When do you need to notify a data breach?
Wurden die von Ihnen verarbeiteten personenbezogenen Daten verloren, gestohlen oder kompromittiert?
Wird die Verarbeitung wahrscheinlich zu hohen Risiken führen?
Muss ich eine DSFA durchführen?
Ja, Sie müssen die DSFA durchführen
Gibt es nach der DSFA noch hohe Risiken?
Muss ich eine DSFA durchführen?
No personal data breach has occurred.
Wenden Sie sich an Ihre Datenschutzbehörde
You don’t need to notify the data protection authority or individuals.
You need to document all data breaches in a record.
Datenschutzverletzungen können sich nachteilig auf Ihr Unternehmen auswirken. Von finanziellen Verlusten über Geldbußen bis hin zu einem Verlust des Kundenvertrauens können die Auswirkungen von Datenschutzverletzungen massiv sein. Deshalb ist es unerlässlich, bewährte Verfahren für die Cybersicherheit einzuführen, um Sicherheitsvorfälle zu verhindern. Trotzdem kann es immer noch eine Datenschutzverletzung geben, die Sie möglicherweise bei Ihrer jeweiligen Datenschutzbehörde (DPA) melden oder den betroffenen Personen mitteilen müssen.
Was ist eine „Datenschutzverletzung“
Eine Verletzung des Schutzes personenbezogener Daten bedeutet „eine Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten führt“.
Unternehmen sollten sich bewusst sein, dass eine Datenschutzverletzung viel mehr abdecken kann, als nur den „Verlust“ personenbezogener Daten. Dazu gehören Vorfälle, die die Vertraulichkeit, Integrität oder Verfügbarkeit personenbezogener Daten beeinträchtigen. Wichtig ist, dass Datenschutzverletzungen Sicherheitsvorfälle umfassen, die sowohl auf Unfälle zurückzuführen sind (wie das Senden einer E-Mail an den falschen Empfänger, den Verlust eines USB-Schlüssels mit Kundendaten oder versehentliches Löschen medizinischer Daten, für die keine Sicherung verfügbar ist), als auch absichtliche Handlungen (wie Phishing-Angriffe, um Zugang zu Kundendaten zu erhalten).
Mit anderen Worten, schließt dies Situationen ein, in denen jemand unbefugt auf personenbezogene Daten zugreift, diese ohne ordnungsgemäße Genehmigung weitergibt oder in denen personenbezogene Daten durch Verschlüsselung durch Ransomware, versehentlichen Verlust oder Zerstörung unzugänglich gemacht werden. Während alle Datenschutzverletzungen auch Sicherheitsvorfälle sind, sind nicht alle Sicherheitsvorfälle notwendigerweise Datenschutzverletzungen (da möglicherweise keine personenbezogenen Daten gibt, die in einen bestimmten Sicherheitsvorfall involviert sind).
Lesen Sie mehr
Pflichten der für die Verarbeitung Verantwortlichen
Wenn Ihr KMU als Datenverantwortlicher handelt, gibt es drei Hauptgrundsätze in Bezug auf Datenschutzverletzungen
- Dokumentation von Datenschutzverletzungen
- Benachrichtigung der zuständigen Datenschutzbehörde (DPA) innerhalb von 72 Stunden, es sei denn, es ist unwahrscheinlich, dass die Datenschutzverletzung zu einem Risiko für Einzelpersonen führt; und
- unverzügliche Mitteilung der betroffenen Personen, wenn die Datenschutzverletzung wahrscheinlich zu einem hohen Risiko für Einzelpersonen führt.
Es ist von größter Bedeutung, dass die für die Verarbeitung Verantwortlichen diese Verpflichtungen verstehen, erfüllen und im Voraus geeignete Verfahren anwenden, die es ihnen ermöglichen, rechtzeitig objektiv zu bestimmen, ob eine der oben genannten Maßnahmen erforderlich ist.
In jedem Fall muss der für die Verarbeitung Verantwortliche bei allen Verstößen – auch bei Verstößen, die nicht an eine Datenschutzbehörde gemeldet werden, weil ein Risiko für unwahrscheinlich gehalten wird – mindestens die grundlegenden Einzelheiten des Verstoßes, seine Bewertung, seine Auswirkungen und die als Reaktion ergriffenen Schritte gemäß Art. 33 Abs. 5 DSGVO dokumentieren.
Was ist zu tun und wie?
Meldung der Datenverletzung bei der zuständigen Datenschutzbehörde
Gemäß Art. 33.1 DSGVO sollten alle Datenschutzverletzungen den zuständigen Datenschutzbehörden mitgeteilt werden, mit Ausnahme derjenigen, die kein Risiko für Einzelpersonen darstellen. Um diese Benachrichtigung zu erleichtern, haben die Datenschutzbehörden Verfahren oder Online-Formulare implementiert, die Sie Schritt für Schritt anleiten, um sicherzustellen, dass Sie alle erforderlichen Informationen bereitstellen.
Wenn der Verstoß im Zusammenhang mit der grenzüberschreitenden Verarbeitung und Meldung erfolgt, muss der für die Verarbeitung Verantwortliche, sofern er im EWR niedergelassen ist, die federführende Datenschutzbehörde benachrichtigen. Daher sollte ein für die Datenverarbeitung Verantwortlicher bei der Ausarbeitung des Schadensabwehrplans bereits eine Bewertung vornehmen, welche zu benachrichtigende Datenschutzbehörde federführend ist. Wenn der für die Verarbeitung Verantwortliche Zweifel an der Identität der federführenden Datenschutzbehörde hat, sollte er zumindest die lokale Datenschutzbehörde benachrichtigen, in deren Land der Verstoß stattgefunden hat.
