem Arbeitspapier „WP250rev.01 – Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679“ der nicht mehr existierenden sog. Artikel-29-Datenschutzgruppe (nunmehr: Der Europäische Datenschutzausschuss, kurz EDSA“) finden. Da dieses Dokument aus dem Jahre 2018 stammt, hat der EDSA eine Aktualisierung/Ergänzung dieses Dokuments (Guidelines 01/2021 on Examples regarding Data Breach Notification) veröffentlicht.
Darin werden anhand 18 verschiedener Fälle der Anwendungsbereich des Art. 33 DS-GVO veranschaulicht. Die ausgesuchten Fälle reichen von Praxisbeispielen, die sich mit dem Thema des Befalls mit Ransomware (in verschiedenen Konstellationen) bis zum trivialeren Fall einer, an den falschen Empfänger adressierten E-Mail befassen.
Gerade bei „Grenzfällen“ können die Beispiele ggf. eine Hilfe sein, um ein „Gefühl“ dafür zu bekommen, ob es sich beim dem betrachteten Datenschutzvorfall, tatsächlich auch um eine Datenschutzverletzung im Sinne des Gesetzes handelt.

(Foto: egor – stock.adobe.com



Letztes Update:19.01.21

  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    2021-10-06, 08:00 | Stuttgart

    940.10 € Mehr erfahren
  • Datenschutzverletzungen richtig behandeln

    Datenschutzverletzungen richtig behandeln

    Seminar

    678.60 € Mehr erfahren
  • Datenschutz Aktuell

    Datenschutz Aktuell

    Seminar

    678.60 € Mehr erfahren
  • Datenschutz International – wirksame Umsetzung bei grenzüberschreitenden Datentransfers

    Wirksamer Datenschutz muss auch den internationalen Datentransfer berücksichtigen. Deutsche Unternehmen sind häufig stark exportorientiert und global tätig. In der Konsequenz werden auch große Mengen an Daten ausgetauscht. Bei grenzüberschreitenden Datentransfers innerhalb und außerhalb des Unternehmens oder des Konzerns sind eine Vielzahl gesetzlicher Anforderungen zu erfüllen. Dies stellt für viele Unternehmen eine große Herausforderung dar. Die

    Mehr erfahren
  • GDD sammelt Datenpannen

    Der Europäische Datenschutzausschuss hat eine Konsultation zu Beispielsfällen einer Datenschutzverletzung initiiert (Guidelines 01/2021 on Examples regarding Data Breach Notification). Die GDD möchte durch eine Umfrage weitere Fallkonstellationen aus der Praxis sammeln und an den Europäischen Datenschutzausschuss über eine Stellungnahme von CEDPO zurückspielen. Immerhin besteht bei den datenverarbeitenden Stellen die große Herausforderung, eine Meldepflicht zu identifizieren. Dies zeigt

    Mehr erfahren
  • DSFA

    Wann ist eine Datenschutz-Folgeabschätzung zu erstellen?

    Die Risiken für die Rechte und Freiheiten natürlicher Personen – mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere – können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte. Die Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) ist Ausdruck des risikobasierten Ansatzes der DSGVO. Soweit eine Datenverarbeitung hohe Risiken für die Rechte und Freiheiten

    Mehr erfahren