Infothek Aufsichtsbehörde

EDSA-Leitlinien 9/2022 zur Meldung von Verletzungen des Schutzes personenbezogener Daten nach der DSGVO Version 2.0

Diese Leitlinien beleuchtet die verbindlichen Melde- und Benachrichtigungsanforderungen an die Aufsichtsbehörde bei Datenschutzverletzungen. Es werden Maßnahmen vorgestellt, die Verantwortliche und Auftragsverarbeiter ergreifen können, um ihren daraus resultierenden Verpflichtungen nachzukommen. Zudem werden Beispiele für verschiedene Arten von Datenschutzverletzungen beschrieben und es wird erläutert, wie genau u.a. betroffene Personen nach einem Datenschutzvorfall unterrichtet werden sollten.

Datenschutzkonferenz (DSK)

Die Datenschutzkonferenz - DSK ist ein Gremium aller unabhängigen deutschen Datenschutzaufsichtsbehörden, deren Mitglieder, bestehend aus den Bundes-/ Landesbeauftragten für Datenschutz sowie dem Präsidenten des Bayr. Landesamtes für Datenschutzaufsicht, sich verpflichtet haben die Datenschutzgrundrechte zu wahren und zu schützen.

Kurzpapiere (DSK)

Die Datenschutzkonferenz veröffentlicht regelmäßig Auslegungshilfen zur DSGVO in Form von sogenannten Kurzpapieren. Diese geben eine erste Orientierung, wie die Datenschutz-Grundverordnung nach Auffassung der DSK in der Praxis angewendet werden sollte. Darin enthalten sind einheitliche Sichtweisen der deutschen Aufsichtsbehörden zu verschiedenen Kernthemen der DSGVO. Diese stehen jedoch stets unter dem Vorbehalt einer zukünftig, möglicherweise abweichenden Auslegung durch den Europäischen Datenschutzausschuss (EDSA), welche hin und wieder eine Anpassung erforderlich machen kann.

Orientierungshilfen (DSK)

Die Datenschutzkonferenz veröffentlicht regelmäßig Auslegungshilfen zur DSGVO in Form von sogenannten Orientierungshilfen. Diese geben Hilfestellungen, wie die Datenschutz-Grundverordnung nach Auffassung der DSK in der Praxis angewendet werden sollte. Darin enthalten sind einheitliche Sichtweisen der deutschen Aufsichtsbehörden zu verschiedenen Kernthemen der DSGVO. Diese stehen jedoch stets unter dem Vorbehalt einer zukünftig, möglicherweise abweichenden Auslegung durch den Europäischen Datenschutzausschuss (EDSA), welche hin und wieder eine Anpassung erforderlich machen kann.

DSK-Kurzpapier Nr. 1: Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO

Dieses Kurzpapier der DSK befasst sich mit dem Verzeichnis der Verarbeitungstätigkeiten. Das aus dem alten BDSG bekannte Verfahrensverzeichnis wurde mit in Inkrafttreten der DSGVO weitestgehend übernommen. Das Kurzpapier gibt einen Überblick, wie Art. 30 DSGVO nach Meinung der DSK in der Praxis angewendet werden sollte.

DSK-Kurzpapier Nr. 2: Aufsichtsbefugnisse/Sanktionen

Dieses Kurzpapier geht im Detail auf Aufsichtsbefugnisse und Sanktionen ein, welche Aufsichtsbehörden als Instrument nutzen, um die Einhaltung datenschutzrechtlicher Bestimmungen bei Verantwortlichen, Auftragsverarbeitern und deren Vertretern durchsetzen zu können.

DSK-Kurzpapier Nr. 9: Zertifizierung nach Art. 42 DSGVO

Mit Einführung der DSGVO wurde der Grundstein für europäisch einheitliche Akkreditierungs- und Zertifizierungsverfahren gelegt, welche dazu dienen, die Einhaltung der DSGVO bei Verarbeitungsvorgängen nachzuweisen. Im folgenden Kurzpapier finden Sie hilfreiche Informationen, die Sie bei Ihrem Vorhaben, ein Unternehmen datenschutzrechtlich zertifizieren zu lassen, unterstützen können.

EDSA-Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten

Innerhalb der DSGVO besteht die Anforderung, bestimmte Datenschutzverletzungen der zuständigen Aufsichtsbehörde zu melden. Diese Leitlinien sollen Verantwortlichen bei der Entscheidung helfen, wie sie mit Verletzungen des Schutzes von personenbezogenen Daten umgehen und welche Faktoren sie bei der Risikobewertung zu berücksichtigen haben. Sie soll eine Ergänzung zu den Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 vom 25.05.2018 sein.

Datenschutzverstöße richtig melden

Datenpannen können jeden treffen. Egal wie viele technische und organisatorische Maßnahmen in Ihrem Haus zum Schutz von Daten umgesetzt sind, ohne die aktive Mithilfe von allen Beschäftigten sind all diese Maßnahmen wirkungslos. Eine Datenpanne liegt immer dann vor, wenn Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind oder gelangen könnten.

Querverweise

Art. 4 Nr. 21 DSGVO – Aufsichtsbehörde
Art. 51 DSGVO – Aufsichtsbehörde
Infothek – Datenschutzkonferenz
Infothek – Europäischer Datenschutzausschuss