Wenn eine Mitteilung erforderlich ist, muss dies so bald wie möglich und innerhalb von 72 Stunden nach Kenntnisnahme des Verstoßes erfolgen. Falls dies nicht möglich ist, ist eine Begründung für die Verzögerung erforderlich. Ein Datenschutzvorfall sollte als „der Organisation bekannt“ angesehen werden, wenn ein angemessenes Maß an Sicherheit besteht, dass ein Vorfall aufgetreten ist und personenbezogene Daten kompromittiert wurden.
Um der zuständigen Datenschutzbehörde nachweisen zu können, wann und wie Sie von einer Datenschutzverletzung Kenntnis erlangt haben, wird empfohlen, dass alle Organisationen im Rahmen ihrer internen Verfahren zum Datenschutz über ein System verfügen, mit dem sie erfassen können, wie und wann sie von einem Vorfall Kenntnis erlangen und wie sie das potenzielle Risiko des Verstoßes beurteilt haben.
Wenn es nicht möglich ist, der Datenschutzbehörde innerhalb des 72-Stunden-Zeitraums alle relevanten Informationen zur Verfügung zu stellen, sollte die Mitteilung in mehreren Schritten erfolgen. Die erste Benachrichtigung sollte eingereicht werden, und weitere Informationen können später phasenweise vorgelegt werden.
Wenn Ihr KMU ein Datenverarbeiter ist und personenbezogene Daten im Auftrag einer anderen Organisation verarbeitet, müssen Sie außerdem gemäß Art. 33 Abs. 2 DSGVO den für die Verarbeitung Verantwortlichen unverzüglich über jede Verletzung des Schutzes personenbezogener Daten informieren. Dies ist von entscheidender Bedeutung, um es dem Verantwortlichen zu ermöglichen, seinen Meldepflichten rechtzeitig nachzukommen. Die Anforderungen an die Meldung von Verstößen sollten gemäß Art. 28 DSGVO auch im Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter aufgeführt sein.
Eine Meldung einer Verletzung des Schutzes personenbezogener Daten an die zuständige Datenschutzbehörde muss mindestens
- die Art der Datenschutzverletzung beschreiben, einschließlich, soweit möglich, der Kategorien und ungefähren Anzahl der betroffenen Personen sowie der Kategorien und ungefähren Anzahl der betreffenden personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle nennen, an der weitere Informationen eingeholt werden können;
- die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten beschreiben; und
- die Maßnahmen erläutern, die das KMU zur Bekämpfung der Verletzung des Schutzes personenbezogener Daten ergriffen oder vorgeschlagen hat, einschließlich gegebenenfalls Maßnahmen zur Minderung etwaiger nachteiliger Auswirkungen.
Mitteilung des Vorfalls an betroffene Personen
Darüber hinaus müssen einige Datenschutzverletzungen unverzüglich den betroffenen Personen mitgeteilt werden. Dies ist der Fall, wenn die Datenschutzverletzung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten der natürlichen Person führt.
Die Absicht dieser Anforderung besteht darin, sicherzustellen, dass betroffene Personen die erforderlichen Vorkehrungen treffen können, wenn Vorfälle aufgetreten sind, die wahrscheinlich zu einem hohen Risiko für sie führen.
Diese Mitteilungen an Einzelpersonen müssen unverzüglich und gegebenenfalls in enger Zusammenarbeit mit der zuständigen Datenschutzbehörde erfolgen. In Fällen, in denen ein unmittelbares Risiko für Einzelpersonen gemindert werden muss, ist eine unverzügliche Kommunikation erforderlich.
Es gibt Umstände, in denen die für die Verarbeitung Verantwortlichen nicht verpflichtet werden, Personen zu benachrichtigen, wie z. B.:
- der Datenverantwortliche die Daten verschlüsselt hatte und die Verschlüsselungsschlüssel nicht beeinträchtigt wurden;
- der für die Verarbeitung Verantwortliche hat nachfolgende Maßnahmen ergriffen, mit denen sichergestellt wird, dass das hohe Risiko für die Rechte und Freiheiten natürlicher Personen nicht mehr eintritt;
oder
- die individuelle Benachrichtigung würde einen unverhältnismäßigen Aufwand mit sich bringen. In einem solchen Fall muss der für die Verarbeitung Verantwortliche jedoch durch eine öffentliche Mitteilung oder eine ähnliche Maßnahme sicherstellen, dass Personen gleichermaßen wirksam informiert werden.
Diese Mitteilung an die Person sollte in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten beschreiben und mindestens folgende Informationen enthalten:
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; und
- eine Beschreibung der von der Organisation ergriffenen oder vorgeschlagenen Maßnahmen im Zuge der Datenschutzverletzung, einschließlich gegebenenfalls Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.
- In der Mitteilung sollten auch Empfehlungen für die betroffenen Personen beschrieben werden, um mögliche nachteilige Auswirkungen des Verstoßes abzumildern.
Die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter werden aufgefordert, im Voraus zu planen und Prozesse einzurichten, um einen Verstoß aufzudecken und unverzüglich einzudämmen, das Risiko für Einzelpersonen zu bewerten und dann festzustellen, ob es erforderlich ist, die zuständige Datenschutzbehörde zu benachrichtigen und die Verletzung gegebenenfalls den betroffenen Personen mitzuteilen.
Wann müssen Sie eine Datenschutzverletzung melden?
