Meldung einer Datenpanne nach Artikel 33 DSGVO
Mit dem Online-Formularservice der Sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) können sächsische Verantwortliche ihrer Meldepflicht bei Datenschutzverletzungen nach den Vorgaben aus Artikel 33 Datenschutz-Grundverordnung (DSGVO) nachkommen. Die Mitteilung richtet sich somit nicht an die vom Vorfall betroffene Privatperson, die stattdessen das Online-Formular für Beschwerden/Kontrollanregungen nutzen kann.
Die Meldung nach Artikel 33 DSGVO hat der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Häufige Fragen
Eine Datenpanne – auch Datenschutzverstoß oder Datenschutzverletzung genannt – ist nach Artikel 33 DSGVO die »Verletzung des Schutzes personenbezogener Daten«.
Hierunter fallen:
- Verletzung der Vertraulichkeit – unbefugte oder unbeabsichtigte Preisgabe von oder Einsichtnahme in personenbezogene Daten
- Verletzung der Integrität – unbefugte oder unbeabsichtigte Änderung personenbezogener Daten
- Verletzung der Verfügbarkeit – unbefugter oder unbeabsichtigter Verlust des Zugangs zu personenbezogenen Daten oder die unbeabsichtigte oder unrechtmäßige Vernichtung personenbezogener Daten
Zu beachten ist, dass Datenpannen nicht auf Bedrohungsszenarien beschränkt sind, bei denen eine Organisation von außen angegriffen wird, sondern auch dann gegeben sind, wenn Sicherheitsgrundsätze aufgrund interner Vorgänge verletzt werden.
- Ein Verantwortlicher verliert ein Gerät, auf dem eine Kopie der Kundendatenbank gespeichert ist, bzw. dieses Gerät wird gestohlen, sodass Dritte hierauf zugreifen können. (→ Verletzung der Vertraulichkeit)
- Ein Verantwortlicher versendet aufgrund einer Namensverwechslung eine ärztliche Abrechnung an einen falschen Empfänger. (→ Verletzung der Vertraulichkeit)
- Ein Verantwortlicher betreibt einen Online-Marktplatz. Im Rahmen eines Cyberangriffs werden personenbezogene Daten (z. B. Benutzername, Passwörter und Kaufhistorie) abgegriffen und später im Internet veröffentlicht. (→ Verletzung der Vertraulichkeit)
- Ein Verantwortlicher verliert ein Gerät, auf dem eine Kundendatenbank sicher verschlüsselt gespeichert ist (anderweitige Sicherungen/Backups sind nicht vorhanden), bzw. dieses Gerät wird gestohlen. (→ Verletzung der Verfügbarkeit)
- Bei einem Verantwortlichen wird durch eine Ransomware eine Datenbank (anderweitige Sicherungen/Backups sind nicht vorhanden) verschlüsselt. (→ Verletzung der Verfügbarkeit)
- Der normale Betrieb eines Krankenhauses wird durch einen Stromausfall oder einen Angriff in Form der gezielten Überlastung von Servern (Denial of Service-Angriff – DoS-Angriff) erheblich gestört mit der Folge, dass auf Patientendaten nicht mehr in angemessener Zeit zugegriffen werden kann, sodass Behandlungen, gegebenenfalls Operationen verschoben/abgesagt werden müssen. (→ Verletzung der Verfügbarkeit)
- Ein Verantwortlicher nutzt die Dienste eines Cloud-Anbieters. Bei diesem kommt es im Rahmen eines Hackerangriffs zur unberechtigten Einsichtnahme, gegebenenfalls zur Veränderung und zur Exfiltration von personenbezogenen Daten. (Einsichtnahme/Exfiltration → Verletzung der Vertraulichkeit; Veränderung → Verletzung der Integrität)
Mit einem Klick erfahren Sie mehr über technische und organisatorische Maßnahmen:
bzgl. interner menschlicher Risikoquellen
bei Verlust oder Diebstahl von Geräten
