Databreach-Management: EDSA aktualisiert Leitlinien
Angriffe von Außen sowie internes Fehlverhalten können trotz ausgiebiger Maßnahmen zur Datensicherheit zu Verletzungen des Schutzes personenbezogener Daten führen. Wenn ein solcher Datenschutzvorfall entsteht und daraus ein Risiko für die Rechte und Freiheiten der betroffenen Personen resultiert, muss diese Datenpanne unverzüglich und möglichst binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden.
Sofern der Verantwortliche nicht bereits im Vorfeld einen solchen Vorfall vorausgedacht sowie die internen und externen Meldewege und Meldeprozesse festgelegt hat und zudem die Verantwortlichkeiten innerhalb des Prozesses festgelegt hat, wird es schwer haben, in dieser Zeit eine Meldung nach Maßgabe des Gesetzgebers durchzuführen.
Mit der Meldung einer Datenpanne im Sinne von Art. 33 DS-GVO bzw. mit der Benachrichtigung der Betroffenen nach Art. 34 DS-GVO ist es für den Verantwortlichen aber nicht getan. Auch nach der Meldung hat der Verantwortliche Hausaufgaben zu erledigen.
Zu diesem wichtigen Themenkomplex hat der Europäische Datenschutzausschuss (EDSA) seine Leitlinien (Benachrichtigungen bei Datenschutzverletzungen) veröffentlicht bzw. aktualisiert und führt dazu eine öffentliche Konsultation durch. Der Europäische Datenschutzausschuss hatte die mit der Datenschutz-Grundverordnung zusammenhängenden Leitlinien der Artikel-29-Datenschutzgruppe bei seiner ersten Plenarsitzung im Jahre 2018 bestätigt.
Die Aktualisierung und die öffentliche Konsultation betreffen im wesentlichen Absatz 73 der Leitlinien (im Dokument gelb markiert). Dieser Absatz adressiert die Klarstellung von Meldepflichten von nicht in der EU niedergelassenen Unternehmen. Solche Kommentare sollten bis spätestens 29. November 2022 unter Verwendung des bereitgestellten Formulars eingereicht werden.
Auch wenn die Änderungen in der Leitlinie daher eher redaktioneller Art sein dürften, können Verantwortlichen die Aktualisierung zum Anlass für eine Evaluation der eigenen Prozesse und Policies rund um das Thema nehmen.
(Foto: Egor – stock.adobe.com)
Verwandte Produkte
-
Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz
Seminar
940,10 € Mehr erfahren -
Das könnte Sie auch interessieren
-
Folge 34: ChatGPT & Co: Neues aus dem Maschinenraum der EU-Datenregulierung – KI und ePrivacy
Die Europäische Union arbeitet mit Nachdruck an der Umsetzung der Datenstrategie 2020. Die geplanten und angegangenen Regelwerke sind für Spezialisten kaum durchschaubar und waren Gegenstand des DataAgenda Datenschutzpodcasts #29 mit Kai Zenner, dem Büroleiter und Digitalreferenten von MdEP Axel Voss von der EVP. In seinem „RDV-Update aus Brüssel“ berichtet Zenner in der RDV regelmäßig über
Mehr erfahren -
Personalunion: Beauftragter für Informationssicherheit und Datenschutzbeauftragter
Die Meinungen zu der Frage, ob und welche zusätzlichen Funktionen einen Datenschutzbeauftragter in eine Interessenkollision bringen, sind uneinheitlich. Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI):Der TLfDI geht in seinem 2. Tätigkeitsbericht zum Datenschutz nach der DS-GVO (Berichtsjahr 2019, veröffentlicht am 22.10.2020) auf die Fragen von möglichen Interessenkollisionen für die Tätigkeit des Datenschutzbeauftragten ein (vgl.
Mehr erfahren -
Social-Media Nutzung für Mediziner: Wo liegen die Fallstricke?
In der dritten und damit aktualisierten Auflage ihrer Handreichung „Ärztinnen und Ärzte in sozialen Medien“ gibt die Bundesärztekammer Ärtzt_innen aber auch allen Medizinstudierenden wertvolle Hinweise, die sie bei der Nutzung Sozialer Medien beachten sollten. Die 1. Auflage der Handreichung war aus dem Beschluss des 115. Deutschen Ärztetags 2012 zur Erarbeitung von Empfehlungen für Ärzte in
Mehr erfahren
