You are on page 1of 12

Leitfaden zur Datenschutz-Grundverordnung (DSGVO)

DSGVO
Die DSGVO gilt für "Verantwortlicher" und "Auftragsverarbeiter". Ein Verantwortlicher
bestimmt die Zwecke und Mittel zur Verarbeitung personenbezogener Daten. Ein
Auftragsverarbeiter ist verantwortlich für die Verarbeitung personenbezogener Daten im
Auftrag eines Verantwortlichers. Wir machen beides, also müssen wir alle Vorschriften
einhalten.

Rechtliche Grundlage für die Verarbeitung


Checkliste
☐ Wir haben unsere Entscheidung darüber, welche rechtmäßige Grundlage für den
Nachweis der Compliance gilt, dokumentiert.

☐ Wir haben Informationen über die Zwecke der Verarbeitung und die rechtmäßige
Grundlage für die Verarbeitung in unsere Datenschutzerklärung aufgenommen.

☐ Für die Verarbeitung von Daten der Spezialkategorie haben wir ebenfalls eine Bedingung
für die Verarbeitung von Daten der Spezialkategorie ermittelt und diese dokumentiert.

Wir müssen eine gültige gesetzliche Grundlage haben, um personenbezogene Daten zu


verarbeiten. Die DSGVO bringt auch neue Anforderungen an Rechenschaftspflicht und
Transparenz mit sich. Wir sollten daher sicherstellen, dass wir unsere gesetzliche Grundlage
klar dokumentieren, damit wir unsere Einhaltung gemäß Artikel 5 (2) und 24 nachweisen
können.

Wir müssen jetzt im Voraus über unsere rechtmäßige Grundlage für die Verarbeitung ihrer
personenbezogenen Daten informieren. Daher müssen wir diese Informationen bis zum 25.
Mai 2018 an Einzelpersonen weitergeben und sicherstellen, dass wir sie in alle künftigen
Datenschutzhinweise aufnehmen.

* Relevante Bestimmungen in der DSGVO - Siehe Artikel 6 und Erwägungsgrund 171 sowie
Artikel 5 Absatz 2

Der erste Grundsatz erfordert, dass wir alle personenbezogenen Daten rechtmäßig, fair und
transparent verarbeiten. Verarbeitung ist nur dann zulässig, wenn wir zumindest eine
gesetzliche Grundlage nach Artikel 6 haben (wir werden zwei haben). Und um dem
Grundsatz der Rechenschaftspflicht nach Artikel 5 Absatz 2 zu entsprechen, müssen wir
nachweisen können, dass die gesetzlichen Grundlagen gelten.

Das Recht der Person, gemäß Artikel 13 und 14 informiert zu werden, verlangt von uns, den
Menschen Informationen über unsere rechtmäßige Grundlage für die Verarbeitung zur
Verfügung zu stellen. Dies bedeutet, dass wir diese Details in unsere Datenschutzerklärung
aufnehmen müssen.
* Relevante Bestimmungen in der DSGVO - Siehe Artikel 6 und die Erwägungsgründe 39,
40 und Kapitel III (Rechte der betroffenen Person)

Viele der gesetzlichen Grundlagen für die Verarbeitung hängen davon ab, dass die
Verarbeitung "notwendig" ist. Dies bedeutet nicht, dass die Verarbeitung immer wichtig sein
muss. Es muss jedoch ein zielgerichteter und verhältnismäßiger Weg sein, um den Zweck
zu erreichen. Die gesetzliche Grundlage wird nicht gelten, wenn wir den Zweck durch
andere weniger einschneidende Mittel vernünftigerweise erreichen können.

Es reicht nicht aus, zu argumentieren, dass eine Verarbeitung notwendig ist, weil wir uns
entschieden haben, unser Geschäft in einer bestimmten Weise zu betreiben. Die Frage ist,
ob die Verarbeitung für den angegebenen Zweck notwendig ist und nicht, ob es ein
notwendiger Teil unserer gewählten Methode zur Verfolgung dieses Zwecks ist.

Wie sollen wir unsere gesetzliche Grundlage dokumentieren?


