Datenschutz ist ein wichtiges Thema, das Unternehmen und Organisationen unbedingt ernst nehmen sollten. Die neuen Leitlinien 9/2022 des Europäischen Datenschutzausschusses (EDSA) geben klare Vorgaben zur Meldung von Datenschutzverletzungen gemäß der DSGVO. Diese Leitlinien wurden am 28. März 2023 aktualisiert und präzisieren insbesondere die Meldepflichten für Verantwortliche außerhalb der EU. Doch was bedeutet das konkret für Unternehmen und betroffene Personen?

Was ist eine Datenschutzverletzung?

Eine Datenschutzverletzung liegt vor, wenn personenbezogene Daten verloren, offengelegt oder manipuliert werden. Die DSGVO unterscheidet zwischen drei Arten von Verstößen:

• Verletzung der Vertraulichkeit – Unbefugte erhalten Zugang zu Daten.
• Verletzung der Integrität – Daten werden verändert oder manipuliert.
• Verletzung der Verfügbarkeit – Daten gehen verloren oder sind nicht mehr zugänglich.

Beispiele für solche Vorfälle sind Hackerangriffe, gestohlene Laptops oder versehentlich veröffentlichte Daten.

Meldung an die Aufsichtsbehörde: Wann und wie?

Art. 33 DSGVO schreibt vor, dass Verantwortliche eine Datenschutzverletzung innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde melden müssen. Die Meldung kann schrittweise erfolgen, falls nicht sofort alle Informationen vorliegen. Folgende Informationen müssen übermittelt werden:

• Art der Datenschutzverletzung
• Anzahl der betroffenen Personen und Datensätze
• Mögliche Folgen der Verletzung
• Bereits ergriffene Maßnahmen zur Schadensbegrenzung

Wann ist keine Meldung erforderlich?

Nicht jede Datenschutzverletzung muss gemeldet werden. Ausnahmen gelten, wenn kein Risiko für die betroffenen Personen besteht. Zum Beispiel, wenn die Daten stark verschlüsselt waren und somit für Dritte unbrauchbar sind.

Benachrichtigung der Betroffenen gemäß Artikel 34 DSGVO

Ist eine Datenschutzverletzung mit hohem Risiko verbunden, müssen betroffene Personen sofort informiert werden. Dies ist wichtig, um ihnen die Möglichkeit zu geben, sich selbst vor möglichen Schäden zu schützen. Unternehmen müssen die Information in klarer und einfacher Sprache bereitstellen und Kontaktmöglichkeiten für Rückfragen angeben.

Ausnahmen von der Benachrichtigungspflicht gibt es, wenn:

•  Angemessene Sicherheitsmaßnahmen wie Verschlüsselung bestanden.
• Unmittelbare Maßnahmen das Risiko bereits minimiert haben.
• Eine individuelle Benachrichtigung unverhältnismäßigen Aufwand bedeuten würde.

Praktische Umsetzung für Unternehmen

Um Datenschutzverletzungen frühzeitig zu erkennen und effektiv zu managen, sollten Unternehmen klare Notfallpläne haben. Dazu gehören:

• Interne Meldeprozesse: Schulung der Mitarbeiter zur schnellen Erkennung von Vorfällen.
• Technische Schutzmaßnahmen: Firewalls, Verschlüsselung und Zugriffsbeschränkungen.
• Dokumentation von Vorfällen: Auch nicht meldepflichtige Datenschutzverletzungen sollten intern erfasst werden, um Verbesserungen abzuleiten.

Fazit

Die neuen EDSA-Leitlinien verdeutlichen, dass der Schutz personenbezogener Daten eine zentrale Pflicht für Unternehmen ist. Die korrekte Meldung und Dokumentation von Datenschutzverletzungen kann nicht nur Strafen vermeiden, sondern auch das Vertrauen von Kunden und Partnern stärken. Unternehmen sollten sich aktiv mit den Vorgaben auseinandersetzen und ihre Datenschutzprozesse kontinuierlich verbessern.

Vorsorge ist immer besser als Nachsorge:  Prüfen Sie Ihre Datenschutzstrategie und stellen Sie sicher, dass Ihr Unternehmen auf mögliche Verstöße vorbereitet ist.