Datenschutzleitlinien – Frage 11

Zurück zur Hauptseite der Datenschutzleitlinien für Organisatoren

Datenschutzleitlinien – Frage 11

Was ist im Falle einer Verletzung des Schutzes personenbezogener Daten zu tun?  

Gilt für Fallszenario 2, außer in Bezug auf die Nutzung des Datenaustauschsystems der Kommission

Unter einer Verletzung des Schutzes personenbezogener Daten versteht man eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Weitergabe von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder verarbeitet wurden.

Meldung der Verletzung des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Vertreter der Organisatorengruppe unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Datenschutzbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Diese Meldung muss mindestens Folgendes enthalten:

• eine Beschreibung der Datenschutzverletzung, einschließlich der Anzahl der betroffenen Unterzeichner und der Kategorien der betroffenen Daten,
• den Namen und die Kontaktdaten des Datenschutzbeauftragten (oder einer anderen einschlägigen Kontaktstelle),
• eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung unter Berücksichtigung des Gegenstands der Verletzung, und
• eine Beschreibung aller Maßnahmen, die der Verantwortliche ergriffen hat, um die Datenschutzverletzung zu beheben oder abzumildern.

Wenn es nicht möglich ist, diese Informationen zur gleichen Zeit bereitzustellen, können sie auch schrittweise ohne weitere Verzögerung zur Verfügung gestellt werden.

Darüber hinaus muss der Vertreter die Fakten, deren Auswirkungen und die bereits getroffenen (oder dringend zu treffenden) Abhilfemaßnahmen dokumentieren (und ggf. entsprechende Pläne für noch zu treffende Maßnahmen vorlegen).

Risiken für Rechte und Freiheiten

Wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Unterzeichner mit sich bringt, müssen diese auch hierüber informiert werden, es sei denn

• die Daten wurden durch die getroffenen Maßnahmen (etwa durch Verschlüsselung, sofern der Schlüssel nicht kompromittiert ist) unzugänglich gemacht und es wurde sichergestellt, dass die Risiken aller Wahrscheinlichkeit nach nicht mehr bestehen, oder
• eine individuelle Mitteilung an die Unterzeichner wäre mit unverhältnismäßigem Aufwand verbunden. In diesem Fall könnte stattdessen eine öffentliche Bekanntmachung der Verletzung erfolgen, bei der die Unterzeichner informiert werden.

HINWEIS: 

Im Falle einer Datenverarbeitung im Rahmen einer gemeinsamen Verantwortlichkeit mit der Kommission und sofern die Datenschutzverletzung nicht auf das Verhalten der Mitglieder der Organisatorengruppe zurückzuführen ist, werden die genannten Verpflichtungen von der Kommission erfüllt. Die Organisatorengruppe sollte die Kommission soweit erforderlich und möglich bei der Bearbeitung von Verletzungen des Schutzes personenbezogener Daten unterstützen.

Hintergrund:

• Artikel 33 und 34 der DSGVO
• Fragen und Antworten der Kommission zum Datenschutz – Was ist eine Verletzung des Schutzes personenbezogener Daten und was ist in einem solchen Fall zu tun?