Meldepflicht bei Datenschutzverletzung
Die irische Datenschutzbehörde (DPC Irland) hat in ihrem kürzlich veröffentlichten Jahresbericht einen Einblick über die Meldungen einer Datenschutzverletzung gegebenen.
Interessant ist nicht nur die – im Berichtszeitraum (05 – 12.2018) – deutlich gestiegene Anzahl von Meldungen (3.687, +27% im Vergleich zu 2017), sondern auch die im Bericht vorgenommenen Klassifikation der Arten von gemeldeten Datenschutzverletzungen.
Arten von Datenschutzverletzungen
Erstaunliche 85 Prozent der Datenschutzverletzungen erfolgten durch die Offenlegung von personenbezogenen Daten an nicht autorisierte Empfänger.
Weitere meldepflichtige Datenschutzverletzungen erfolgten durch
- Verlust von nicht-verschlüsselten Datenträgern, zB USB-Sticks
- Verlust oder Diebstahl bzw der unsachgemäßen Entsorgung von Papierdokumenten
- Datenschutzverletzungen in der Folge von erfolgreichen Hacking-Angriffen oder Phishing Mails
Meldepflicht bei Datenschutzverletzung
Artikel 33 DSGVO sieht bei Verletzung des Schutzes personenbezogener Daten eine Meldepflicht für den Verantwortlichen vor. Die Meldung hat möglichst binnen 72 Stunden, nach Bekanntwerden, bei der Aufsichtsbehörde zu erfolgen. Eine Ausnahme von der Meldepflicht besteht nur dann, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.
Die Meldung an die Aufsichtsbehörde hat gesetzlich festgelegte Mindestinformationen zu enthalten. Falls nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche die Informationen ohne unangemessene weitere Verzögerung der Aufsichtsbehörde schrittweise zur Verfügung stellen.
Dokumentationspflicht bei Datenschutzverletzung
Darüber hinaus ist der Verantwortliche stets verpflichtet, alle aufgetretenen Datenschutzverletzungen einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und ergriffener Abhilfemaßnahmen zu dokumentieren. Diese Dokumentation ist der Aufsichtsbehörde, nach Aufforderung, zugänglich zu machen.
Schulung und internes Meldeverfahren
Zentrale Bedeutung bei der Erfüllung der Meldepflichten bei Datenschutzverletzungen ist die Schulung und Sensibilisierung der mit personenbezogenen Daten befassten Mitarbeiter. Der Verantwortliche ist gut beraten, die Mitarbeiter für die Erkennung von möglichen Datenschutzverletzungen zu schulen und ein Verfahren zur internen Meldung eines entsprechenden Vorfalls vorzusehen.
Zur internen Erhebung und Dokumentation von Infomationen zu einer etwaigen Datenschutzverletzung steht Ihnen unser Datenschutz-Tool „Meldung einer Datenschutzverletzung“ zur Verfügung.
Risikoabwägung und Schadensabwehr
In der Folge hat durch den Verantwortlichen, nach Möglichkeit, in Abstimmung mit dem Datenschutzbeauftragten unverzüglich eine dreistufige Risikoabwägung (kein Risiko, Risiko oder Hohes Risiko) hinsichtlich der Auswirkungen des Vorfalls auf die Rechte und Freiheiten natürlicher Personen durchzuführen und dessen Ergebnis schriftlich festzuhalten. Zusätzlich sind alle auf den Vorfall bezogenen Fakten und ergriffenen Abwehrmaßnahmen zu dokumentieren.
Meldung bei der Aufsichtsbehörde
Bei einem bestehenden Risiko für die Rechte und Freiheiten der betroffenen Person hat der Verantwortliche, binnen 72 Stunden, die Datenschutzverletzung an die zuständige Aufsichtsbehörde zu melden. In Österreich erfolgt die Meldung an die Datenschutzbehörde, welche dafür auf ihrer Website ein entsprechendes Formular zur Verfügung stellt.