Data Breach Notifikation (DBN)
Schadenersatz bei Datenschutzverletzungen: das Unternehmen haftet schadenersatzrechtlich für Handlungen seiner Mitarbeiter:innen EuGH 11.04.2024 C-741/21 Juris
Wer einen Data Breach erst einen Monat zu spät meldet, und nur um die Schadensabwicklung über die Versicherung vornehmen zu können, riskiert eine Geldstrafe
Ein unberechtigter Eintrag in einer Datenbank einer Wirtschaftsauskunftei führt in Deutschland zu Schadenersatz
Hackerangriff - Meldung bei der DSB
Im Journal um Acht am 2.9.2021 war es Thema:
https://oe1.orf.at/player/20210902/649613/1630563342000
Worüber nicht berichtet wird ist, dass es auch datenschutzrechtliche Fragen gibt.
Binnen 72h nach Kenntnis ist der Angriff der Datenschutzbehörde gem Art 33 DSGVO zu melden, wenn personenbezogene Daten vonnatürlichen Personen betroffen sind, und deren Daten für das Unternehmen, das die Daten verarbeitet und nicht mehr darauf zugreifen kann. Dies stellt eine mangelnde Verfügbarkeit dar und wenn dieDaten nicht mehr wiederhergestellt werden können,ist wohl davon auszugehen, dass die Daten durch einen Zugriff unbefugter Personen „gelöscht“ wurden.
Schon der Zugriff unbefugter Personen stellt einen Databreach dar, der jedenfalls der DSB zu melden ist.
Wenn ein hoher Schaden für die betroffenen Personen zu befürchten ist, dann sind auch diese iSd Art 34 DSGVO zu informieren.
Dataprotect unterstützt gerne.
Mein Team und ich stehen für die Beratung in Zusammenhang mit Meldungen an die betroffenen Personen und Aufsichtsbehörden bei Datenschutzverletzung (Data Breach Notification) zur Verfügung.
Es ist aufgrund der kurzen Fristen, die in der DSGVO festgelegt sind, unbedingt nötig, den Prozess der Meldung einer Datenschutzverletzung (Data Breach Notifiation) vorab festzulegen. Nur wenn sie genau wissen, welche Schritte sie zu unternehmen haben, und wem sie welche Mitteilungen machen (müssen), können sie die Einhaltung der DSGVO gewährleisten und hohe Strafen vermeiden.
Die Aufsichtsbehörde zeigt jedem Unternehmen, das nicht rechtzeitig und inhaltlich richtig über Datenschutzverletzungen informiert, die "rote Karte". Eine Strafe droht.
Ist ihr Unternehmen in der Lage folgende (kurze) Fristen einzuhalten?
- Meldung an die Aufsichtsbehörde: unverzüglich und möglichst binnen 72 h
- Meldung an die betroffenen Personen: unverzüglich
Wissen sie in welcher Form und mit welchem Inhalt sie die Aufsichtsbehörde und/oder die betroffenen Personen informieren?
Meldung an die Aufsichtsbehörde / Inhalt:
eine Beschreibung der Art der Verletzung , soweit möglich
mit Angabe
der Kategorien und der ungefähren Zahl der betroffenen Personen,
der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Meldung an die betroffenen Personen / Inhalt:
Die Benachrichtigung hat in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die folgenden Informationen und Empfehlungen:
den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Kontaktieren sie uns, wenn sie mehr wissen möchten oder Beratungsbedarf haben
