IT-Sicherheitsvorfall – Meldepflichten
IT-Sicherheitsvorfälle mit Datenschutzverletzung
Kommt es im Zusammenhang mit einem IT-Sicherheitsvorfall zu einer Datenschutzverletzung im Bereich personenbezogener Daten, dann muss der Vorfall an die Datenschutzaufsichtsbehörden gemeldet werden: Art. 33 Datenschutzgrundverordnung sieht für solche Fälle eine Meldung ohne Verzug und nach Möglichkeit innerhalb von 72 Stunden vor. Kann man diese Frist nicht einhalten, ist das im Rahmen der verspäteten Meldung zu begründen. Kommt es aufgrund der Schutzverletzung der personenbezogenen Daten aller Voraussicht nach zu einem lediglich geringen oder zu keinem Risiko für die Freiheiten und Rechte natürlicher Personen, so kann auf die Meldung an die Aufsichtsbehörde verzichtet werden. Meldet man einen meldepflichtigen IT-Sicherheitsvorfall den Datenschutzaufsichtsbehörden nicht, begeht man eine Ordnungswidrigkeit, die geahndet werden kann.
Benachrichtigung der betroffenen Personen
Die Datenschutzverletzung von personenbezogenen Daten kann dazu führen, dass für die betroffene Person immaterielle, materielle oder physische Schäden entstehen. Zu denken ist dabei beispielsweise an Identitätsdiebstähle, Diskriminierungen, Rufschädigungen und wirtschaftliche Verluste. Aus diesem Grund müssen gegebenenfalls auch die betroffenen Personen über den IT-Sicherheitsvorfall informiert werden, sofern für ihre Rechte und Freiheiten ein gesteigertes Risiko vorliegt. Auch wer dieser Verpflichtung nicht nachkommt, begeht eine Ordnungswidrigkeit.
Wie wird das Risiko bewertet?
Grundsätzlich birgt jede Datenverarbeitung ein Risiko. Aus diesem Grund ist Art. 33 Datenschutzgrundverordnung so zu interpretieren, dass die Meldepflicht bei einem lediglich geringen Risiko für die Freiheiten und Rechte von natürlichen Personen entfällt. Bei der Bewertung des Risikos spielen unterschiedliche Faktoren eine Rolle, die bei der Bewertung berücksichtigt werden müssen, beispielsweise welche Art von Daten, welche Mengen an Daten und wie viele Personen betroffen sind.
Risikoanalyse als Entscheidungsgrundlage
Eine Risikoanalyse ist unverzichtbar, um zu bewerten, welche Stellen zu informieren sind und ob auch die betroffenen Personen benachrichtigt werden sollen. Kommen Sie gern auf uns zu, wenn Sie bei der Analyse der Risiken Unterstützung wünschen. Unsere Expertise kann Ihre Entscheidung optimal absichern. Rufen Sie uns bitte unter Telefon 09122 6937302 an oder schicken Sie uns eine Nachricht. Wir arbeiten gern mit Ihnen zusammen!
Ihr Team von Datenschutz Prinz
Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.
Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!
Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.
