Sichern Sie sich 4 KOSTENLOSE Monate mit Conformio zur Umsetzung von ISO 27001

5 Schritte des Umgangs mit Datenschutzverletzungen gemäß DSGVO

In der heutigen Zeit sind Datenschutzverletzungen Wirklichkeit. Nicht dass wir wollten, dass sie passieren, aber die Wirklichkeit zeigt, dass sie geschehen. Und wenn eine Schutzverletzung personenbezogener Daten Personen, die in der EU ansässig sind betrifft, fällt dies unter die Zuständigkeit der EU DSGVO. Dies bedeutet, dass die Datenschutzbehörde innerhalb von 72 Stunden nach Feststellung, über die Verletzung des Datenschutzes möglicherweise informiert werden muss. Darüber hinaus kann es zu hohen Geldbußen und zu Rufschädigung wegen der Schutzverletzung personenbezogener Daten kommen. Lassen Sie uns verstehen, wie mit der Schutzverletzung personenbezogener Daten im Zusammenhang mit der EU DSGVO umzugehen ist.

Wer macht was, wenn es zur Schutzverletzung personenbezogener Daten kommt?

  • Mitarbeiter, üblicherweise das Managementteam für Sicherheitsvorfälle, informiert den Datenschutzbeauftragten (DSB).
  • Der DSB des Verantwortlichen benachrichtigt die Datenschutzbehörde, wenn das Risiko für die Rechte und Freiheiten der betroffenen Personen hoch ist.
  • Der DSB des Verantwortlichen kann die betroffenen Personen informieren, wenn das Risiko für die Rechte und Freiheiten der betroffenen Personen hoch ist. Dies sollte in Zusammenarbeit mit dem PR-Team innerhalb der Organisation geschehen.
  • Der Datenschutzbeauftragte des Auftragsverarbeiters muss den Verantwortlichen, wie im Vertrag angeführt, benachrichtigen. In diesem Fall müssen alle personenbezogenen Datenschutzverletzungen ausnahmslos dem Verantwortlichen gemeldet werden.

5 Schritte des Umgangs mit Datenschutzverletzungen gemäß DSGVO - Advisera

Wie sollte mit einer personenbezogenen Datenschutzverletzung umgegangen werden?

Meiner Ansicht nach sollten Sie mit der Datenschutzverletzung in Ihrem Unternehmen anhand folgender Schritte umgehen:

1) Benachrichtigen Sie Ihren Datenschutzbeauftragten: Sobald eine Verletzung des personenbezogenen Datenschutzes festgestellt wird, besteht die erste und wichtigste Aufgabe darin, den DSB in Ihrer Organisation zu informieren und einzubeziehen.

2) Bewertung des Umfangs und der Auswirkungen: Ermittlung des Ausmaßes der Auswirkungen und des Umfangs der Schutzverletzung personenbezogener Daten:

  • Stellen Sie fest, dass eine Schutzverletzung personenbezogener Daten stattgefunden hat.
  • Ermessen Sie die Anzahl der betroffenen Personen, deren personenbezogene Daten möglicherweise verletzt wurden.
  • Stellen Sie fest, welche Arten von personenbezogenen Daten möglicherweise verletzt wurden.
  • Führen Sie die Sicherheitsmaßnahmen auf, die bereits vorhanden waren, um Schutzverletzungen zu verhindern.

Da Schutzverletzungen personenbezogener Daten vom Verantwortlichen innerhalb von 72 Stunden gemeldet werden müssen, sollte dieser Schritt eine hohe Priorität haben und den Schwerpunkt darauf legen, dem Datenschutzbeauftragten ausreichende Informationen für die Meldung an die Datenschutzbehörde zu liefern.

Siehe auch: The obligations of controllers towards Data Protection Authorities according to GDPR.

