Neues zum Datenschutzrecht
15.1.2021
Meldung von Datenschutzverletzungen – Leitlinien des Europäischen Datenschutzausschusses
Der Europäische Datenschutzausschuss (EDSA) hat einen Entwurf seiner Richtlinien 01/2021 zu Meldungen von Datenschutzverletzungen veröffentlicht. Gegenstand dieser Richtlinien sind explizit Beispiele für Meldungen nach Art. 33 und 34 Datenschutz-Grundverordnung (DSGVO). Sie sollen die ältere, aber mit Beschluss des EDSA weiterhin geltende Richtlinie „Guidelines on Personal data breach notification under Regulation 2016/679“ mit allgemeinen Hinweisen zu Meldungen von Datenschutzverletzungen ergänzen.
Die neue ergänzende Richtlinie 01/2021 behandelt eine Vielzahl von Fallkonstellationen und bietet eine Hilfestellung beim Umgang mit Datenschutzverletzungen und bei der Entscheidungsfindung, ob eine Meldung an die Aufsicht und Nachricht an die betroffenen erfolgen muss oder nicht. Zu den besprochenen Fallkonstellationen zählen zum Beispiel:
- Befall mit Ransomware in unterschiedlichen Ausgestaltungen (z.B. mit oder ohne angemessenes Backup)
- Abgriff von Passwörtern
- Datenweitergabe durch ehemalige Beschäftigte
- Versehentliche Datenübermittlung
- Diebstahl von Datenträgern – einmal mit verschlüsselten und einmal mit unverschlüsselten Daten
- Fehlversand von Post
- Fehlversand von E-Mails
Hintergrund
Kommt es zu einer Datenschutzverletzung, also einen Verstoß gegen datenschutzrechtliche Vorschriften, muss der Verantwortliche dies 72 Stunden nach Bekanntwerden der zuständigen Datenschutzaufsichtsbehörde melden (Art. 33 DSGVO). Zudem sind auch die betroffenen Personen zu benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für deren Rechte und Freiheiten zur Folge hat (Art. 34 DSGVO). Wann die Voraussetzungen für diese Melde- und Benachrichtigungspflicht vorliegen, ist im Einzelfall umstritten und unklar.
Ausblick und Praxishinweis
Bei den Richtlinien 01/2021 zu Meldungen von Datenschutzverletzungen des EDSA handelt es sich um einen Entwurf. Der EDSA hat dazu aufgerufen, zu ihrem Entwurf Stellung zu beziehen. Diese öffentliche Konsultation läuft bis zum 2. März 2021.
Bereits vor ihrer finalen Fassung geben die Richtlinien eine gute Hilfestellung für das Handling und die Bewertung der Melde-und Benachrichtigungspflicht in den erörterten, aber auch vergleichbaren Fallkonstellationen.
Sollten Sie Fragen zu Datenschutzverstößen, zur Melde- und Benachrichtigungspflicht nach Art. 33, 34 DSGVO oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.