Zu ergreifende Maßnahmen nach Datenpannen
Angriffe von Außen sowie internes Fehlverhalten können trotz ausgiebiger Maßnahmen zur Datensicherheit zu Verletzungen des Schutzes personenbezogener Daten führen. Wenn ein solcher Datenschutzvorfall entsteht und daraus ein Risiko für die Rechte und Freiheiten der betroffenen Personen resultiert, muss diese Datenpanne unverzüglich und möglichst binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden.
Sofern der Verantwortliche nicht bereits im Vorfeld einen solchen Vorfall vorausgedacht sowie die internen und externen Meldewege und Meldeprozesse festgelegt hat und zudem die Verantwortlichkeiten innerhalb des Prozesses festgelegt hat, wird es schwer haben, in dieser Zeit eine Meldung nach Maßgabe des Gesetzgebers durchzuführen.
Mit der Meldung einer Datenpanne im Sinne von Art. 33 DS-GVO bzw. mit der Benachrichtigung der Betroffenen nach Art. 34 DS-GVO ist es für den Verantwortlichen aber nicht getan. Auch nach der Meldung hat der Verantwortliche Hausaufgaben zu erledigen.
Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt hat eine Sammlung der häufigsten Ursachen der bei ihm gemeldeten Datenschutzverletzungen erstellt und dazu eine Empfehlung technischer und organisatorischer Maßnahmen vorgelegt, die bei eingetretener Verletzung des Schutzes personenbezogener Daten der Behebung der Verletzung bzw. der Abmilderung der nachteiligen Auswirkungen dienen können.
Es werden auch Maßnahmen vorgestellt, die der präventiven Vermeidung der entsprechenden Verletzungen dienen können. Die Aufsichtsbehörde betont, dass es bei den genannten Maßnahmen nicht um abschließende Empfehlungen handelt, die bei den jeweiligen Datenschutzverletzungen geprüft werden sollten. Es sollte auch stets geprüft werden, ob im Einzelfall weitere Maßnahmen erforderlich sind. Im Falle eines hohen Risikos sind die betroffenen Personen nach Art. 34 DS-GVO zu benachrichtigen. Ein hohes Risiko liege zumindest immer dann nahe, wenn besondere Kategorien personenbezogener Daten – z. B. Gesundheitsdaten – Unberechtigten zur Kenntnis gelangen können.
Landesbeauftragter für den Datenschutz Sachsen-Anhalt
(Foto: DC Studio – stock.adobe.com)
Das könnte Sie auch interessieren
-
Folge 38: EuGH erleichtert Massenklagen – Die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DS-GVO
Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs.
Mehr erfahren -
IT-Grundschutz in der Microsoft-Cloud
Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei
Mehr erfahren -
EuGH urteilt zum Begriff “Recht auf Kopie”
Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in
Mehr erfahren
