Melde- und Benachrichtigungspflicht prüfen (Art. 33 und 34 DSGVO)
Kommt es im Zusammenhang mit der Verarbeitung von personenbezogenen Daten zu einer Verletzung des Schutzes von personenbezogenen Daten (vgl. Art. 4 Nr. 12 DSGVO), ist dies gem. Art. 33 Abs. 1 DSGVO binnen 72 Stunden der zuständigen Aufsichtsbehörde für den Datenschutz zu melden. Der Auftragsdatenverarbeiter hat diese Meldung an den Auftraggeber zu richten. Die Meldepflicht entfällt nur dann, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Eine Verletzung des Schutzes personenbezogener Daten liegt gem. Art. 4 Nr. 12 DSGVO vor, wenn eine Verletzung der Sicherheit von personenbezogenen Daten, sei es unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenbarung oder zum unbefugten Zugang zu personenbezogenen Daten führt. Ein Risiko kann lt. Erwägungsgrund Nr. 85 in einem Kontrollverlust der Betroffenen über ihre Daten oder Einschränkung ihrer Rechte, einer Diskriminierung, eines Identitätsdiebstahls oder -betrugs, in finanziellen Verlusten, einer unbefugten Aufhebung der Pseudonymisierung, einer Rufschädigung oder des Verlusts der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen für die betroffene natürliche Person bestehen.
Die Meldung muss gem. Art. 33 Abs. 3 DSGVO mindestens eine Beschreibung der Art der Verletzung, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie der betroffenen Datensätze, Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten, eine Beschreibung der vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes von personenbezogenen Daten sowie ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen enthalten.
Art. 34 Abs. 1 DSGVO schreibt bei einer Verletzung des Schutzes personenbezogener Daten auch eine Benachrichtigung der Betroffenen vor, die aber abweichend von der Benachrichtigungspflicht der Aufsichtsbehörde nur dann vorzunehmen ist, wenn die Verletzung des Schutzes personenbezogener Daten für die persönlichen Rechte und Freiheiten der natürlichen Personen ein hohes Risiko zur Folge hat. Diese Benachrichtigung muss gem. Art. 34 Abs. 2 i. V. m. Art. 33 Abs. 3 DSGVO zumindest den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten, eine Beschreibung der vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes von personenbezogenen Daten sowie ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen enthalten.
Bei einer möglichen Verletzung des Schutzes von personenbezogenen Daten, insbesondere bei einem Verlust der Vertraulichkeit durch eine unbefugte Offenbarung oder Datenübermittlung, unbefugte Zugriffe oder Verarbeitungen oder durch Verlust, Zerstörung oder Verfälschung der Daten, ist sofort der jeweilige Vorgesetzte zu informieren. Dieser leitet umgehend die erforderlichen Sofortmaßnahmen zur Behebung der Ursachen der Datenschutzverletzung ein und benachrichtigt die beteiligten Stellen, die Geschäftsleitung und den Datenschutzbeauftragten.
Die Meldung an die Aufsichtsbehörde für den Datenschutz und die Information der Betroffenen erteilt die Geschäftsleitung.
Fachthema weiterlesen
Bei diesem Artikel handelt es sich um einen Auszug aus unserem Datenschutz-Fachportal.
Profitieren Sie durch eine Anmeldung zum TÜV SÜD Datenschutz-Fachportal von vielen fachrelevanten Vorteilen:
- DSGVO-Schulungen für Ihre Mitarbeiter
- Unverzichtbares Praxiswissen
- Mustervorlagen zur DSGVO
- Nützliche Arbeitshilfen wie Vertragsmuster, Checklisten und vieles mehr.