Art.33 – EU-DSGVO – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

> Art.33 - EU-DSGVO - Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Art.33 - DSGVO - Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

<<ZURÜCK   Übersicht   VOR >>

 Stand: 25.01.2012 Stand: 12.03.2014 Stand: 15.06.2015 Stand: 27.04.2016

Datenschutz-Folgenabschätzung

 Datenschutz-Folgenabschätzung

 Datenschutz-Folgenabschätzung

Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

1. Bei Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen, führt der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

1. Wenn dies nach Maßgabe von Artikel 32a Absatz 3 erforderlich ist, führt der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter vorab eine Abschätzung der Folgen der  vorgesehenen Verarbeitungsvorgänge für die Rechte und Freiheiten der betroffenen Personen, insbesondere für ihr Recht auf den Schutz personenbezogener Daten durch. Eine einzige Abschätzung ist für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlichen Risiken ausreichend.

1. Wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, wie etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung, unbefugte Umkehr der Pseudonymisierung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile, so führt der für die Verarbeitung Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

1. Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

 

 

1a. Der für die Verarbeitung Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.

1a. (entfällt)

2. Die in Absatz 1 genannten Risiken bestehen insbesondere bei folgenden Verarbeitungsvorgängen:

  2. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: 2. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

a) systematische und umfassende Auswertung persönlicher Aspekte einer natürlichen Person,  beispielsweise zwecks Analyse ihrer wirtschaftlichen Lage, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens oder zwecks diesbezüglicher Voraussagen, die sich auf eine automatisierte Verarbeitung von Daten gründet und ihrerseits als Grundlage für Maßnahmen dient, welche Rechtswirkung gegenüber der betroffenen Person entfalten oder erhebliche Auswirkungen für diese mit sich bringen;

  a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber betroffenen Personen entfalten oder erhebliche Auswirkungen für diese mit sich bringen; a) (entfältl)

b) Verarbeitung von Daten über das Sexualleben, den Gesundheitszustand, die Rasse oder die ethnische Herkunft oder für die Erbringung von Gesundheitsdiensten, für epidemiologische Studien oder für Erhebungen über  Geisteskrankheiten oder ansteckende Krankheiten, wenn die betreffenden Daten in großem Umfang im Hinblick auf Maßnahmen oder Entscheidungen verarbeitet werden, welche sich auf spezifische Einzelpersonen beziehen sollen;

 

b) Verarbeitung spezieller Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1, biometrischen Daten oder Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungs-maßregeln, wenn die Daten in großem Umfang im Hinblick auf Entscheidungen verarbeitet werden, die sich auf spezifische Einzelpersonen beziehen sollen;

b) (entfällt)

c) weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels Videoüberwachung;

 

c) weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen;

c) (entfällt)

d) Verarbeitung personenbezogener Daten aus umfangreichen Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten;

   d) (entfällt) d) (entfällt)

e) sonstige Verarbeitungsvorgänge, bei denen gemäß Artikel 34 Absatz 2 Buchstabe b vorab die Aufsichtsbehörde zu Rate zu ziehen ist.

   e) (entfällt) e) (entfällt)

 

 

2a. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem Europäischen Datenschutzausschuss.

2a. (entfällt)

 

 

2b. Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Europäischen Datenschutzausschuss.

2b. (entfällt)

 

 

2c. Vor Festlegung der in den Absätzen 2a und 2b genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 57 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.

2c. (entfällt)

3. Die Folgenabschätzung trägt den Rechten und den berechtigten  Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener Rechnung; sie enthält zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge und eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken sowie der geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden.

3. Die Folgenabschätzung bezieht sich auf das gesamte  Lebenszyklusmanagement personenbezogener Daten, von der Erhebung über die Verarbeitung bis zur Löschung. Zumindest Folgendes ist enthalten:

3. Die Folgenabschätzung enthält zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge und eine Bewertung des Risikos, auf das in Absatz 1 Bezug genommen wird, sowie der geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

3. Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:

 

 

3a. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 38 durch die zuständigen für die Verarbeitung Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Rechtmäßigkeit und der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgängen, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.

