Umgang mit Datenpannen nach Art. 33 und 34 DS-GVO
Die Informationspflicht bei unrechtmäßiger Kenntnisnahme durch Dritte nimmt eine Sonderstellung unter den Betroffenenrechten ein. Die datenverarbeitenden Stellen sind bei Pannen nicht nur verpflichtet, den Informationsabfluss gegenüber Betroffenen und Aufsichtsbehörden offen zu legen, sie müssen auch geeignete Hilfestellungen zur Verhinderung schwerwiegender Folgen der Datenpannen anbieten.
Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.
Kurzpapier des BayLDA lässt viele Fragen offen
Leider existiert zu diesem Thema noch kein abgestimmtes Papier der Datenschutzkonferenz (DSK). Aus der Feder des BayLDA existiert ein Kurzpapier, welches jedoch viele Fragen offen lässt. Weitaus umfangreichere Informationen und Handlungsempfehlungen enthält ein Papier des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zum Thema Data-Breach-Meldungen nach Art. 33 DS-GVO. Das Papier befasst sich mit Fragen wie:
- Was ist eine Verletzung des Schutzes personenbezogener Daten?
- Anhand welcher Kriterien kann der Verantwortliche das Risiko bestimmen?
- Wie sollte die Information der Betroffenen erfolgen?
- Beispiels-Fälle für eine Meldung nach Art. 33 DS-GVO
- Wann ist eine Meldung rechtzeitig?
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
