Antwort

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn die Daten, für die Ihr Unternehmen/Ihre Organisation verantwortlich ist, von einem sicherheitsrelevantes Ereignis betroffen sind, das zu einer Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität führt. Wenn dies geschieht und die Verletzung womöglich ein Risiko für die Rechte und Freiheiten einer Person darstellt, muss Ihr Unternehmen/Ihre Organisation die Aufsichtsbehörde unverzüglich und spätestens binnen 72 Stunden, nachdem ihm/ihr die Verletzung bekannt wurde, darüber unterrichten. Wenn Ihr Unternehmen/Ihre Organisation Auftragsverarbeiter ist, meldet es/sie jede Verletzung des Schutzes personenbezogener Daten dem Verantwortlichen.

Hat die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die betroffenen Personen zur Folge, so müssen diese ebenfalls informiert werden, sofern keine wirksamen technischen und organisatorischen Maßnahmen bzw. sonstigen Maßnahmen umgesetzt wurden, die gewährleisten, dass dieses Risiko aller Wahrscheinlichkeit nach nicht mehr besteht.

Es ist entscheidend, als Organisation geeignete technische und organisatorische Maßnahmen zu treffen, um mögliche Verletzungen des Schutzes personenbezogener Daten zu vermeiden.

Beispiele

Organisation muss Datenschutzbehörde und betroffene Personen unterrichten
Die Daten der Mitarbeiter eines Textilunternehmens wurden offengelegt. Diese Daten umfassten die Privatadressen, Familienzusammensetzungen, monatlichen Gehälter und Krankenversicherungsansprüche aller Mitarbeiter. Das Textilunternehmen ist hier verpflichtet, die Aufsichtsbehörde über die Verletzung des Schutzes personenbezogener Daten zu unterrichten. Da die personenbezogenen Daten sensible Daten wie Gesundheitsdaten umfassen, muss das Unternehmen seine Mitarbeiter ebenfalls benachrichtigen.

Ein Krankenhausmitarbeiter kopiert Patientendaten auf eine CD und veröffentlicht sie im Internet. Das Krankenhaus findet es einige Tage später heraus. Nachdem das Krankenhaus es herausgefunden hat, muss es die Aufsichtsbehörde binnen 72 Stunden darüber unterrichten, und da die personenbezogenen Daten sensible Informationen beinhalten, zum Beispiel darüber, ob ein Patient an Krebs erkrankt ist, schwanger ist usw., muss es auch die Patienten darüber informieren. In diesem Fall würden Zweifel bestehen, ob das Krankenhaus geeignete technische und organisatorische Schutzmaßnahmen getroffen hat. Hätte es geeignete Schutzmaßnahmen getroffen (zum Beispiel die Verschlüsselung von Daten), wäre das Bestehen eines wesentlichen Risikos unwahrscheinlich und das Krankenhaus könnte von der Pflicht, die Patienten zu unterrichten, befreit sein.

Unternehmen muss Kunden unterrichten und diese müssen dann eventuell die Datenschutzbehörde und betroffene Personen informieren
Ein Cloud-Dienst verliert mehrere Festplatten, auf denen personenbezogene Daten von mehreren seiner Kunden gespeichert sind. Er muss diese Kunden unverzüglich unterrichten, wenn ihm die Verletzung des Schutzes personenbezogener Daten bekannt wird. Seine Kunden müssen in Abhängigkeit von den durch den Auftragsverarbeiter verarbeiteten Daten möglicherweise die Datenschutzbehörde und die betroffenen Personen benachrichtigen.

Referenzen

  • Leitlinien der Artikel-29-Datenschutzgruppe zur Meldung von Verletzungen des Schutzes personenbezogener Daten im Sinne der Verordnung (EU) 2016/679, 3. Oktober 2017 (WP 250)
  • Artikel 4 Absatz 12 und Artikel 33 und 34 und Erwägungsgründe 85 bis 88 der Datenschutz-Grundverordnung