Der Grundsatz der Rechenschaftspflicht verlangt von uns, dass wir nachweisen können,
dass wir die DSGVO einhalten und über angemessene Richtlinien und Prozesse verfügen.
Dies bedeutet, dass wir in der Lage sein müssen zu zeigen, dass wir die rechtmäßige
Grundlage für jeden Verarbeitungszweck angemessen berücksichtigt haben und unsere
Entscheidung rechtfertigen können.

Wir müssen daher aufzeichnen, auf welcher Grundlage wir für jeden Verarbeitungszweck
beruhen, und eine Begründung dafür, warum wir davon ausgehen, dass sie zutrifft. Hierfür
gibt es kein Standardformular, solange wir sicherstellen, dass unsere Unterlagen
ausreichen, um nachzuweisen, dass eine rechtmäßige Grundlage besteht. Dies wird uns
helfen, Rechenschaftspflichten zu erfüllen, und wird uns auch beim Schreiben unserer
Datenschutzhinweise helfen.

* Relevante Bestimmungen in der DSGVO - Siehe Artikel 5 (2) und 24

Welche gesetzlichen Grundlagen werden wir verwenden?


Wir werden Einwilligung und legitime Interessen verwenden

Zustimmung
Die DSGVO ist klarer, dass ein Hinweis auf die Einwilligung eindeutig sein muss und eine
klare positive Maßnahme (Opt-in) beinhalten muss. Es verbietet ausdrücklich vor-
angekreuzte Opt-in-Boxen. Es erfordert auch individuelle ("granulare") Einwilligungsoptionen
für unterschiedliche Verarbeitungsvorgänge.

Wir müssen klare Aufzeichnungen führen, um die Zustimmung zu demonstrieren.


Die Datenschutz-Grundverordnung gibt ein spezifisches Widerrufsrecht. Wir müssen den
Menschen von ihrem Rücktrittsrecht erzählen und ihnen jederzeit einfache Wege anbieten,
ihre Einwilligung zu widerrufen.

Wir müssen die bestehenden Zustimmungen und unsere Einwilligungsmechanismen


überprüfen, um zu überprüfen, ob sie den DSGVO-Standard erfüllen. Wenn dies der Fall ist,
ist keine erneute Zustimmung erforderlich.

Die Einwilligung ist angemessen, da wir den Menschen eine echte Auswahl und Kontrolle
darüber bieten können, wie wir ihre Daten verwenden und ihr Vertrauen und Engagement
ausbauen wollen.

Zustimmung muss frei gegeben werden; Das bedeutet, dass Sie den Menschen eine echte
fortlaufende Wahl und Kontrolle darüber geben, wie Sie ihre Daten verwenden.

Die Einwilligung sollte offensichtlich sein und eine positive Einwilligung erfordern. Die
Einwilligungsersuchen müssen im Vordergrund stehen, von anderen Geschäftsbedingungen
abgekoppelt sein, prägnant und leicht verständlich sein und benutzerfreundlich sein.

Die Zustimmung muss insbesondere den Namen des für die Verarbeitung Verantwortlichen,
den Zweck der Verarbeitung und die Art der Verarbeitung umfassen.

Die ausdrückliche Zustimmung muss ausdrücklich in Worten und nicht durch andere positive
Maßnahmen bestätigt werden.

Es gibt kein festgelegtes Zeitlimit für die Zustimmung. Wie lange es dauert, hängt vom
Kontext ab.

Wie sollen wir die Zustimmung erhalten, aufzeichnen und verwalten?


Wir müssen unsere Einverständniserklärung deutlich, prägnant, getrennt von anderen
Geschäftsbedingungen und leicht verständlich machen. Einschließlich:

● der Name unserer Organisation;


● Name der Verantwortlicher von Dritten, die sich auf die Zustimmung verlassen;
● warum wir die Daten wollen;
● was wir damit machen werden; und
● dass Einzelpersonen ihre Zustimmung jederzeit widerrufen können.

Wir müssen die Leute bitten, sich aktiv zu beteiligen. Wir können keine vorgekreuzten
Kästchen, Opt-out-Kästchen oder andere Standardeinstellungen verwenden.

Wir müssen Aufzeichnungen führen, um die Zustimmung zu bestätigen - wer hat


zugestimmt, wann, wie und was ihnen gesagt wurde.

