Meldung von Datenlecks

Gemäß Art. 33 DSGVO meldet der Verantwortliche „Im Falle einer Verletzung des Schutzes personenbezogener Daten ………….. unverzüglich und möglichst binnen 72 Stunden, nachdem …….

Folgende Praxisbeispiele wurden von dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit bereits bewertet:

Fallbeschreibung Meldepflicht an die Informationspflicht Anmerkungen
Aufsichtsbehörde an Betroffene
Gestohlener USB-Stick mit Verschlüsselung Nein Nein Kein Art.-33-Fall aufgrund der Verschlüsselung
Meldepflicht besteht, wenn
die Daten nicht anderweitig
gesichert sind.
Datenzugriff durch Cyber- Ja Ja (abhängig von
Attacke der Art der Daten)
Mehrminütiger Stromausfall, Nein Nein Aber interne Do-
dadurch zwischenzeitlich kumentation nach
kein Zugriff möglich Art. 33 Abs. 5
Ransomware-Attacke, die Ja (in der Regel) Ja (in der Regel) Außer es gibt ein Backup,
Kundendaten verschlüsselt Sodass die Daten zügig
(Erpressungstrojaner) wiederhergestellt werden können.
Kontoauszug an falschen Ja Im Einzelfall i.d.R.
Kunden verschickt nicht, bei Häufung
ja
Hacker erbeuten Nutzerna- Ja Ja
men, Passwörter und Kauf-
historie der Kunden eines
Onlineshops
Kunden können aufgrund Ja, wenn Daten Kommt darauf an
eines Programmierfehlers im abgerufen wurden
Kundenportal fremde Kun-
dendaten einsehen
Cyber-Attacke auf Kranken- Ja Ja
haus, dadurch für 30 Minuten
kein Zugriff auf Patientendaten
Versehentliche Versendung Ja Ja (in der Regel)
von Schülerdaten an eine
Mailingliste
Werbe-E-Mail mit offenem Ja (bei großer Ja (außer nur
Mailverteiler (cc statt bcc) Empfängerzahl wenige Betroffene
oder sensiblem und kein sensibler
Inhalt, z.B. Passörter Inhalt)

Wenn Sie Hilfe oder weitere Informationen benötigen, besuchen Sie unsere Webseite unter: www.lexkonnex.de oder rufen Sie uns gleich an.

Für Fragen und Beratung stehen wir gerne zur Verfügung!