Meldungen bei Verletzungen des Schutzes von personenbezogenen Daten
In Artikel 33 und 34 der DSGVO ist festgehalten, wie man reagieren muss, wenn personenbezogene Daten verletzt worden sind. Solch eine Verletzung kann z.B. der Diebstahl der Daten durch einen Hackerangriff sein.
Zu benachrichtigen sind der Betroffene sowie die Aufsichtsbehörde. Die Meldung muss unverzüglich, mindestens aber innerhalb von 72 Stunden – also 3 Tage nach Bekanntwerden der Verletzung erfolgen. Dies ist auch abhängig davon, wie schwer der Schaden durch die Verletzung ist. Die Meldung muss dabei Informationen enthalten wie z.B. Art der Verletzung, Anzahl der Daten und Betroffenen, welche personenbezogenen Daten sind betroffen. Aber auch Kontaktdaten des Datenschutzbeauftragten im Unternehmen, eine Abschätzung der Folgen und vorgeschlagene Maßnahmen um den Schaden einzugrenzen. Die Meldung, als auch die Informationen an Betroffene und Aufsichtsbehörden muss dokumentiert werden.
Kann ein Schaden durch die Verletzung abgewendet werden, so kann die Meldepflichte an die Betroffenen entfallen. Das ist z.B. der Fall, wenn eine Festplatte mit personenbezogenen Daten gestohlen worden ist, diese aber so sicher verschlüsselt war, dass ein Auslesen für den Täter unmöglich ist.