Diese Information richtet sich an Verantwortliche - nicht an Mitarbeiter!
Was ist überhaupt eine Datenpanne?
Die DSGVO verwendet den Begriff “Verletzung des Schutzes personenbezogener Daten”, kurz auch "Datenschutzverletzung” genannt. Im umgangssprachlichen Gebrauch hat sich der Begriff “Datenpanne” durchgesetzt. Regelmäßig handelt es sich um einen Sicherheitsvorfall, der dazu geführt hat, dass personenbezogene Daten unbefugt offengelegt, verändert oder vernichtet wurden.
Auslöser für eine solche Datenpanne können Cyberangriffe, technische Ursachen oder schlicht auch der unsachgemäße und nachlässige Umgang mit personenbezogenen Daten sein.
Was ist für den Verantwortlichen nun zu tun:
- Datenschutzverletzung untersuchen und deren Umfang feststellen
- Sofortmaßnahmen zur Schadensminimierung und Behebung durchführen
- Risiko für die Rechte und Freiheiten der betroffenen Personen feststellen
- geringes Risiko
- (mittleres) Risiko
- hohes Risiko
- interne Dokumentation der Datenpanne
- bei mehr als geringem Risiko Meldepflicht an die zuständige Aufsichtsbehörde
- bei hohem Risiko müssen die betroffenen Personen umfassend informiert werden
Welche Informationen muss die Benachrichtigung der Betroffenen enthalten
- eine Beschreibung der Datenpanne
- Beschreibung der wahrscheinlichen Folgen der Datenpanne
- Kontaktperson für weitere Auskünfte (i.d.R. ist dies der Datenschutzbeauftragte)
- Beschreibung der ergriffenen Maßnahmen zur Behebung der Datenpanne
- ggf. Maßnahmen zur Abmilderung der möglichen Auswirkungen
- Kategorien der betroffenen Daten
Was prüft die zuständige Aufsichtsbehörde
- Wurde die Meldefrist von 72 Stunden eingehalten?
- Wurde die Datenschutzverletzung innerhalb dieser Frist hinreichend untersucht?
- Wurde der Umfang der Datenschutzverletzung und deren Auswirkungen angemessen erfasst?
- Wurde das Risiko für die betroffenen Personen angemessen analysiert?
- Wurden ausreichende Maßnahmen zur Behebung der Datenpanne getroffen?
- Wurden ausreichende Maßnahmen zur Abmilderung der Folgen für die Betroffenen getroffen?
- Wurden angemessene Maßnahmen getroffen, um eine gleichartige Datenpanne in Zukunft zu vermeiden?
Weitere Möglichkeiten der Aufsichtsbehörde
- weitere Informationen, z.B. externe Untersuchungsberichte anfordern
- Empfehlungen für zusätzliche ergänzende Maßnahmen aussprechen
- ergänzende Maßnahmen anordnen
- Bußgelder verhängen (i.d.R. nicht gegen öffentliche Verantwortliche)
