Meldung an die Aufsichtsbehörde: Unterschied zwischen den Versionen
Admin (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Im Falle einer Datenschutzverletzung, welche zu einem Risiko der Rechte und Freiheiten natürlicher Personen führt, „möglichst“ binnen 72 Stunden an die…“) |
Admin (Diskussion | Beiträge) |
||
(5 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 13: | Zeile 13: | ||
Diese Benachrichtigung entfällt, wenn die Daten z. B. vorher verschlüsselt wurden, nach dem Vorfall Maßnahmen zur Verringerung des Risikos der Rechte und Freiheiten der Betroffenen ergriffen wurden oder dies einen unverhältnismäßigen Aufwand bedeutet. | Diese Benachrichtigung entfällt, wenn die Daten z. B. vorher verschlüsselt wurden, nach dem Vorfall Maßnahmen zur Verringerung des Risikos der Rechte und Freiheiten der Betroffenen ergriffen wurden oder dies einen unverhältnismäßigen Aufwand bedeutet. | ||
+ | |||
+ | Wichtig ist übrigens, die ''räumlich richtige'' Aufsichtsbehörde zu konsultieren. In einem Fall versuchte die belgische Datenschutzbehörde die irische Niederlassung eines weltweiten Konzerns zu maßregeln. Der Europäische Gerichtshof sieht jedoch die ausschließliche Zuständigkeit bei der irischen Datenschutzbehörde. | ||
+ | |||
+ | Regelmäßig kontaktieren die Aufsichtsbehörden die Beschuldigten aus dokumentarischen Gründen schriftlich. In einzelnen Fällen ist es ihr aber erlaubt mit Hilfe der Polizei Akten einzusehen. | ||
+ | |||
+ | '''Weitere Informationen''' | ||
+ | * Vorgehen nach [https://www.dr-datenschutz.de/iso-27701-behandlung-vom-datenschutzvorfall-nach-der-dsgvo/?utm_source=mailpoet&utm_medium=email&utm_campaign=+newsletter-weekly ISO 27001] | ||
+ | * [https://www.dr-datenschutz.de/datenschutzverstoss-und-datenpanne-beispiele-und-vorgehen/ Beispiele und Vorgehen] (Dr. Datenschutz) |
Aktuelle Version vom 5. Mai 2022, 12:23 Uhr
Im Falle einer Datenschutzverletzung, welche zu einem Risiko der Rechte und Freiheiten natürlicher Personen führt, „möglichst“ binnen 72 Stunden an die Aufsichtsbehörde. Anderenfalls ist ihr eine Begründung vorzulegen, warum diese Frist nicht eingehalten wurde. Das gleiche gilt für Auftragsverarbeiter in Bezug auf den Verantwortlichen.
Eine solche Meldung umfasst zu mindestens die folgenden Informationen
- Art der Datenschutzverletzung (inkl. Kategorien und Anzahl der Datensätze)
- Kontaktdaten des Datenschutzbeauftragten
- Wahrscheinliche Folgen der Verletzung
- Ergriffene oder vorgeschlagene Maßnahmen zur Behebung
Diese Informationen können auch schrittweise, also bei neuen Erkenntnissen, zur Verfügung gestellt werden. Der Verantwortliche erstellt eine Dokumentation der Verletzung und Auswirkungen, die der Aufsichtsbehörde eine Überprüfung auf Einhaltung des Artikels 33 ermöglicht.
Der Verantwortliche benachrichtigt auch die betroffenen Personen, wenn die Verletzung ein hohes Risiko für Rechte und Freiheiten der Betroffenen erzeugt, in klarer und einfacher Sprache. Diese Benachrichtigung enthält wenigstens die in den Ziffern 2 – 4 genannten Angaben dieses Abschnitts.
Diese Benachrichtigung entfällt, wenn die Daten z. B. vorher verschlüsselt wurden, nach dem Vorfall Maßnahmen zur Verringerung des Risikos der Rechte und Freiheiten der Betroffenen ergriffen wurden oder dies einen unverhältnismäßigen Aufwand bedeutet.
Wichtig ist übrigens, die räumlich richtige Aufsichtsbehörde zu konsultieren. In einem Fall versuchte die belgische Datenschutzbehörde die irische Niederlassung eines weltweiten Konzerns zu maßregeln. Der Europäische Gerichtshof sieht jedoch die ausschließliche Zuständigkeit bei der irischen Datenschutzbehörde.
Regelmäßig kontaktieren die Aufsichtsbehörden die Beschuldigten aus dokumentarischen Gründen schriftlich. In einzelnen Fällen ist es ihr aber erlaubt mit Hilfe der Polizei Akten einzusehen.
Weitere Informationen
- Vorgehen nach ISO 27001
- Beispiele und Vorgehen (Dr. Datenschutz)