3) Benachrichtigen Sie die relevanten Parteien: Der Datenschutzbeauftragte Ihrer Organisation sollte die Datenschutzbehörde informieren, wenn Ihre Organisation der Verantwortliche bezüglich personenbezogener Daten ist. Wenn das Risiko für die Rechte und Freiheiten der betroffenen Personen hoch ist, sollte der Datenschutzbeauftragten des Verantwortlichen auch die betroffenen Personen benachrichtigen. Wenn Ihre Organisation jedoch der Auftragsverarbeiter personenbezogener Daten ist, sollte der DSB die, in dem Vertrag mit dem Verantwortlichen angeführte verantwortliche Person benachrichtigen.

Die Mitteilung sollte auch Kontaktdaten des Datenschutzbeauftragten, Einzelheiten zur Schutzverletzung, wahrscheinliche Auswirkungen, bereits bestehende Maßnahmen zur Verhinderung von Datenschutzverletzungen und eingeleitete Maßnahmen zur Minimierung der Auswirkungen der Datenschutzverletzung enthalten. Es ist auch wichtig zu erwähnen, dass weitere Auswirkungen untersucht werden (falls erforderlich) und notwendige Maßnahmen zur Milderung der Auswirkungen ergriffen werden.

4) Sich vertiefen, in Grenzen halten und benachrichtigen: Während der DSB die zuständigen Stellen benachrichtigt, ist es von entscheidender Bedeutung, dass sich das Einsatzteam in den Vorfall vertieft und die Tätigkeiten auf den folgenden zwei Spuren parallel fortsetzt:

  • Es sind alle möglichen Maßnahmen zu ergreifen, um das Risiko zu verringern und weiteren unbefugten Zugriff zu verhindern.
  • Die ursprüngliche Schätzung der Anzahl betroffener Personen, deren personenbezogener Datenschutz verletzt wurde, weiter präzisieren, als auch die Arten von personenbezogenen Daten, deren Schutz verletzt wurde, feststellen.

Wenn die Einzelheiten ermittelt wurden, kann die Datenschutzbehörde oder der Verantwortliche über die aktuelle Situation informiert werden.

Wenn die Freiheiten und Rechte der betroffenen Personen erheblich beeinträchtigt wurden, muss der Datenschutzbeauftragte des Verantwortlichen entscheiden, ob die betroffenen Personen ebenfalls informiert werden müssen. Wenn ja, sollte das PR- oder Kommunikationsteam des Unternehmens in diese Kommunikation einbezogen werden.

5) Bewertung und Überwachung: Sobald die Verletzung des Schutzes personenbezogener Daten eingegrenzt ist, sollte die Organisation eine Bewertung der bestehenden Maßnahmen durchführen und Möglichkeiten prüfen, mit denen diese Maßnahmen verstärkt werden können, um zu verhindern, dass sich eine ähnliche Schutzverletzung wiederholt. Alle diese festgelegten Maßnahmen sollten überwacht werden, um sicherzustellen, dass die Maßnahmen zufriedenstellend umgesetzt werden.

Während Sie die obigen Schritte ausführen, sollten Sie immer ein Protokoll Ihrer Tätigkeiten und ein Verzeichnis der Datenschutzverletzungen führen.

Schlussfolgerung

Da Schutzverletzungen personenbezogener Daten erhebliche Rufschädigung hervorrufen und finanzielle Folgen haben können, müssen Schutzverletzungen personenbezogener Daten sorgfältig gehandhabt werden. Warten Sie nicht bis eine Schutzverletzung personenbezogener Daten auftritt, sondern richten Sie ein Verfahren zur Schutzverletzung personenbezogener Daten ein und erstellen Sie schon jetzt Meldungsvorlagen.

Klicken Sie hier, um den vollen Text der DSGVO zu lesen und mehr über Schutzverletzungen personenbezogener Daten zu erfahren.

Advisera Punit Bhatia

Punit Bhatia

Punit Bhatia is a senior professional with more than 18 years of experience in executing change and leading transformation initiatives. Across three continents, Punit has led projects and programs of varying complexity in business and technology. He has experience on both sides of the table in a variety of industries, serving as a consultant who worked for IT consulting companies, and as a key influencer and driver who has defined and delivered change for large enterprises.
Lesen Sie mehr Artikel von Punit Bhatia