ein datenleck?

Ein Datenleck?

Eine Datenverletzung kann katastrophale Folgen haben. Insbesondere wenn dieses Problem nicht rechtzeitig und angemessen angegangen wird, kann die Verletzung zu physischen, materiellen oder immateriellen Schäden bei natürlichen Personen führen. Beispiele hierfür sind der Verlust der Kontrolle über ihre personenbezogenen Daten oder die Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder Betrug, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit personenbezogener Daten, die durch das Berufsgeheimnis geschützt sind, oder ein anderer erheblicher wirtschaftlicher oder sozialer Schaden für die betreffende natürliche Person.

Benachrichtigung der Aufsichtsbehörde

Aus diesem Grund muss der für die Verarbeitung Verantwortliche, sobald er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, die Aufsichtsbehörde ohne unangemessene Verzögerung und, wenn möglich, nicht später als 72 Stunden nach Bekanntwerden der Verletzung des Schutzes personenbezogener Daten informieren.

Kann der für die Verarbeitung Verantwortliche jedoch im Einklang mit dem Grundsatz der Rechenschaftspflicht

 

nachweisen, dass diese Verletzung wahrscheinlich keine Risiken für die Rechte und Freiheiten natürlicher Personen birgt, kann eine Ausnahme von dieser Meldepflicht gewährt werden. Kann eine solche Mitteilung nicht innerhalb von 72 Stunden erfolgen, so ist der Mitteilung eine Erklärung für die Verzögerung beizufügen, und die Informationen können ohne unangemessene weitere Verzögerung schrittweise bereitgestellt

 

werden.

Hat der Auftragsverarbeiter von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, so benachrichtigt er den für die Verarbeitung Verantwortlichen ohne unangemessene Verzögerung.

Die oben genannte Benachrichtigung muss mindestens Folgendes beschreiben oder mitteilen:

  • die Art der Verletzung des Schutzes personenbezogener Daten, wobei, soweit möglich, die Kategorien der betroffenen Personen und der betroffenen personenbezogenen Datensätze sowie ungefähr die Anzahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze anzugeben sind;
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können;
  • die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

 

  • die von dem für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, gegebenenfalls einschließlich der Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen.

Der für die Verarbeitung Verantwortliche muss alle Verletzungen des Schutzes personenbezogener Daten dokumentieren, einschließlich der Fakten, die die Verletzung des Schutzes personenbezogener Daten umgeben, ihrer Auswirkungen und der getroffenen Abhilfemaßnahmen. Diese Dokumentation muss es der Aufsichtsbehörde ermöglichen, die Einhaltung dieses Artikels zu überprüfen.

Benachrichtigung der betroffenen Person, deren Daten kompromittiert wurden

Wenn die Verletzung der personenbezogenen Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, benachrichtigt der für die Verarbeitung Verantwortliche die betroffene Person unverzüglich über die Verletzung der personenbezogenen Daten. Grundsätzlich sollten Sie zunächst die von der Datenverletzung betroffenen Personen benachrichtigen.

 

Diese Benachrichtigung enthält eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten in klarer und einfacher Sprache und mindestens den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können. Darüber hinaus muss die Benachrichtigung eine Auflistung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten sowie die von dem für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten enthalten.

Die Mitteilung an die betroffene Person ist jedoch nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

  • der für die Verarbeitung Verantwortliche geeignete technische und organisatorische Schutzmaßnahmen umgesetzt hat und diese Maßnahmen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen personenbezogenen Daten angewendet wurden, insbesondere solche, die die personenbezogenen Daten für Unbefugte unverständlich machen, wie z. B. Verschlüsselung;

 

  • der für die Verarbeitung Verantwortliche in der Folge Maßnahmen ergriffen hat, um sicherzustellen, dass das oben genannte hohe Risiko für die Rechte und Freiheiten der betroffenen Personen wahrscheinlich nicht wieder eintreten wird; 
  • die Benachrichtigung einen unverhältnismäßigen Aufwand bedeuten würde. In diesem Fall tritt an ihre Stelle eine öffentliche Bekanntmachung oder eine gleichwertige Maßnahme, die die betroffenen Personen in gleich wirksamer Weise unterrichtet.
Hoofdwebsite Contact
make appointment upload






      GDPR proof area
      Laden Sie Ihre Dokumente hoch





      ziehen sie ihre rechnungen hierher oder wählen sie datei


      ziehen sie ihre rechnungen hierher oder wählen sie datei











        Benelux (€... )EU (€... )International (Preis auf Anfrage)

        Mit dem Absenden des Antrags stimmen Sie ausdrücklich unseren Allgemeinen Geschäftsbedingungen zu und bestätigen, dass Sie unsere Datenschutzerklärung sorgfältig gelesen haben. Das Absenden dieses Antrags gilt als Auftragsbestätigung.
        error: Helaas, deze content is beschermd!