Leistungen
Datenpannen - Das verborgene Risiko
Die DS-GVO sieht konkrete Meldepflichten für sogenannte Datenpannen vor. Doch wann besteht ein meldepflichtiger Datenschutzverstoß? Gemäß Art. 33 Abs. 1 S. 2 DS-GVO hat eine Meldung nicht zu erfolgen, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Im Falle einer Datenpanne ist somit stets zu prüfen, welche Risiken für die betroffenen Personen bestehen. Doch die Ermittlung und Bewertung des Risikos für betroffene Personen kann im Einzelfall sehr schwierig sein. In einem ersten Schritt sollte der mögliche Schaden identifiziert werden, der gemäß Erwägungsgrund 85 z. B. folgende Aspekte betreffen kann:
- Rufschädigung
- Diskriminierung
- Identitätsdiebstahl oder-betrug
- erhebliche wirtschaftliche oder gesellschaftliche Nachteile
Auch die Schwere und die Eintrittswahrscheinlichkeit des Schadens spielen bei der Risikoermittlung eine Rolle und sind als hoch einzustufen, wenn:
- gem. Art. 9 DS-GVO besonders sensible Daten betroffen sind
- besonders schützenswerte Personen betroffen sind, z. B. Kinder
- eine große Anzahl von Personen betroffen ist
- die Daten einem großen Personenkreis offengelegt wurden z. B. durch Veröffentlichung im Internet
- der Vorfall lange andauert und keine angemessenen Gegenmaßnahmen ergriffen wurden oder werden können
Sofern von einem Risiko ausgegangen werden muss, ist eine Meldung bei der Aufsichtsbehörde und bei hohem Risiko eine Benachrichtigung der betroffenen Personen durchzuführen.
Wie Sie Ihrer Pflicht zur Meldung konkret nachkommen
Grundsätzlich gilt eine Meldefrist von lediglich 72 Stunden ab Feststellung der Datenpanne und es empfiehlt sich, die Meldung in Textform durchzuführen. Dabei sollte sie gemäß Art. 33 DS-GVO mindestens folgende Inhalte umfassen:
- Art der Verletzung des Schutzes personenbezogener Daten, wenn möglich inkl. Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen: z. B. Hackerangriff und Entwendung von ca. 2500 Kundenstammdatensätzen
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson für die Aufsichtsbehörde
- Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten: z. B. Belästigung durch SPAM- und Phishingmails, Identitätsdiebstahl
- Beschreibung der bereits ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne und gegebenenfalls Maßnahmen zur Abmilderung ihrer Auswirkungen: z. B. Trennung des Servers vom Internet, Bereinigung der Systeme von Schadsoftware, Verbesserung der Systemsicherheit und Benachrichtigung der Betroffenen
Leistungen
Unser Angebot zu Datenpannen
Beratung
Implementierung
Kommunikation
Unterstützung
Leistungen
Ihre Zusammenarbeit mit audatis
-
01
Erstgespräch
-
02
Angebot
-
03
Information
-
04
Durchführung
-
05
Präsentation
Leistungen
Ihre Vorteile mit audatis
Erfahrung
in risikobezogener Kommunikation mit Aufsichtsbehörden, Kunden und Betroffenen
Telefon-Hotline
mit rund um die Uhr Erreichbarkeit zur Erstmeldung von Datenpannen und Empfehlung von Sofortmaßnahmen
Meldesystem
zur elektronischen Erfassung von Datenpannen, gesetzeskonformer Dokumentation und Bearbeitung im audatis MANAGER
Zuverlässigkeit
bei Einhaltung der gesetzlich definierten Fristen durch mehrstufige Erinnerungen und großes Experten-Team
Team
Unsere Experten unterstützen Sie gerne
Alexandra Küger
Legal Counsel Data Privacy & Compliance
Matthias Schütz
Consultant Datenschutz
Jannik Wallbaum
Senior Legal Consultant Datenschutz
Lara Feist
Teamassistentin
Jetzt kostenloses Erstgespräch vereinbaren
Nehmen Sie einfach schriftlichen Kontakt mit uns auf oder rufen Sie uns an.
Tel: 05221 87292-20
E-Mail: l.feist@audatis.de