Wir müssen es den Menschen leicht machen, die Einwilligung jederzeit zu widerrufen.
* Einschlägige Bestimmungen in der DSGVO - siehe Artikel 4 Absatz 11, Artikel 6 Absatz 1
Buchstabe a Ziffern 7, 8, 9 Absatz 2 Buchstabe a und Erwägungsgründe 32, 38, 40, 42, 43,
171

Checklisten

Um Zustimmung bitten
☐ Wir haben die Einwilligung zur Einwilligung auf unserer Website und den Karten in den
Geschäften gemacht.

☐ Wir bitten die Leute, sich positiv zu entscheiden.

☐ Wir verwenden keine vorgekreuzten Kästchen oder eine andere Art von
Standardzustimmung.

☐ Wir verwenden eine klare Sprache, die leicht verständlich ist.

☐ Wir geben an, warum wir die Daten haben wollen und was wir damit machen wollen.

☐ Wir nennen unsere Organisation und alle Drittanbieter, die sich auf die Zustimmung
verlassen.

☐ Wir sagen Einzelpersonen, dass sie ihre Zustimmung widerrufen können.

Einverständniserklärung
☐ Wir bewahren eine Kopie des unterschriebenen und datierten Formulars des Kunden auf,
aus dem hervorgeht, dass sie ihre Zustimmung zu der spezifischen Verarbeitung erteilt
haben.

☐ Wir führen Aufzeichnungen mit einer ID und den online übermittelten Daten zusammen
mit einem Zeitstempel. Sie behalten auch eine Kopie der Version des
Datenerfassungsformulars und anderer relevanter Dokumente, die zu diesem Zeitpunkt
verwendet werden.

☐ Wir halten genau fest, was ihnen damals gesagt wurde.

Einwilligung verwalten
☐ Wir überprüfen regelmäßig die Zustimmungen, um sicherzustellen, dass sich die
Beziehung, die Verarbeitung und die Zwecke nicht geändert haben.

☐ Wir machen es Einzelpersonen leicht, ihre Zustimmung jederzeit zu widerrufen und zu


veröffentlichen.
Legitime Interessen

Was ist die "legitime Interessen" -Basis?


Artikel 6 Absatz 1 Buchstabe f gibt uns eine rechtmäßige Grundlage für die Verarbeitung,
wenn

"Die Verarbeitung ist im Hinblick auf die berechtigten Interessen des für die Verarbeitung
Verantwortlichen oder eines Dritten erforderlich, es sei denn, diese Interessen werden durch
die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den
Schutz personenbezogener Daten erfordern, außer Kraft gesetzt, insbesondere wenn die
Daten betroffen sind Thema ist ein Kind. "

Dies kann in einen dreiteiligen Test unterteilt werden:

● Purpose Test: verfolgen Sie ein berechtigtes Interesse?


● Notwendigkeitstest: Ist die Verarbeitung für diesen Zweck notwendig?
● Abwägungstest: Übersteigen die Interessen des Einzelnen das berechtigte
Interesse?

Die DSGVO nennt ausdrücklich die Verwendung von Kunden- oder Mitarbeiterdaten,
Marketing, Betrugsprävention, gruppeninterne Transfers oder IT-Sicherheit als potenzielle
legitime Interessen.

Wir müssen unsere Interessen gegen die Interessen des Einzelnen abwägen. Insbesondere,
wenn sie nicht erwarten würden, dass wir Daten auf diese Art und Weise verwenden, oder
wenn sie ihnen ungerechtfertigten Schaden zufügen würden, würden ihre Interessen
wahrscheinlich unseren Vorrang haben. Unsere Interessen müssen jedoch nicht immer mit
den individuellen Interessen übereinstimmen. Wenn es zu einem Konflikt kommt, können
unsere Interessen immer noch bestehen, solange es eine klare Rechtfertigung für die
Auswirkungen auf den Einzelnen gibt.

Wir können uns auf legitime Interessen für Marketingaktivitäten verlassen, wenn wir zeigen
können, dass die Art und Weise, wie wir personenbezogene Daten verwenden,
verhältnismäßig ist, minimale Auswirkungen auf die Privatsphäre hat und die Leute nicht
überrascht oder wahrscheinlich dagegen wären.