3a. (entfällt)
 

a) eine systematische Beschreibung der
geplanten Verarbeitungsvorgänge, dieZwecke der Verarbeitung und
gegebenenfalls die von dem für die
Verarbeitung Verantwortlichen verfolgten berechtigten Interessen;

b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den
Zweck;

c) eine Bewertung der in Bezug auf die
Rechte und Freiheiten der betroffenen
Personen bestehenden Risiken,
einschließlich des Diskriminierungsrisikos, das mit dem
Vorgang verbunden ist oder durch diesen erhöht wird;

d) eine Beschreibung der geplanten
Abhilfemaßnahmen und Maßnahmen zur Minimierung der Menge der verarbeiteten personenbezogenen Daten;

e) eine Aufstellung der Garantien,
Sicherheitsvorkehrungen und Verfahren
– wie die Pseudonymisierung –, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die
Bestimmungen dieser Verordnung
eingehalten werden, wobei den Rechten
und den berechtigten Interessen der von
der Datenverarbeitung betroffenen
Personen und sonstiger Betroffener
Rechnung getragen wird;

f) eine allgemeine Angabe der Fristen für die Löschung der verschiedenen
Datenkategorien;

h) eine Erklärung, welche Maßnahmen in Bezug auf den Datenschutz durch
Technik und durch datenschutzfreundliche  oreinstellungen
gemäß Artikel 23 umgesetzt wurden;

i) eine Aufstellung der Empfänger oder
Kategorien von Empfängern der
personenbezogenen Daten;

j) gegebenenfalls eine Liste mit Angaben
über geplante Datenübermittlungen inDrittländer oder an internationale
Organisationen, einschließlich deren
Namen, sowie bei den in Artikel 44
Absatz 1 Buchstabe h genannten
Datenübermittlungen ein Beleg dafür,
dass geeignete Sicherheitsgarantien
vorgesehen wurden;

k) eine Bewertung des Zusammenhangs
der Datenverarbeitung.
3a. Wenn der für die Verarbeitung
Verantwortliche oder der
Auftragsverarbeiter einen
Datenschutzbeauftragten benannt hat, ist dieser am Verfahren der
Folgenabschätzung zu beteiligen.

3b. Die Folgenabschätzung wird
dokumentiert und es wird ein Plan für
regelmäßige Überprüfungen der
Einhaltung der Datenschutzbestimmungen gemäß
Artikel 33a Absatz 1 festgelegt. Die
Folgenabschätzung wird ohne
unangemessene Verzögerung aktualisiert, wenn die Ergebnisse der Überprüfung der Einhaltung der
Datenschutzbestimmungen gemäß
Artikel 33a Unstimmigkeiten bei der
Einhaltung aufzeigen. Der für die
Verarbeitung Verantwortliche, der
Auftragsverarbeiter sowie der etwaige
Vertreter des für die Verarbeitung
Verantwortlichen stellen die
Folgenabschätzung der Aufsichtsbehörde auf Anforderung zur Verfügung.

 

a) (entfällt)

a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten

d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

4. Der für die Verarbeitung Verantwortliche holt die Meinung der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der  Verarbeitungsvorgänge ein.

  4. Der für die Verarbeitung Verantwortliche holt den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein. 4. Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
      5. Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels.

<< ZURÜCK    Übersicht    VOR >>

Erwägungsgründe: 85, 87, 88

Im Vegleich zum BDSG stellt die EU-DSGVO abgesenkte Meldepflichten vor. Demnach müssen sogenannte “Datenpannen” der Aufsichtsbehörde nicht gemeldet werden, wenn diese “voraussichtlich nicht zu einem Risiko” für den Betroffenen führen. Die Benachrichtigung an den Betroffenen muss widerrum erst dann erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten besteht oder wenn Maßnahmen zur Schadensbegrenzung getroffen wurden, die die Möglichkeiten auf ein Risiko beseitigen. Auch die Information gegenüber Betroffenen ist nicht mehr erforderlich, solange technische und organisatorische Maßnahmen vorhanden sind, die ein Zugang zu personenbezogenen Daten unmöglich machen (bspw. Verschlüsselung).

 

Die Datenpanne muss innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden. Da sich mit der Verordnung auch die Bußgelder drastisch erhöht haben ist Unternehmen zu raten die Meldepflichten dennoch erst zu nehmen.

 

Weitere Informationen zu der Meldepflicht nach der EU-DSGVO finden Sie hier

 

 

(Visited 2.326 times, 4 visits today)

Kommentar


Anmerkungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.