Zu ergreifende Maßnahmen nach Datenpannen

Datenpanne

Angriffe von Außen sowie internes Fehlverhalten können trotz ausgiebiger Maßnahmen zur Datensicherheit zu Verletzungen des Schutzes personenbezogener Daten führen. Wenn ein solcher Datenschutzvorfall entsteht und daraus ein Risiko für die Rechte und Freiheiten der betroffenen Personen resultiert, muss diese Datenpanne unverzüglich und möglichst binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden.

Sofern der Verantwortliche nicht bereits im Vorfeld einen solchen Vorfall vorausgedacht sowie die internen und externen Meldewege und Meldeprozesse festgelegt hat und zudem die Verantwortlichkeiten innerhalb des Prozesses festgelegt hat, wird es schwer haben, in dieser Zeit eine Meldung nach Maßgabe des Gesetzgebers durchzuführen.

Mit der Meldung einer Datenpanne im Sinne von Art. 33 DS-GVO bzw. mit der Benachrichtigung der Betroffenen nach Art. 34 DS-GVO ist es für den Verantwortlichen aber nicht getan. Auch nach der Meldung hat der Verantwortliche Hausaufgaben zu erledigen.

Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt hat eine Sammlung der häufigsten Ursachen der bei ihm gemeldeten Datenschutzverletzungen erstellt und dazu eine Empfehlung technischer und organisatorischer Maßnahmen vorgelegt, die bei eingetretener Verletzung des Schutzes personenbezogener Daten der Behebung der Verletzung bzw. der Abmilderung der nachteiligen Auswirkungen dienen können.

Es werden auch Maßnahmen vorgestellt, die der präventiven Vermeidung der entsprechenden Verletzungen dienen können. Die Aufsichtsbehörde betont, dass es bei den genannten Maßnahmen nicht um abschließende Empfehlungen handelt, die bei den jeweiligen Datenschutzverletzungen geprüft werden sollten. Es sollte auch stets geprüft werden, ob im Einzelfall weitere Maßnahmen erforderlich sind. Im Falle eines hohen Risikos sind die betroffenen Personen nach Art. 34 DS-GVO zu benachrichtigen. Ein hohes Risiko liege zumindest immer dann nahe, wenn besondere Kategorien personenbezogener Daten – z. B. Gesundheitsdaten – Unberechtigten zur Kenntnis gelangen können.

Landesbeauftragter für den Datenschutz Sachsen-Anhalt

(Foto: DC Studio – stock.adobe.com)

Letztes Update:25.07.22

  • EU Datenstrategie

    Der DSB im Dickicht der Europäischen Datenstrategie

    Die EU-Datenstrategie ist eine umfassende Initiative der Europäischen Union, die darauf abzielt, den digitalen Binnenmarkt zu stärken und Europa weltweit wettbewerbsfähiger zu machen, indem die Nutzung von Daten gefördert und reguliert wird. Diese Strategie ist ein zentraler Bestandteil der digitalen Transformation Europas und umfasst verschiedene Maßnahmen und Gesetzgebungen, die den rechtlichen Rahmen für den Umgang

    Mehr erfahren
  • Folge 57: KI-Kompetenz Pflichten und Chancen für Unternehmen

    Am 12. Juli 2024 wird die KI-Verordnung im Amtsblatt der EU veröffentlicht und tritt am 1. August 2024 in Kraft. Was ist ein KI-System und was bedeutet es, dass es autonom agiert? Warum kann KI nicht denken und trotzdem sinnvoll in menschlicher Sprache antworten und Fragen stellen? Welche Nutzung von KI-Systemen ist gefahrlos möglich? Wo

    Mehr erfahren
  • Audit Messenger

    Standardisierte Prüfung von Messengern

    Der Europäische Datenschutzausschus (EDSA) hatte bereits auf den Vorschlag des BfDI die Umsetzung des Auskunfsrechts durch die für die Verarbeitung Verantwortlichen gemäß Art. 15 DS-GVO als Thema für seine dritte koordinierte Durchsetzungsmaßnahme in 2024 beschlossen. Die koordinierten Maßnahmen erfolgen auf Basis des Beschlusses des EDSA aus Oktober 2020, einen koordinierten Durchsetzungsrahmen (Coordinated Enforcement Framework –

    Mehr erfahren