Wir können uns auf legitime Interessen verlassen, um personenbezogene Daten rechtmäßig
an Dritte weiterzugeben. Wir müssen nachweisen, dass die Offenlegung gerechtfertigt ist.

Um sich auf legitimes Interesse zu verlassen, müssen wir diese Frage in unserer
Datenschutzrichtlinie beantworten (legitime Interessenbewertung - LIA):
● Warum wollen wir die Daten verarbeiten? Was wollen wir erreichen?
● Wer profitiert von der Verarbeitung? Inwiefern?
● Gibt es einen größeren öffentlichen Nutzen für die Verarbeitung?
● Wie wichtig sind diese Vorteile?
● Was wäre der Effekt, wenn wir nicht weitermachen könnten?
● Wäre unsere Verwendung der Daten in irgendeiner Weise unethisch oder
rechtswidrig?
● Hilft diese Verarbeitung tatsächlich, dieses Interesse zu fördern?
● Ist das ein vernünftiger Weg?
● Gibt es noch eine weniger aufdringliche Art, dasselbe Ergebnis zu erzielen?
● Was ist die Natur unserer Beziehung mit dem Individuum?
● Ist eine der Daten besonders sensibel oder privat?
● Würden die Leute erwarten, dass wir ihre Daten auf diese Weise nutzen?
● Gibt es Leute, die wahrscheinlich etwas einwenden oder es aufdringlich finden?
● Was ist die mögliche Auswirkung auf den Einzelnen?
● Wie groß ist der Einfluss auf sie?
● Verarbeiten wir Daten von Kindern?
● Sind irgendwelche der Personen auf irgendeine andere Weise angreifbar?
● Können wir Sicherheitsvorkehrungen treffen, um die Auswirkungen zu
minimieren?
● Können wir eine Abmeldung anbieten?
Es ist wichtig, unser Denken festzuhalten, um zu zeigen, dass wir richtige
Entscheidungsprozesse haben und das Ergebnis rechtfertigen.

Wir müssen den Personen in unserer Datenschutzerklärung mitteilen, dass wir uns auf
legitime Interessen verlassen und erklären, was diese Interessen sind.

Da wir uns auf legitime Interessen für Direktmarketing verlassen, ist das Recht auf
Einspruch absolut und wir müssen die Verarbeitung einstellen, wenn jemand widerspricht.

Checklisten
☐ Wir haben eine legitime Interessenbewertung (LIGA) durchgeführt und aufgezeichnet, um
sicherzustellen, dass wir unsere Entscheidung rechtfertigen können.

☐ Wir haben die relevanten legitimen Interessen identifiziert.

☐ Wir haben überprüft, dass die Verarbeitung notwendig ist und es gibt keinen weniger
aufdringlichen Weg, um das gleiche Ergebnis zu erzielen.

☐ Wir haben eine Abwägungsprüfung durchgeführt und sind zuversichtlich, dass die
Interessen des Einzelnen diese legitimen Interessen nicht außer Kraft setzen.

☐ Wir haben Schutzmaßnahmen in Betracht gezogen, um die Auswirkungen soweit wie


möglich zu reduzieren.

☐ Wir bieten eine Abmeldung an.

☐ In unsere Datenschutzerklärung geben wir Informationen über unsere berechtigten


Interessen ein.
Verantwortlichkeit und Governance
Der Grundsatz der Rechenschaftspflicht in Artikel 5 (2) verpflichtet uns zu demonstrieren,
dass wir die Prinzipien einhalten und ausdrücklich erklären, dass dies unsere Verantwortung
ist.

Wir müssen:

● geeignete technische und organisatorische Maßnahmen zu ergreifen, die


sicherstellen und belegen, dass wir diese einhalten. Dazu gehören interne
Datenschutzrichtlinien wie Schulungen des Personals, interne Audits der
Verarbeitungstätigkeiten und Überprüfungen der internen Personalpolitik;
● relevante Dokumentation über die Verarbeitungstätigkeit führen;
● einen Datenschutzbeauftragten ernennen;
● Maßnahmen zu implementieren, die den Grundsätzen des Datenschutzes durch
Design und Datenschutz standardmäßig entsprechen. Die Maßnahmen sollten
umfassen:
○ Datenminimierung;
○ Pseudonymisierung;
○ Transparenz;
○ Einzelpersonen erlauben, die Verarbeitung zu überwachen; und
○ ständige Erstellung und Verbesserung von Sicherheitsfunktionen.
● gegebenenfalls Folgenabschätzungen zum Datenschutz verwenden.

Verträge
● Die DSGVO schreibt schriftliche Verträge zwischen Verantwortlichern und
Auftragsverarbeitern als allgemeine Anforderung vor.
● Diese Verträge müssen jetzt mindestens bestimmte spezifische Bedingungen
enthalten.
● Mit diesen Bedingungen soll sichergestellt werden, dass die Verarbeitung durch
einen Auftragsverarbeiter alle Anforderungen der DSGVO erfüllt (nicht nur
diejenigen, die im Zusammenhang mit der Sicherheit personenbezogener Daten
stehen).

Wenn ein Verantwortlicher einen Auftragsverarbeiter verwendet (ein Dritter, der


personenbezogene Daten im Auftrag des Verantwortlichers verarbeitet), muss ein
schriftlicher Vertrag vorliegen. Also müssen wir einen Vertrag mit den Auftragsverarbeiteren,
mit denen wir arbeiten, geschrieben haben.

Verträge zwischen Verantwortlichern und Auftragsverarbeitern stellen sicher, dass beide ihre
Verpflichtungen, Verantwortlichkeiten und Verbindlichkeiten verstehen.

Was muss in den Vertrag aufgenommen werden?


In den Verträgen sind der Gegenstand und die Dauer der Verarbeitung, Art und Zweck der
Verarbeitung, Art der personenbezogenen Daten und Kategorien der betroffenen Person
sowie die Pflichten und Rechte des für die Verarbeitung Verantwortlichen festzulegen.

Die Verträge müssen mindestens die folgenden Bedingungen enthalten, die den
Auftragsverarbeiter verpflichten:

● nur auf die schriftlichen Anweisungen des Kontrolleurs reagieren;


● sicherstellen, dass Personen, die die Daten verarbeiten, einer
Vertraulichkeitspflicht unterliegen;
● geeignete Maßnahmen treffen, um die Sicherheit der Verarbeitung zu
gewährleisten;
● die Unterauftragsverarbeiter nur mit vorheriger Zustimmung des für die
Verarbeitung Verantwortlichen und aufgrund eines schriftlichen Vertrags
einschalten;
● den für die Verarbeitung Verantwortlichen bei der Bereitstellung des Zugangs zu
den Themen unterstützen und es den betroffenen Personen ermöglichen, ihre
Rechte gemäß der Datenschutz-Grundverordnung auszuüben;
● Unterstützung des für die Verarbeitung Verantwortlichen bei der Erfüllung seiner
DSGVO-Verpflichtungen in Bezug auf die Sicherheit der Verarbeitung, die
Meldung von Verstößen gegen personenbezogene Daten und die
Folgenabschätzung für den Datenschutz;
● alle personenbezogenen Daten löschen oder an den für die Verarbeitung
Verantwortlichen zurückgeben, wie dies am Ende des Vertrags erforderlich ist;
und
● bei Audits und Inspektionen einzureichen, dem für die Verarbeitung
Verantwortlichen alle Informationen zur Verfügung zu stellen, die sie benötigen,
um sicherzustellen, dass sie ihre Verpflichtungen nach Artikel 28 erfüllen, und
dem für die Verarbeitung Verantwortlichen mitteilen, wenn sie etwas gegen die
DSGVO oder andere Datenschutzgesetze der EU oder ein Mitgliedstaat.

* Relevante Bestimmungen in der DSGVO - siehe Artikel 28-36 und Erwägungsgründe 81-
83

Checklisten

Unsere Verträge beinhalten folgende Pflichtangaben:

☐ Gegenstand und Dauer der Bearbeitung;

☐ Art und Zweck der Verarbeitung;

☐ die Art der personenbezogenen Daten und Kategorien der betroffenen Person; und

☐ die Pflichten und Rechte des für die Verarbeitung Verantwortlichen.


Unsere Verträge beinhalten folgende Bedingungen:

☐ der Auftragsverarbeiter darf nur auf schriftliche Anweisungen des für die Verarbeitung
Verantwortlichen reagieren (es sei denn, es ist gesetzlich vorgeschrieben, ohne solche
Anweisungen zu handeln);

☐ Der Auftragsverarbeiter muss sicherstellen, dass Personen, die die Daten verarbeiten,
einer Vertrauenspflicht unterliegen.

☐ Der Auftragsverarbeiter muss geeignete Maßnahmen ergreifen, um die Sicherheit der


Verarbeitung zu gewährleisten.

☐ der Auftragsverarbeiter darf nur mit vorheriger Zustimmung des für die Verarbeitung
Verantwortlichen und einem schriftlichen Vertrag einen Unterauftragsverarbeiter
beauftragen;

☐ der Auftragsverarbeiter muss den für die Verarbeitung Verantwortlichen bei der
Bereitstellung von Subjekten unterstützen und es den betroffenen Personen ermöglichen,
ihre Rechte gemäß der Datenschutz-Grundverordnung auszuüben;

☐ der Auftragsverarbeiter muss den für die Verarbeitung Verantwortlichen bei der Erfüllung
seiner DSGVO-Verpflichtungen in Bezug auf die Sicherheit der Verarbeitung, die Meldung
von Verstößen gegen die Datenschutzvorschriften und die Folgenabschätzungen für den
Datenschutz unterstützen;

☐ Der Auftragsverarbeiter muss alle personenbezogenen Daten löschen oder an den für die
Verarbeitung Verantwortlichen zurückgeben, wie dies am Ende des Vertrags erforderlich ist.
und

☐ Der Auftragsverarbeiter muss Audits und Inspektionen vorlegen, dem für die Verarbeitung
Verantwortlichen alle Informationen zur Verfügung stellen, die er benötigt, um
sicherzustellen, dass beide seine Verpflichtungen nach Artikel 28 erfüllen, und dem für die
Verarbeitung Verantwortlichen mitteilen, wenn er etwas gegen die
Datenschutzgrundverordnung oder andere Datenschutzgesetze zu tun hat der EU oder
eines Mitgliedstaates.

Als eine gute Praxis, unsere Verträge:

☐ erklären, dass nichts in dem Vertrag den Auftragsverarbeiter von seinen eigenen direkten
Verantwortlichkeiten und Verbindlichkeiten gemäß der DSGVO befreit; und

☐ spiegeln die vereinbarten Entschädigungen wider.

Datenschutz durch Design und Standard


● Im Rahmen der Datenschutz-Grundverordnung haben wir eine allgemeine
Verpflichtung, technische und organisatorische Maßnahmen zu ergreifen, um zu
zeigen, dass wir den Datenschutz in unsere Verarbeitungsprozesse einbezogen
und integriert haben.
● Privacy by Design war schon immer eine implizite Anforderung des
Datenschutzes.

Datenschutzbeauftragte
Die Mindestaufgaben des Datenschutzbeauftragten sind in Artikel 39 definiert:

● Informieren und beraten Sie die Organisation und ihre Mitarbeiter über ihre
Verpflichtungen zur Einhaltung der DSGVO und anderer Datenschutzgesetze.
● Überwachung der Einhaltung der DSGVO und anderer Datenschutzgesetze,
einschließlich der Verwaltung interner Datenschutzaktivitäten, in Bezug auf
Folgenabschätzungen zum Datenschutz; Mitarbeiter schulen und interne Audits
durchführen.
● Die erste Anlaufstelle für Aufsichtsbehörden und für Personen, deren Daten
verarbeitet werden (Angestellte, Kunden usw.).

Wir müssen sicherstellen, dass:

● Der Datenschutzbeauftragte handelt unabhängig und wird nicht entlassen oder


bestraft, um seine Aufgabe zu erfüllen.
● Ausreichende Ressourcen werden zur Verfügung gestellt, damit die DSB ihre
DSPR-Verpflichtungen erfüllen können.

Wir können die Rolle von DPO einem bestehenden Mitarbeiter zuweisen, solange die
beruflichen Pflichten des Mitarbeiters mit den Pflichten des DSB vereinbar sind.

Die Datenschutz-Grundverordnung gibt nicht die genauen Angaben an, die ein
Datenschutzbeauftragter voraussichtlich haben wird.

Es erfordert, dass sie Berufserfahrung und Kenntnisse des Datenschutzrechts haben.

* Relevante Bestimmungen in der DSGVO - siehe Artikel 37-39 und 83 und


Erwägungsgrund 97

Verletzungen personenbezogener Daten


Eine Verletzung des Schutzes personenbezogener Daten bedeutet eine Verletzung der
Sicherheit, die zur versehentlichen oder rechtswidrigen Zerstörung, zum Verlust, zur
Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugriff auf
personenbezogene Daten führt. Dies schließt Verletzungen ein, die sowohl auf zufällige als
auch auf vorsätzliche Ursachen zurückzuführen sind. Es bedeutet auch, dass eine
Verletzung mehr ist, als nur persönliche Daten zu verlieren.

Beispiel

Verletzungen personenbezogener Daten können Folgendes umfassen:

● Zugriff durch eine nicht autorisierte dritte Partei;


● absichtliche oder versehentliche Aktion (oder Untätigkeit) durch einen
Verantwortlicher oder Auftragsverarbeiter;
● Senden von persönlichen Daten an einen falschen Empfänger;
● Computergeräte, die verlorene oder gestohlene persönliche Daten enthalten;
● Änderung personenbezogener Daten ohne Erlaubnis; und
● Verlust der Verfügbarkeit von personenbezogenen Daten.

Eine Verletzung des Schutzes personenbezogener Daten kann im weitesten Sinne als
Sicherheitsvorfall definiert werden, der die Vertraulichkeit, Integrität oder Verfügbarkeit
personenbezogener Daten beeinflusst hat. Kurz gesagt, es wird zu einer Verletzung
persönlicher Daten kommen, wenn persönliche Daten verloren gehen, zerstört, beschädigt
oder offen gelegt werden; wenn jemand auf die Daten zugreift oder sie ohne entsprechende
Genehmigung weitergibt; oder wenn die Daten nicht verfügbar sind und diese
Nichtverfügbarkeit erhebliche negative Auswirkungen auf Einzelpersonen hat.

Im Erwägungsgrund 87 der Datenschutz-Grundverordnung wird klargestellt, dass bei einem


Sicherheitsvorfall schnell festgestellt werden sollte, ob eine Verletzung des Schutzes
personenbezogener Daten eingetreten ist, und gegebenenfalls unverzüglich Maßnahmen zu
ihrer Behebung ergreifen.

Wir müssen eine meldepflichtige Verletzung unverzüglich, spätestens aber 72 Stunden nach
Kenntniserlangung dem ICO melden. Wenn wir länger brauchen, müssen wir die
Verzögerung begründen.

Bei der Meldung eines Verstoßes fordert die DSGVO Folgendes:

● eine Beschreibung der Art der Verletzung des Schutzes personenbezogener


Daten, einschließlich
○ die Kategorien und die ungefähre Anzahl der betroffenen Personen; und
○ die Kategorien und die ungefähre Anzahl der betroffenen
personenbezogenen Datensätze;
● Name und Kontaktdaten des Datenschutzbeauftragten (falls Ihre Organisation
einen hat) oder anderer Kontaktstellen, an denen mehr Informationen erhältlich
sind;
● eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes
personenbezogener Daten; und
● eine Beschreibung der Maßnahmen, die ergriffen wurden oder vorgeschlagen
wurden, um die Verletzung des Schutzes personenbezogener Daten zu beheben,
gegebenenfalls einschließlich der getroffenen Maßnahmen zur Abschwächung
möglicher nachteiliger Auswirkungen.

Wird ein Verstoß nicht angezeigt, wenn dies erforderlich ist, kann dies zu einer erheblichen
Geldbuße von bis zu 10 Millionen Euro oder 2 Prozent Ihres weltweiten Umsatzes führen.

* Relevante Bestimmungen der DSGVO - Siehe Artikel 33, 34, 58, 83 und Erwägungsgründe
75, 85-88