Articles

Was ist eine Datenschutzverletzung und was müssen wir im Falle einer Datenschutzverletzung tun?

Antwort

Eine Datenschutzverletzung liegt vor, wenn die Daten, für die Ihr Unternehmen/Ihre Organisation verantwortlich ist, einen Sicherheitsvorfall erleiden, der zu einer Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität führt. Wenn dies der Fall ist und es wahrscheinlich ist, dass die Verletzung ein Risiko für die Rechte und Freiheiten einer Person darstellt, muss Ihr Unternehmen/Organisation die Aufsichtsbehörde unverzüglich, spätestens jedoch innerhalb von 72 Stunden, nachdem es von der Verletzung Kenntnis erlangt hat, benachrichtigen. Wenn Ihr Unternehmen/Organisation ein Datenverarbeiter ist, muss es jede Datenverletzung an den für die Datenverarbeitung Verantwortlichen melden.

Wenn die Datenverletzung ein hohes Risiko für die betroffenen Personen darstellt, sollten sie alle ebenfalls informiert werden, es sei denn, es wurden wirksame technische und organisatorische Schutzmaßnahmen ergriffen oder andere Maßnahmen, die sicherstellen, dass das Risiko nicht mehr eintreten kann.

Als Organisation ist es unerlässlich, geeignete technische und organisatorische Maßnahmen zu ergreifen, um mögliche Datenschutzverletzungen zu vermeiden.

Beispiele

Die Organisation muss die Datenschutzbehörde und die betroffenen Personen benachrichtigen
Die Daten der Mitarbeiter eines Textilunternehmens wurden offengelegt. Zu den Daten gehörten die persönlichen Adressen, die Familienzusammensetzung, das monatliche Gehalt und die medizinischen Ansprüche der einzelnen Mitarbeiter. In diesem Fall muss das Textilunternehmen die Aufsichtsbehörde über den Verstoß informieren. Da es sich bei den personenbezogenen Daten auch um sensible Daten wie Gesundheitsdaten handelt, muss das Unternehmen auch die Mitarbeiter informieren.

Ein Krankenhausmitarbeiter beschließt, Patientendaten auf eine CD zu kopieren und veröffentlicht sie im Internet. Das Krankenhaus erfährt erst einige Tage später davon. Sobald das Krankenhaus davon erfährt, hat es 72 Stunden Zeit, die Aufsichtsbehörde zu informieren, und da die persönlichen Daten sensible Informationen enthalten, wie z. B. ob ein Patient Krebs hat, schwanger ist usw., muss es auch die Patienten informieren. In diesem Fall bestünden Zweifel daran, ob das Krankenhaus angemessene technische und organisatorische Schutzmaßnahmen getroffen hat. Hätte es tatsächlich angemessene Schutzmaßnahmen ergriffen (z. B. Verschlüsselung der Daten), wäre ein materielles Risiko unwahrscheinlich und es könnte von der Benachrichtigung der Patienten befreit werden.

Das Unternehmen muss die Kunden benachrichtigen und diese müssen dann möglicherweise die Datenschutzbehörde und Einzelpersonen benachrichtigen
Ein Cloud-Dienst verliert mehrere Festplatten mit personenbezogenen Daten mehrerer seiner Kunden. Er muss diese Kunden benachrichtigen, sobald er von der Sicherheitsverletzung erfährt. Seine Kunden müssen die DPA und die Personen benachrichtigen, abhängig von den Daten, die vom Datenverarbeiter verarbeitet wurden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.