Datenschutzrecht-Praxis

 


Neues zum Datenschutzrecht


7.1.2022

Meldepflicht bei Datenschutzverletzungen – Leitlinien des Europäischen Datenschutzausschusses

Der Europäische Datenschutzausschuss (EDSA) hat seine Leitlinien 01/2021 zu Meldungen von Datenschutzverletzungen veröffentlicht. Gegenstand dieser Leitlinien sind explizit Beispiele für Meldungen nach Art. 33 und 34 Datenschutz-Grundverordnung (DSGVO). Sie ergänzen die ältere, aber mit Beschluss des EDSA weiterhin geltende Richtlinie „Guidelines on Personal data breach notification under Regulation 2016/679“ mit allgemeinen Hinweisen zu Meldungen von Datenschutzverletzungen.

Die neuen ergänzenden Leitlinien 01/2021 behandeln eine Vielzahl von Fallkonstellationen und bieten eine Hilfestellung beim Umgang mit Datenschutzverletzungen und bei der Entscheidungsfindung, ob eine Meldung an die Aufsicht und Nachricht an die betroffenen erfolgen muss oder nicht. Zu den besprochenen Fallkonstellationen zählen zum Beispiel:

  • Befall mit Ransomware in unterschiedlichen Ausgestaltungen (z.B. mit oder ohne angemessenes Backup)
  • Abgriff von Passwörtern
  • Datenweitergabe durch ehemalige Beschäftigte
  • Versehentliche Datenübermittlung
  • Diebstahl von Datenträgern – einmal mit verschlüsselten und einmal mit unverschlüsselten Daten
  • Fehlversand von Post
  • Fehlversand von E-Mails

Hintergrund

Kommt es zu einer Datenschutzverletzung, also einen Verstoß gegen datenschutzrechtliche Vorschriften, muss der Verantwortliche dies 72 Stunden nach Bekanntwerden der zuständigen Datenschutzaufsichtsbehörde melden (Art. 33 DSGVO). Zudem sind auch die betroffenen Personen zu benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat (Art. 34 DSGVO). Wann die Voraussetzungen für diese Melde- und Benachrichtigungspflicht vorliegen, ist im Einzelfall umstritten und unklar.

Praxishinweis

Die Leitlinien 01/2021 zu Meldungen von Datenschutzverletzungen des EDSA bieten eine gute Hilfestellung für das Handling und die Bewertung der Melde- und Benachrichtigungspflicht in den dort erörterten, aber auch vergleichbaren Fallkonstellationen.

Sollten Sie Fragen zu Datenschutzverstößen, zur Melde- und Benachrichtigungspflicht nach Art. 33, 34 DSGVO oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.


Zurück zur Übersicht