Ein Datenleck?
Eine Datenverletzung kann katastrophale Folgen haben. Insbesondere wenn dieses Problem nicht rechtzeitig und angemessen angegangen wird, kann die Verletzung zu physischen, materiellen oder immateriellen Schäden bei natürlichen Personen führen. Beispiele hierfür sind der Verlust der Kontrolle über ihre personenbezogenen Daten oder die Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder Betrug, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit personenbezogener Daten, die durch das Berufsgeheimnis geschützt sind, oder ein anderer erheblicher wirtschaftlicher oder sozialer Schaden für die betreffende natürliche Person.
Benachrichtigung der Aufsichtsbehörde
Aus diesem Grund muss der für die Verarbeitung Verantwortliche, sobald er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, die Aufsichtsbehörde ohne unangemessene Verzögerung und, wenn möglich, nicht später als 72 Stunden nach Bekanntwerden der Verletzung des Schutzes personenbezogener Daten informieren.
Kann der für die Verarbeitung Verantwortliche jedoch im Einklang mit dem Grundsatz der Rechenschaftspflicht
nachweisen, dass diese Verletzung wahrscheinlich keine Risiken für die Rechte und Freiheiten natürlicher Personen birgt, kann eine Ausnahme von dieser Meldepflicht gewährt werden. Kann eine solche Mitteilung nicht innerhalb von 72 Stunden erfolgen, so ist der Mitteilung eine Erklärung für die Verzögerung beizufügen, und die Informationen können ohne unangemessene weitere Verzögerung schrittweise bereitgestellt
werden.
Hat der Auftragsverarbeiter von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, so benachrichtigt er den für die Verarbeitung Verantwortlichen ohne unangemessene Verzögerung.
Die oben genannte Benachrichtigung muss mindestens Folgendes beschreiben oder mitteilen:
Der für die Verarbeitung Verantwortliche muss alle Verletzungen des Schutzes personenbezogener Daten dokumentieren, einschließlich der Fakten, die die Verletzung des Schutzes personenbezogener Daten umgeben, ihrer Auswirkungen und der getroffenen Abhilfemaßnahmen. Diese Dokumentation muss es der Aufsichtsbehörde ermöglichen, die Einhaltung dieses Artikels zu überprüfen.
Benachrichtigung der betroffenen Person, deren Daten kompromittiert wurden
Wenn die Verletzung der personenbezogenen Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, benachrichtigt der für die Verarbeitung Verantwortliche die betroffene Person unverzüglich über die Verletzung der personenbezogenen Daten. Grundsätzlich sollten Sie zunächst die von der Datenverletzung betroffenen Personen benachrichtigen.
Diese Benachrichtigung enthält eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten in klarer und einfacher Sprache und mindestens den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können. Darüber hinaus muss die Benachrichtigung eine Auflistung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten sowie die von dem für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten enthalten.
Die Mitteilung an die betroffene Person ist jedoch nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist: