Was unternimmt die LDI bei gemeldeten Datenpannen?

Wird uns eine Verletzung des Schutzes personenbezogener Daten gemeldet, prüfen wir zunächst, ob die Meldung alle Informationen enthält, um die folgenden Fragen beantworten zu können:

  • Wurde der Vorfall hinreichend und in angemessener Zeit (72-Stunden-Frist) vom Verantwortlichen untersucht?
  • Wurde der Umfang der Datenpanne und ihre möglichen Auswirkungen für die betroffenen Personen angemessen erfasst?
  • Wurde das Risiko für die Rechte und Freiheiten natürlicher Personen in angemessenem Umfang analysiert?
  • Wurde die Datenpanne im Falle einer Meldepflicht unverzüglich und möglichst binnen 72 Stunden nach dem Bekanntwerden gemeldet?
  • Wurde im Falle einer Meldung nach 72 Stunden nach dem Bekanntwerden die Verzögerung nachvollziehbar begründet?
  • Wurden ausreichende technischer und organisatorischer Maßnahmen getroffen, um die Datenpanne zu beheben und die nachteiligen Folgen für betroffene Personen abzumildern?
  • Wurde die Benachrichtigungspflicht nach Art. 34 DS-GVO beachtet? Oder: Erscheint eine Information an die betroffenen Personen – auch unabhängig von einer Benachrichtigungspflicht nach Art. 34 DS-GVO – für angezeigt, damit die betroffenen Personen in ihrer eigenen Sphäre Schutzmaßnahmen treffen können?
  • Wurden angemessene und geeignete Maßnahmen getroffen, um eine solche Datenpanne künftig zu verhindern?

Gegebenenfalls fordern wir den Verantwortlichen auf uns weitere Informationen bereitzustellen, etwa forensische Untersuchungsberichte.

Für Inhalte, die im Rahmen einer Meldung oder einer Benachrichtigung zwingend mitzuteilen sind, gilt ein Beweisverwertungsverbot (§ 42 Absatz 4 und § 43 Absatz 4 Bundesdatenschutzgesetz). Das bedeutet: Meldungen nach Artikel 33 Datenschutz-Grundverordnung und Benachrichtigungen nach Artikel 34 Absatz 1 Datenschutz-Grundverordnung dürfen in Straf- und Ordnungswidrigkeitenverfahren gegen Meldepflichtige und Benachrichtigende oder ihre Angehörige im Sinne des § 52 Absatz 1 Strafprozessordnung nur mit ihrer Zustimmung verwendet werden. Nicht dem Beweisverwertungsverbot unterliegen jedoch die über die Pflichtangaben hinausgehenden freiwilligen Angaben in einer Meldung oder Benachrichtigung. Gleiches gilt für Beschwerden, die uns zu einer Datenpanne erreichen. Diese können gegebenenfalls zur Einleitung eines Ordnungswidrigkeitenverfahrens führen, beispielweise aufgrund von mangelnden oder fehlenden technischen und organisatorischen Maßnahmen. Unabhängig davon kann aufgrund eines Verstoßes gegen die Artikel 33 und 34 Datenschutz-Grundverordnung ein Ordnungswidrigkeitenverfahren eingeleitet werden.

zurück zur Übersicht