• Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden:

    Kennwort vergessen?

Twitter On Image Facebook On Image Mail On Image
03.01.2018 .

EU DS-GVO: Auslegungstipp "Umgang mit Datenpannen, Artikel 33 und 34"

Die Verordnung sieht für den Fall der Verletzung des Schutzes personenbezogener Daten Melde- und Informationspflichten vor (Artikel 33 und 34). Die Aufsichtsbehörde ist unverzüglich - spätestens binnen 72 Stunden - zu informieren, wenn die Verletzung voraussichtlich zu einem Risiko für persönlichen Rechte und Freiheiten der betroffenen Personen führt. Besteht die Wahrscheinlichkeit eines "hohen" Risikos, so müssen auch die betroffenen Personen unverzüglich informiert werden. Im Einzelnen:

Meldung an die Aufsichtsbehörde, Artikel 33

Die Meldung von Datenschutzverletzungen hat zumindest folgende Informationen zu enthalten:

  1. Beschreibung der Verletzungsart, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der betroffenen Datensätze;
  2. Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;
  3. Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung;
  4. Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und gegebenenfalls Abmilderungsmaßnahmen möglicher Auswirkungen.

Können die Informationen nicht sofort bereitgestellt werden, so kann der Verantwortliche sie auch baldmöglichst schrittweise zur Verfügung stellen.

Benachrichtigung der betroffenen Person, Artikel 34

Sie muss in klarer und einfacher Sprache die Art der Datenschutzverletzung beschreiben und zumindest die oben als b, c und d beschriebenen Informationen und Maßnahmen enthalten.

Nicht erforderlich ist die Information des Betroffenen, wenn geeignete technische und organisatorische Maßnahmen vorhanden sind, die den Unbefugten einen Datenzugang praktisch nicht ermöglichen, wie z.B. Verschlüsselung. Weiter ist die Benachrichtigung des Betroffenen verzichtbar, wenn wirksame Maßnahmen zur Schadensbegrenzung ergriffen worden sind und dadurch das hohe Risiko, das zum Zeitpunkt der Datenpanne bestanden hatte, aller Wahrscheinlichkeit nach nicht mehr besteht. Schließlich kann eine nur mit unverhältnismäßigem Aufwand mögliche Benachrichtigung unterbleiben, wenn etwa durch öffentliche Bekanntmachung vergleichbar wirksam informiert werden kann.

Tipp:

Um diesen Informationspflichten ausreichend gerecht werden zu können und um eine möglichst zuverlässige Reaktion auf Datenschutzverstöße sicherzustellen, sind organisatorische Maßnahmen im Unternehmen zu treffen. Jedem Mitarbeiter muss bekannt sein, an wen Datenschutzverstöße im Unternehmen zu melden sind. Entsprechend sind die Auftragsverarbeiter zu einer Durchmeldung zu verpflichten, die eine rechtzeitige Informationdurch das Unternehmen ermöglicht.

Zur Vertiefung: DDV-Best Practice Guide Europäische Datenschutz-Grundverordnung, September 2017

DDV Suche

Mitglied werden

Mitglied werden

Profitieren Sie von einer Mitgliedschaft im DDV und unseren Einstiegsangeboten mit verschiedenen Schwerpunkten.

DDV-Newsletter

Newsletter abonnieren

Abonnieren Sie jetzt unseren DDV-Newsletter

RSS Feed

RSS abonnieren

RSS ist ein Service, mit dem Sie neue Nachrichten automatisch empfangen, sobald sie erschienen sind. Ein RSS Reader ist dafür Voraussetzung.

Ihre Ansprechpartner

Gerne stehen die Mitarbeiter der DDV-Geschäftsstelle für Ihre Fragen zur Verfügung. Hier finden Sie die direkten Kontakte für häufige Fragen. Eine Liste aller Mitarbeiter finden Sie auf der Seite Geschäftsstellen.

Fragen zur Mitgliedschaft:

Martina Rambach

E-Mail: m.rambach@ddv.de

Tel: 069 401 276-522

Fax: 069 401 276-599

Presseanfragen

Boris von Nagy

E-Mail: b.vonnagy@ddv.de

Tel: 069 401 276-513

Fax: 069 401 276-599

Fragen zur Website

Bettina Höfner

E-Mail: b.hoefner@ddv.de

Tel:069 401 276-541

Fax: 069 401 276-599

Sonstige Anfragen

Martina Klein

E-Mail: info@ddv.de

Tel: 069 401 276 500

Fax: 069 401 276 599