Databreach-Management: EDSA aktualisiert Leitlinien

Angriffe von Außen sowie internes Fehlverhalten können trotz ausgiebiger Maßnahmen zur Datensicherheit zu Verletzungen des Schutzes personenbezogener Daten führen. Wenn ein solcher Datenschutzvorfall entsteht und daraus ein Risiko für die Rechte und Freiheiten der betroffenen Personen resultiert, muss diese Datenpanne unverzüglich und möglichst binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden.

Sofern der Verantwortliche nicht bereits im Vorfeld einen solchen Vorfall vorausgedacht sowie die internen und externen Meldewege und Meldeprozesse festgelegt hat und zudem die Verantwortlichkeiten innerhalb des Prozesses festgelegt hat, wird es schwer haben, in dieser Zeit eine Meldung nach Maßgabe des Gesetzgebers durchzuführen.

Mit der Meldung einer Datenpanne im Sinne von Art. 33 DS-GVO bzw. mit der Benachrichtigung der Betroffenen nach Art. 34 DS-GVO ist es für den Verantwortlichen aber nicht getan. Auch nach der Meldung hat der Verantwortliche Hausaufgaben zu erledigen.

Zu diesem wichtigen Themenkomplex hat der Europäische Datenschutzausschuss (EDSA) seine Leitlinien (Benachrichtigungen bei Datenschutzverletzungen) veröffentlicht bzw. aktualisiert und führt dazu eine öffentliche Konsultation durch. Der Europäische Datenschutzausschuss hatte die mit der Datenschutz-Grundverordnung zusammenhängenden Leitlinien der Artikel-29-Datenschutzgruppe bei seiner ersten Plenarsitzung im Jahre 2018 bestätigt.

Die Aktualisierung und die öffentliche Konsultation betreffen im wesentlichen Absatz 73 der Leitlinien (im Dokument gelb markiert). Dieser Absatz adressiert die Klarstellung von Meldepflichten von nicht in der EU niedergelassenen Unternehmen. Solche Kommentare sollten bis spätestens 29. November 2022 unter Verwendung des bereitgestellten Formulars eingereicht werden.

Auch wenn die Änderungen in der Leitlinie daher eher redaktioneller Art sein dürften, können Verantwortlichen die Aktualisierung zum Anlass für eine Evaluation der eigenen Prozesse und Policies rund um das Thema nehmen.

(Foto: Egor – stock.adobe.com)

Letztes Update:23.10.22

  • Facebook Fanpages DSFA

    Datenschutz-Folgenabschätzung für Facebook-Fanpages

    Genauso wie die lang anhaltenden Unsicherheiten bzgl. der Verwendung von Office 365 bzw. Microsoft 365, gibt es auch hinsichtlich der datenschutzkonformen Nutzbarkeit der sog. Facebook-Fanpages eine bereits beträchtlich lange Vorgeschichte. Die letzten beiden Episoden in dieser Serie, deren Hauptakteure Facebook selbst (bzw. seit Januar 2022 in Meta Platform Inc.), die Datenschutz-Aufsichtsbehörden (DSK) sowie die Verantwortlichen,

    Mehr erfahren
  • Interne Untersuchungen? – Bitte nur mit Datenschutz!

    Viele Unternehmen bekennen sich zur weltweiten Bekämpfung von Korruption in all ihren Erscheinungsformen, unterstützen nationale und internationale Anstrengungen und lehnen jegliches korruptes Verhalten ab.Wie bei allen anderen im Unternehmen anstehenden Aufgaben kann die Geschäftsleitung den Aufbau und den Betrieb eines Compliance-Management-Systems delegieren. In der Regel übernimmt diese Aufgabe ein Compliance-Officer oder je nach Ausgestaltung und

    Mehr erfahren
  • MS 365

    Microsoft 365: Datenschutzkonform nutzbar oder nicht?

    Die Frage wird, möglicherweise nicht so verwunderlich, momentan sehr unterschiedlich beantwortet. Dabei geht es leider nicht nur um Nuancen.Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder sagt in ihrer neuesten Veröffentlichung relativ deutlich und klar: “ Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der

    Mehr erfahren