Meldeformular - Verletzungen des Schutzes personenbezogener Daten

Verletzungen des Schutzes personenbezogener Daten sind der zuständigen Aufsichtsbehörde unverzüglich, möglichst binnen 72 Stunden, zu melden (Art. 33 DS-GVO).

 

Bitte verwenden Sie dazu unser Formular „Meldung einer Verletzung des Schutzes personenbezogener Daten (Art. 33 DS-GVO)"



Neben der Meldung an die Aufsichtsbehörde sind im Falle des Art. 34 DS-GVO auch die betroffenen Personen unverzüglich zu informieren. Das ist dann der Fall, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Ob und welche Maßnahmen im Rahmen des Art. 33 Abs. 3 lit. d erfolgten, ist ebenfalls der Aufsichtsbehörde mitzuteilen.

Bitte verwenden Sie dazu unser Formular „Information über die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 33 Abs. 3 lit. d, Art. 34 DS-GVO)"


Bitte beachten Sie die Informationen zur Verarbeitung personenbezogener Daten durch die LDI NRW.



Fragen und Antworten zur Meldung

 

Wann ist zu melden?

Artikel 33 Absatz 1 der Datenschutz-Grundverordnung (DS-GVO) fordert die Meldung einer Verletzung des Schutzes personenbezogener Daten, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

 

Wann ist der Schutz personenbezogener Daten verletzt?

Nach Artikel 4 Nr. 12 DS-GVO umfasst der Begriff „Verletzung des Schutzes personenbezogener Daten“ neben der Offenlegung und dem unbefugten Zugang auch die Vernichtung, den Verlust und die Veränderung personenbezogener Daten.

 

Wann kann eine Meldung unterbleiben?

Wenn der Eintritt eines Schadens für die von der Verletzung betroffenen natürlichen Personen nicht wahrscheinlich ist.

Mit anderen Worten: Eine Meldung ist nicht erforderlich, wenn die Datenschutzverletzung im konkreten Fall gar keinen Schaden zur Folge haben kann oder wenn ein möglicher Schaden wahrscheinlich nicht eintreten wird.

Allerdings sind der Datenschutzvorfall, die Ergebnisse der Risikoanalyse und die getroffenen Maßnahmen vom Verantwortlichen intern zu dokumentieren.

 

Wann ist der Eintritt eines Schadens nicht wahrscheinlich?

In den meisten Fällen ist ein Schaden oder dessen Eintrittswahrscheinlichkeit nicht gänzlich auszuschließen. Für eine vorliegende Datenschutzverletzung ist deshalb zunächst die Risikostufe auf der Grundlage einer Risikoanalyse zu ermitteln. Die ermittelte Risikostufe entscheidet dann darüber, ob eine Meldung an die Aufsichtsbehörde erforderlich ist.

 

Wie erfolgt eine Risikoanalyse?

Das Kurzpapier Nr. 18 „Risiko für die Rechte und Freiheiten natürlicher Personen“ der Datenschutzkonferenz beschreibt den Prozess der Risikoanalyse. Es ist zudem eine hilfreiche Leitlinie für die Entscheidung, ob bei einer konkret vorliegenden Datenschutzverletzung eine Meldung an die zuständige Aufsichtsbehörde zu erfolgen hat.

Eine vollständig risikolose Datenverarbeitung kann es danach nicht geben. Insofern ist die in Artikel 33 DS-GVO gewählte Formulierung „nicht zu einem Risiko“ von ihrem Sinn und Zweck ausgehend als „nur zu einem geringen Risiko führend“ zu verstehen. Damit ergeben sich für die Risikobeurteilung die Abstufungen „geringes Risiko“, „Risiko“ und „hohes Risiko“. Kommt der Verantwortliche in seiner Risikoanalyse zu dem Ergebnis, dass nur ein geringes Risiko vorliegt, ist keine Meldung an die Aufsichtsbehörde erforderlich.

 

Wann liegt ein geringes Risiko vor?

Ein geringes Risiko liegt vor, wenn sowohl der mögliche Schaden als auch dessen Eintrittswahrscheinlichkeit als gering bis überschaubar eingeschätzt werden.

Der Bereich des geringen Risikos wird in dem Kurzpapier Nr. 18 „Risiko für die Rechte und Freiheiten natürlicher Personen“ durch eine Risikomatrix veranschaulicht. Es können allerdings auch Situationen eintreten, in denen der mögliche Schaden als gering eingeschätzt wird, aber der Eintritt des Schadens relativ wahrscheinlich ist. Analog kann es dazu kommen, dass die Eintrittswahrscheinlichkeit als gering eingeschätzt wird, aber der potentielle Schaden besonders schwer wiegen würde. In solchen Fällen ist eine besonders sorgfältige Einzelfallbetrachtung notwendig.

 

Beispiel?

Ein Laptop mit medizinischen Befunden wird einem Arzt entwendet. Die Daten auf der Festplatte des Laptops sind mit einem kryptographischen Verfahren nach dem Stand der Technik sicher verschlüsselt und alle gespeicherten Daten sind in einem Backup vorhanden.

Eine Offenbarung der auf dem Laptop gespeicherten Befunde würde für die betroffenen Patienten einen hohen Schaden bedeuten. Allerdings ist davon auszugehen, dass der Schadenseintritt höchst unwahrscheinlich ist, wenn die Befunde – im obigen Sinne – sicher verschlüsselt sind. Ein Schaden durch den Verlust kann ausgeschlossen werden, da die Daten im Backup weiterhin verfügbar sind. In diesem Fall kann der Verantwortliche nach eigenem Ermessen von einer Meldung bei der Aufsichtsbehörde absehen.

Kommt ein Verantwortlicher im Rahmen der Risikobewertung zu dem Ergebnis, dass keine Meldung bei der Aufsichtsbehörde erforderlich ist, so hat er dennoch den Datenschutzvorfall und die Ergebnisse seiner Risikoanalyse intern zu dokumentieren und die entsprechenden Maßnahmen zu ergreifen, um einen solchen Vorfall zukünftig zu vermeiden.

zurück zur Übersicht