Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen und Organisationen, bestimmte Arten von Datenpannen den zuständigen Aufsichtsbehörden und gegebenenfalls den betroffenen Personen zu melden. In diesem Artikel erfahren Sie, welche meldepflichtige Datenpannen nach der DSGVO meldepflichtig sind und wie Sie die richtigen Schritte zur Meldung solcher Vorfälle unternehmen können.
Definition einer meldepflichtigen Datenpanne
Eine meldepflichtige Datenpanne liegt vor, wenn es zu einer Verletzung der Sicherheit kommt, die unbeabsichtigt oder unrechtmäßig zur Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt. Dabei ist es unerheblich, ob die Verletzung absichtlich oder unbeabsichtigt erfolgt ist.
Kriterien für die Meldepflicht
Es gibt mehrere Kriterien, die bestimmen, ob eine Datenpanne meldepflichtig ist oder nicht:
Meldepflichten gegenüber Aufsichtsbehörden
Wenn eine meldepflichtige Datenpanne festgestellt wird, muss der Verantwortliche innerhalb von 72 Stunden nach Kenntnisnahme der Panne die zuständige Datenschutz-Aufsichtsbehörde informieren.
Die Meldung sollte Folgendes beinhalten:
Meldepflichten gegenüber betroffenen Personen
Wenn die Datenpanne ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, muss der Verantwortliche diese Personen unverzüglich über die Datenpanne informieren.
Die Benachrichtigung sollte Folgendes beinhalten:
In einigen Fällen kann die Benachrichtigung der betroffenen Personen entfallen, z. B. wenn die Daten vor der Offenlegung wirksam verschlüsselt oder anonymisiert wurden oder wenn die Benachrichtigung einen unverhältnismäßigen Aufwand erfordern würde.
Dokumentation von Datenpannen
Alle Datenpannen, unabhängig von ihrer Meldepflicht, sollten vom Verantwortlichen dokumentiert werden. Die Dokumentation von Datenpannen hilft Organisationen, ihre Sicherheitsmaßnahmen kontinuierlich zu verbessern und zukünftige Vorfälle zu verhindern.
Die Dokumentation sollte Folgendes enthalten:
Prävention von Datenpannen
Um meldepflichtige Datenpannen zu verhindern, sollten Unternehmen und Organisationen proaktive Schritte unternehmen, um ihre Informationssicherheit zu stärken. Dazu gehören:
Fazit
Meldepflichtige Datenpannen nach der DSGVO sind solche, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen. Verantwortliche müssen solche Datenpannen innerhalb von 72 Stunden den Aufsichtsbehörden melden und gegebenenfalls die betroffenen Personen informieren. Die Prävention von Datenpannen und die Sicherstellung einer angemessenen Informationssicherheit sind entscheidend, um die Einhaltung der DSGVO zu gewährleisten und das Vertrauen der betroffenen Personen in die Organisation zu stärken.