Wir begrüßen Dich auf der CI-Plattform.

Datenschutzmeldungen (Art. 33 und 34)

Man working with a computer, General Data Protection Regulation and European Union flag

Datenschutzmeldung an die Aufsichtsbehörde

Nach der DSGVO müssen alle Verletzungen des Schutzes personenbezogener Daten unverzüglich an die zuständige Aufsichtsbehörde gemeldet werden. Dies bezeichnet man als Datenschutzmeldung.

Beispiele von Datenschutzrisiken:

  • Ein unverschlüsseltes mobiles Gerät (Laptop, Handy, Tablet, USB-Stick) wurde verloren / vergessen / gestohlen;
  • Hackerangriff, bei dem personenbezogene Daten gestohlen wurden;
  • Unbeabsichtigte Datenlecks;
  • Personenbezogene Daten der betroffenen Personen wurden an falschen Empfänger zugesendet;
  • Lohn- und Gehaltsdaten sind aufgrund eines Softwarefehlers für alle Mitarbeiter einsehbar.

Frist für eine Datenschutzmeldung

Frist; Datenschutzmeldung

Der Datenschutzverstoß ist unverzüglich, möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, an die Aufsichtsbehörde zu melden.

Die Meldepflicht liegt bei dem zu der Verarbeitung Verantwortliche. Die folgenden Informationen müssen in der Datenschutzmeldung enthalten sein:

Icon; Datenschutzmeldung
  • Beschreibung der Art der Verletzung. Die Kategorien und die ungefähre Zahl der betroffenen Personen, die betroffenen Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze müssen, soweit möglich, angegeben werden;
  • Den Namen und die Kontaktdaten des Datenschutzbeauftragten für weitere Informationen;
  • Die wahrscheinlichen Folgen der Verletzung;
  • Die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn der Verantwortliche die 72-Stunden-Frist nicht einhalten kann, muss er begründen, warum die Aufsichtsbehörde so spät informiert wurde.  

Auswirkungen auf die Betroffenen

Datenschutz- und Sicherheitsverletzungen können, wenn nicht rechtzeitig und angemessen reagiert wird, große Auswirkungen auf die betroffenen Personen haben:

Auswirkungen; Datenschutzmeldung

Wann ist keine Meldung notwendig?

Der Verantwortliche muss keine Datenschutzmeldung bei der Aufsichtsbehörde machen, wenn die Verletzung voraussichtlich nicht zu einem Risiko der Rechte und Freiheiten natürlicher Personen führt.

Unabhängig davon, ob die Datenschutzverletzung gemeldet wurde oder nicht, müssen Verstöße gegen personenbezogene Daten dokumentiert werden, einschließlich aller damit verbundenen Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen.

Meldung an die Betroffenen

Wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen wird, muss der Verantwortliche die betroffenen Personen unverzüglich von der Verletzung benachrichtigen.

Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen und die folgenden Punkte beinhalten:

Icon; Datenschutzmeldung
  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;
  • Beschreibung der Art der Verletzung und der vermutlichen Folgen;
  • Gerichtete Empfehlungen zur Abmilderung der negativen Auswirkungen dieser Verletzung;
  • Erfolgte / geplante Maßnahmen zur Behebung der Datenpanne.
Ausrufezeichen; Datenschutzmeldung

Solche Benachrichtigungen müssen außerdem so rasch wie nach allgemeinem Ermessen möglich erfolgen, in enger Absprache mit der Aufsichtsbehörde und gemäß den Anweisungen der Aufsichtsbehörde oder anderer zuständiger Behörden (wie Strafverfolgungsbehörden). Um beispielsweise das Risiko eines unmittelbaren Schadens zu mindern, müssten die Betroffenen sofort benachrichtigt werden. Eine längere Benachrichtigungsfrist kann gerechtfertigt sein, wenn es darum geht, geeignete Maßnahmen gegen laufende oder ähnliche Verletzungen des Schutzes personenbezogener Daten zu ergreifen.

Wann ist keine Meldung notwendig

Die Benachrichtigung der Betroffenen ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

  • Der Verantwortliche hat ausreichende technische und organisatorische Maßnahmen getroffen, um sicherzustellen, dass das Risiko für die Rechte und Freiheiten der betroffenen Personen nicht länger besteht (z.B., wenn eine ausreichende Verschlüsselung für die verlorenen Daten vorhanden ist);
  • Der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht;
  • Die Benachrichtigung ist mit einem unverhältnismäßigen Aufwand verbunden. Dann muss der Verantwortliche eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme durchführen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

Zusammenfassung: Meldung oder keine Meldung?

