Datenschutz-Grundverordnung (DSG-VO) – Meldepflicht von Datenpannen (Schutzverletzung) - TakeNet

Header Newsroom 080416

Virtualisierung TAKENET

DESKTOP-VIRTUALISIERUNG
Nichts ist unmöglich

Green IT TAKENET

GREEN IT
wichtig für ein Morgen

TAKENET Sicherheit

SICHERHEIT
duldet keine Kompromisse

Datenschutz-Grundverordnung (DSG-VO) – Meldepflicht von Datenpannen (Schutzverletzung)

In zwei Tagen ist es soweit, jedoch ist Panikmache nicht zielführend. Viel wichtiger ist zu überlegen in welchen Bereichen noch Handlungsbedarf besteht. Man sollte sich als erstes die Frage stellen wo und welche personenbezogenen Daten verarbeitet mein Unternehmen.

Artikel zum Download (PDF 203 KB)

Bericht DSGVO Datenpanne


Als Hilfestellung zum Einstieg empfehlen wir unseren Kunden sich die Broschüre Erste Hilfe zur Datenschutz-Grundverordnung für Unternehmen und Vereine des Beck Verlages ISBN Nr. 978-3-406-71662-1 zu Gemüte zu ziehen.
Hier erhalten Sie einen ersten Überblick was zu tun ist mit Checklisten und Mustervorlagen.

Ein wichtiges Thema im Zusammenhang mit der DS-GVO, teilweise auch neu geregelt, ist die Meldepflicht von Datenpannen.

Die Verordnung bezeichnet den umgangssprachlichen Begriff Datenpanne als Schutzverletzung personenbezogener Daten (Art. 4 Nr. 12 DS-GVO). Hiermit ist eine Verletzung der Sicherheit der Datenverarbeitung von personenbezogenen Daten im weitesten Sinne gemeint wie z.B.:

  • Vernichtung: alle Formen der Datenlöschung, die Daten unwiederbringlich machen, gleich ob rechtlich unzulässig oder unbeabsichtigt
  • Verlust: unvorhergesehenes Verlorengehen von Daten, gleich ob temporär oder dauerhaft
  • Veränderung: inhaltliches Umgestalten von Daten, Daten erhalten neue Informationen
  • Unbefugte Offenlegung / Weitergabe: Dritter erhält Zugang zu Daten, Weitergabe nicht auf Basis einer Einwilligung oder Rechtsvorschrift / Vertragsgrundlage
  • Unbefugter Zugang: fehlendes Berechtigungskonzept, fehlende Verschlüsselung

 

Wichtig ist:
Die DS-GVO beschränkt sich nicht auf bestimmte Datenkategorien, wie ursprünglich im BDSG §42a, sondern umfasst alle personenbezogenen Daten. Somit weitet sich die Meldepflicht massiv aus.
Die Pflicht besteht unabhängig davon ob die Schutzverletzung unbeabsichtigt oder absichtlich erfolgt ist.
Unterlässt der Verantwortliche die Meldung, droht ein erhebliches Bußgeld (Art. 83 Abs. 4a).


Wann ist wer über die Datenpanne zu informieren?

Hier müssen folgende Fakten berücksichtigt werden:

1. Welche Daten sind betroffen?
Sind bei der Schutzverletzung personenbezogene Daten betroffen und führt die Verletzung zu einem Risiko für persönliche Rechte und Freiheit des Betroffenen, dann ist eine Meldung an die Aufsichtsbehörde notwendig. Dies muss innerhalb von 72 Stunden nach Bekanntwerden erfolgen. In der Praxis wird es hier nur wenige Ausnahmen geben.

2. Sobald die Schutzverletzung zu einem hohen Risiko für persönliche Rechte und Freiheiten des Betroffenen führen, muss auch der Betroffene selbst informiert werden (Art. 34 Abs. 1 DS-GVO)

3. Handelt es sich um Auftragsdaten, d.h. ein Auftragsverarbeiter (Dienstleister, der personenbezogene Daten im Auftrag verarbeitet) stellt eine Schutzverletzung personenbezogener Daten fest, so ist der Verantwortliche (Auftraggeber) ebenfalls unverzüglich zu informieren. Die Meldung an die Aufsicht muss der Auftragsverarbeiter nicht selbst vornehmen, er hat aber die Pflicht den Verantwortlichen dabei zu unterstützen.


Meldung der Datenpanne

Der Inhalt einer Meldung an die Aufsichtsbehörde ist in Art. 33 Abs. 2 DS-GVO detailliert vorgeschrieben.
Auf der Homepage des bayerischen Landesamtes für Datenschutz ist es möglich eine Schutzverletzung online zu melden, siehe https://www.lda.bayern.de/de/datenpanne.html. Auch weitere Aufsichtsbehörden planen bis zum 25. Mai 2018 ein Online-Meldeformular zur Verfügung zu stellen.

Ein schneller Informationsfluss, d.h. je schneller die Datenpanne dem Verantwortlichen und der Aufsichtsbehörde gemeldet wird, hat folgende Vorteile für das Unternehmen:

  • Frühere Einleitung von Gegenmaßnahmen, d.h. evtl. Schadensminimierung
  • Vermeidung weiterer Schäden
  • Auswirkung auf die Bußgeldhöhe

 

Neue Dokumentationspflicht

Die Verordnung sieht bei Schutzverletzungen eine neue Dokumentationspflicht vor. Der Verantwortliche muss alle Fakten, die im Zusammenhang mit der Schutzverletzung stehen, ihre Auswirkungen und die Abhilfemaßnahmen dokumentieren. Sie sollte die Inhalte der Meldepflicht siehe Art. 33 DS-GVO enthalten, kann jedoch auch mehr Informationen umfassen, wie z.B. die Ursache der Schutzverletzung oder ggf. involvierte dritte Personen.


Ihre persönliche Ansprechpartnerin rund um das Thema DS-GVO:

M Muench3 120x120px

Melanie Münch
0931.903 2153
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

TAKENET ist IT. Mit Sicherheit! 

Wenn Sie weiterhin auf unserer Webseite surfen sind Sie damit einverstanden, dass wir Cookies und andere Technologien verwenden,
um uns an Sie zu erinnern und zu verstehen, wie unsere Besucher diese Webseite nutzen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.