Behandlung von Datenschutzvorfällen

 

 

Maßgebliche Rechtsgrundlagen:

 

  • Art. 33 DSGVO
  • § 83a SGB X i.V.m. § 35 SGB I für Sozialdaten
  • § 2a II, V AO (firmenbezogene Steuerdaten)

 

 

 

Besteht ein konkretes Risiko für Betroffene, wird der Landesbeauftragte für den Datenschutz unverzüglich, spätestens aber innerhalb von 72 Stunden informiert. Bei einem voraussichtlich hohen Risiko werden die von der Datenschutzverletzung betroffenen Personen unverzüglich darüber informiert.

 

Entbehrlichkeit der Meldung lediglich, wenn Datenschutzvorfall voraussichtlich nicht zu einem Risiko führt.

 

 

 

Meldezeitraum

 

Unverzüglich, binnen 3 Tagen,

 

auch schrittweise, kein Abwarten, bis alle melderelevanten Details zusammengetragen sind.

 

Kenntnis der Behördenleitung vom Datenschutzverstoß entscheidend

 

 

 

Inhalt der Meldung

 

Die Meldung enthält mindestens folgende Informationen:

 

(1)  eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

 

(2)  den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

 

(3)  eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

 

(4)  eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

 

 

s.a. https://www.bfdi.bund.de/DE/Service/Datenschutzverstoesse/datenschutzverstoesse_node.html

 

   

Organisation der Meldepflicht

 

  

Festlegung des Meldewegs

 

Ø  Festlegung, dass die Meldung nur durch den Behördenleiter erfolgt

 

Ø  Sicherstellung der Unverzüglichkeit

 

Ø  Sicherstellung der Vertraulichkeit der Meldungen

 

Ø  Sicherstellung der Beteiligung des DSB

 

Ø  Verfahren zur Bewertung der Meldepflicht

 

  

Vordruck für die Meldung

  

Dokumentation:

 

Ø  Darstellung der Begleitumstände (Aufdeckung, Aufklärungsmaßnahmen, Zeit des Erlangens der Kenntnis auf der Sachbearbeiterebene, Information der Behördenleitung)

 

Ø  Beschreibung der bestehenden TOM

 

Ø  Vorkehrungen zur künftigen Vermeidung gleichgelagerter Ursachen

 

Ø  Gründe für die Bewertung, dass keine Meldepflicht besteht.

 

  

Kernproblem der praktischen Realisierung:

„Selbstbezichtigung“ des Beschäftigten mit möglichen arbeits-/dienstrechtlichen Konsequenzenzen

 

Weitere Informationen:

 

 

https://www.datenschutz-notizen.de/der-hamburgische-beauftragte-fuer-datenschutz-und-informationsfreiheit-veroeffentlicht-leitfaden-fuer-data-breach-meldungen-0521593/


 

Darüber hinaus können Datenschutzverletzungen folgende Rechtsfolgen nach sich ziehen:

 

 

 

1. Art. 82 DSGVO: Haftung und Recht auf Schadenersatz

 

(1) Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

 

2. Art. 83 DSGVO: Verhängung von Geldbußen

 

(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

 

3. § 42 BDSG 2018: Strafvorschriften

 

(1) Mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe wird bestraft, wer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein,

 

- einem Dritten übermittelt oder

 

- auf andere Art und Weise zugänglich macht

 

und hierbei gewerbsmäßig handelt.

 

(2) Mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe wird bestraft, wer personenbezogene Daten, die nicht allgemein zugänglich sind,

 

- ohne hierzu berechtigt zu sein, verarbeitet oder

 

- durch unrichtige Angaben erschleicht

und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.