Immer auf dem Laufenden bleibenEin Datenschutzvorfall (engl. Data Breach), auch Datenpanne oder Datenschutzverletzung genannt, beschreibt eine Situation, in der der Schutz personenbezogener Daten verletzt wurde (Art. 4 Nr. 12 DS-GVO). Ein Datenschutzvorfall kann beispielsweise vorliegen, wenn personenbezogene Daten gestohlen, verloren, unzulässig verändert oder vernichtet wurden. Aus einem Datenschutzvorfall kann für die betroffene Person ein Risiko, möglicherweise auch ein hohes Risiko, entstehen.
Typische Praxisfälle sind der Diebstahl oder Verlust eines USB-Sticks, auf dem personenbezogene Daten ungeschützt gespeichert wurden oder das Versenden einer E-Mail mit personenbezogenen Daten an einen falschen Empfänger. Daneben sind häufig Hacker-Angriffe, bei denen IT-Systeme kompromitiert und Daten eingesehen, verändert oder gestohlen wurden, in der Regel auch ein Datenschutzvorfall.
Wird dem Verantwortlichen ein Datenschutzvorfall bekannt (ein Verdacht genügt), dann sollten die näheren Umstände und möglichen Risiken für die betroffenen Personen untersucht und bewertet werden. Besteht voraussichtlich ein Risiko für die betroffenen Personen, muss der Verantwortliche das der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden melden (Art. 33 DS-GVO). Wird sogar ein hohes Risiko für die betroffenen Personen vermutet, so müssen ohne unangemessene Verzögerung auch die Betroffenen informiert werden (Art. 34 DS-GVO). Für bestimmte Situationen gibt es Ausnahmen von dieser Benachrichtigungspflicht (Art. 34 Abs. 3 DS-GVO).
Es wird von dem Verantwortlichen erwartet, unverzüglich nach Kenntnisnahme über den Datenschutzvorfall Maßnahmen einzuleiten, die den Datenschutzvorfall heilen.
Ereignet sich ein Datenschutzvorfall in einem Unternehmen, welches als Auftragsverarbeiter agiert und Daten des Auftraggebers betroffen sind, meldet der Auftragsverarbeiter den Datenschutzvorfall an den Verantwortlichen und nicht an die Aufsichtsbehörde (Art. 33 Abs. 2 DS-GVO).
Weitere Informationen zu Datenschutzvorfällen und den erforderlichen Maßnahmen finden Sie hier.
