Sollte sich in Ihrem Unternehmen ein Datenschutzvorfall ereignen, gilt es, zügig zu handeln. Die DSGVO gibt dabei vor, was zu tun ist.
Nach Art. 33 Abs. 1 DSGVO ist ein Datenschutzvorfall der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden zu melden. Diese Meldung muss mindestens folgende Informationen enthalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Der Frist von 72 Stunden beginnt am Folgetag nach Feststellung des Datenschutzvorfalls an zu laufen. Bereits eine hinreichende Wahrscheinlichkeit ohne endgültige Gewissheit vom Datenschutzvorfall löst die Frist aus. Wochenend- und Feiertage werden wie Wochentage mitgezählt.
Die Meldepflicht entfällt, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Diese Beurteilung muss für jeden Einzelfall individuell erfolgen und dokumentiert werden.
Bei einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen ist gemäß Art. 34 Abs. 1 DSGVO der Betroffene unverzüglich über den Datenschutzvorfall zu benachrichtigen. Diese Pflicht entfällt, wenn:
- Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
- der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht,
- dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
Beispiele für Datenschutzvorfälle sind: unrechtmäßige Übermittlung (Versand einer E-Mail an falschen Adressaten), Verlust oder Diebstahl von Dokumenten oder Speichermedien, die personenbezogene Daten enthalten, Datenpannen durch Angriffe auf das IT-System, unbeabsichtige Änderung oder Löschung von personenbezogenen Daten, Veröffentlichung von personenbezogenen Daten im Internet durch technische Fehler