Tabelle; Datenschutzmeldung

Bei Sicherheitsvorfällen und Datenschutzverletzungen empfehlen wir Dir, Dich an Deinen DSB zu wenden, der Dich bei der Behebung des Vorfalls unterstützen kann.

DS-Aufsichtsbehörden:

Nachfolgend findest Du die Links zu den Formularen der Aufsichtsbehörden, bei denen Du den Datenschutzverstoß melden kannst.

Aufsichtsbehörde:

Link:

Baden-Württemberg

https://www.baden-wuerttemberg.datenschutz.de/meldung-von-datenpannen/

Bayern

https://www.datenschutz-bayern.de/service/data_breach.html

Berlin

https://www.datenschutz-berlin.de/wirtschaft-und-verwaltung/meldung-einer-datenpanne/datenpannenformular

Brandenburg

https://www.lda.brandenburg.de/lda/de/service/formulare-und-musterschreiben/meldung-einer-datenschutzverletzung/

Bremen

https://www.datenschutz.bremen.de/wir-ueber-uns/online-meldungen/datenschutzverletzung-melden-15665

Hamburg

https://datenschutz-hamburg.de/meldung-databreach

Hessen

https://datenschutz.hessen.de/service/meldungen-von-verletzungen-des-schutzes-personenbezogener-daten-durch-verantwortliche

Mecklenburg-Vorpommern

https://www.datenschutz-mv.de/kontakt/meldung-einer-datenpanne/

 

Niedersachsen

https://www.navo.niedersachsen.de/navo2/portal/csend/8916/fileget/artikel_33.html

Nordrhein-Westfalen

https://www.ldi.nrw.de/mainmenu_Aktuelles/Formulare-und-Meldungen/Inhalt2/Meldeformular—Verletzung-des-Schutzes-personenbezogener-Daten/Meldeformular—Verletzungen-des-Schutzes-personenbezogener-Daten.html

Rheinland-Pfalz

https://www.datenschutz.rlp.de/de/themenfelder-themen/online-services/meldeformular-datenpanne-art-33-ds-gvo/

Saarland

https://www.datenschutz.saarland.de/online-dienste/meldung-datenpanne

Sachsen

https://www.datenschutzrecht.sachsen.de/Meldepflichten.html

Sachsen-Anhalt

https://datenschutz.sachsen-anhalt.de/service/online-formulare/datenschutzverletzung/

Schleswig-Holstein

https://www.ihk-schleswig-holstein.de/recht/aktuelle-rechtsthemen/eu-datenschutz-grundverordnung-nr11-3844548

Thüringen

https://www.tlfdi.de/europa/europaeischedsgvo/

Wenn Du Dein Sicherheitsniveau noch nicht mit unserer kostenlosen Anwendung analysiert hast, registriere Dich hier!

Beitrag teilen:

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email

Diese Beiträge könnten Dich auch interessieren

engineer working on a laptop in server room

Recht auf Berichtigung (Art. 16)

Was ist das Recht auf Berichtigung? Das Recht auf Berichtigung ist das Recht der betroffenen Person, von dem Verantwortlichen die Berichtigung und / oder Vervollständigung

Weiterlesen
side view of focused businesswoman with tablet making calculations on calculator at workplace with

Auskunftsrecht (Art. 15)

Was ist das Auskunftsrecht? Das Auskunftsrecht ist das Recht der betroffenen Person, eine Bestätigung darüber zu verlangen, ob der für die Verarbeitung Verantwortliche sie betreffende

Weiterlesen
Man working with a computer, General Data Protection Regulation and European Union flag

Datenschutzmeldungen (Art. 33 und 34)

Datenschutzmeldung an die Aufsichtsbehörde Nach der DSGVO müssen alle Verletzungen des Schutzes personenbezogener Daten unverzüglich an die zuständige Aufsichtsbehörde gemeldet werden. Dies bezeichnet man als

Weiterlesen

Hinweis:

Die Anwendung wird bald zur Verfügung gestellt.