Orientierungshilfe: Umgang mit Data-Breach-Meldungen
Nach ErwG 85 der DS-GVO kann eine Verletzung des Schutzes personenbezogener Daten – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.
Deshalb soll nach dem Willen des Verordnungsgebers der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine ausführliche Handreichung zu diesem Thema erstellt und stellt das Papier allen Interessierten zur Verfügung. Die Handreichung erläutert die Bestimmungen in Art. 33 und 34 DSGVO. Schwerpunkte liegen beim Merkmal der Datenschutzverletzung. Dabei wird auch immer wieder auf die „EDSA Guidelines 9/2022 on personal data breach notification under GDPR“ Bezug genommen und die Meldepflicht anhand zahlreicher Beispiele erläutert. Diese dienen der Orientierung, wie Verantwortliche mit Verletzungen des Schutzes von personenbezogenen Daten umgehen sollten und welche Faktoren verantwortliche Stellen bei der Risikobewertung zu berücksichtigen haben.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Weitere Infos zum Thema Data-Breach-Meldung:
- EDSA Guidelines 9/2022 on personal data breach notification under GDPR
- DSK, Kurzpapier Nr. 18 Risiko für die Rechte und Freiheiten natürlicher Personen
- BayLfD: Meldepflicht und Benachrichtigungspflicht des Verantwortlichen
- BSI: Behandlung von Sicherheitsvorfällen
(Foto: Mongta Studio – stock.adobe.com)
Letztes Update:01.11.23
Verwandte Produkte
-
Ausbildung zum/zur Datenschutzkoordinator/in
Seminar
28.05.2024, 08:00 Uhr | online
18.09.2024, 08:00 Uhr | Mannheim
29.10.2024, 09:00 Uhr | online
1.243,55 € Mehr erfahren
Das könnte Sie auch interessieren
-
Effektive Datenschutz-Software für große Unternehmen und Konzerne
Der „DataAgenda Datenschutz-Manager“ ermöglicht durch die Mandantenfähigkeit zentralisiert die Verwaltung und Bearbeitung verschiedener Rechtseinheiten oder Filialen in Konzernen und Großorganisationen.
Mehr erfahren -
Bußgeld gegen öffentliche Stellen und Behörden?
Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) haben Mitte April 2024 ein Papier veröffentlicht, in dem sie als Datenschutzkonferenz (DSK) gemeinsam zu dem Vorschlag der Institutionalisierung der DSK sowie weiterer im Gesetzentwurf der Bundesregierung enthaltener Vorschläge Stellung nehmen. Über den vorliegenden Gesetzentwurf hinaus bestehe aus Sicht der DSK weiterer Änderungsbedarf den die DSK
Mehr erfahren -
Exkulpation des Verantwortlichen im Falle eines „Mitarbeiterexzesses“?
In der Rechtssache C‑741/21 hat sich der EuGH zu mehreren Vorlagefragen geäußert. Mit seiner zweiten Frage wollte das vorlegende Gericht im Wesentlichen wissen, ob Art. 82 DS-GVO dahin auszulegen ist, dass es für eine Befreiung des Verantwortlichen von seiner Haftung nach Art. 82 Abs. 3 DS-GVO ausreicht, dass er geltend macht, dass der in Rede stehende Schaden durch
Mehr erfahren