Hier einige Beispiele, wenn keine Melde- oder Benachrichtigungspflicht besteht:
- Daten von Kunden des Unternehmens wurden gelöscht, es existiert jedoch eine aktuelle und den Ausgangszustand 1:1 widerspiegelnde Datenkopie (Back-Up).
Ein Speichermedium (z. B. Laptop, USB-Stick, Smartphone) wurde verloren, jedoch ist dieses nach aktuellen Standards der IT-Sicherheit sicher verschlüsselt und das Medium zugangsgesichert.
AchtungRelationsentscheidend gewichten: Vorfall mit hochsensiblen Daten zählt höher
Handelt es sich bei solchen Daten um hochsensible Daten, wie Gesundheitsdaten oder Bank- und Kreditkartendaten, so kann aufgrund der Schwere des Schadens dennoch eine Meldung des Vorfalls an die Aufsichtsbehörde erforderlich sein.
- Daten von Kunden wurden falsch gespeichert oder richtige Daten verändert, es ist aber ein Back-Up vorhanden, mit dem der Ausgangszustand wiederhergestellt werden kann.
- Ein kurzer Stromausfall, z. B. im Call-Center, durch den Kunden nur vorübergehend die für sie relevanten Daten (Kontostände o. Ä.) nicht abfragen können.
Kommt es zu einer der beschriebenen Schutzverletzungen, stellen sich diese Fragen:
- Ist die Datenpanne den zuständigen Aufsichtsbehörden (Supervisory Authority) zu melden?
- Wenn ja, wann und wie ist die Datenpanne im Unterschied zu § 65 BDSG nach Art. 33 DSGVO und Art. 34 DSGVO den zuständigen Aufsichtsbehörden (Supervisory Authority) zu melden und wie muss eine solche Meldung (Notification) ausgestaltet sein?
- Sind die betroffenen Personen (Data Subject) zu benachrichtigen?
- Wenn ja, wann und wie sind die betroffenen Personen (Data Subject) zu benachrichtigen und wie muss eine solche Benachrichtigung ausgestaltet sein?
Umfasst von der Pflicht sind unterschiedslos alle Verantwortlichen (Controller) nach Art. 4 Abs. 5 DSGVO, nunmehr auch öffentliche Stellen, Behörden und öffentliche Institutionen.
Dieser Inhalt ist unter anderem im Haufe Finance Office Premium enthalten. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen