Antwort
Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn die Daten, für die Ihr Unternehmen/Ihre Organisation verantwortlich ist, von einem sicherheitsrelevantes Ereignis betroffen sind, das zu einer Verletzung der Vertraulichkeit, Verfügbarkeit oder Integrität führt. Wenn dies geschieht und die Verletzung womöglich ein Risiko für die Rechte und Freiheiten einer Person darstellt, muss Ihr Unternehmen/Ihre Organisation die Aufsichtsbehörde unverzüglich und spätestens binnen 72 Stunden, nachdem ihm/ihr die Verletzung bekannt wurde, darüber unterrichten. Wenn Ihr Unternehmen/Ihre Organisation Auftragsverarbeiter ist, meldet es/sie jede Verletzung des Schutzes personenbezogener Daten dem Verantwortlichen.
Hat die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die betroffenen Personen zur Folge, so müssen diese ebenfalls informiert werden, sofern keine wirksamen technischen und organisatorischen Maßnahmen bzw. sonstigen Maßnahmen umgesetzt wurden, die gewährleisten, dass dieses Risiko aller Wahrscheinlichkeit nach nicht mehr besteht.
Es ist entscheidend, als Organisation geeignete technische und organisatorische Maßnahmen zu treffen, um mögliche Verletzungen des Schutzes personenbezogener Daten zu vermeiden.
Beispiele
Organisation muss Datenschutzbehörde und betroffene Personen unterrichten
Die Daten der Mitarbeiter eines Textilunternehmens wurden offengelegt. Diese Daten umfassten die Privatadressen, Familienzusammensetzungen, monatlichen Gehälter und Krankenversicherungsansprüche aller Mitarbeiter. Das Textilunternehmen ist hier verpflichtet, die Aufsichtsbehörde über die Verletzung des Schutzes personenbezogener Daten zu unterrichten. Da die personenbezogenen Daten sensible Daten wie Gesundheitsdaten umfassen, muss das Unternehmen seine Mitarbeiter ebenfalls benachrichtigen.
Ein Krankenhausmitarbeiter kopiert Patientendaten auf eine CD und veröffentlicht sie im Internet. Das Krankenhaus findet es einige Tage später heraus. Nachdem das Krankenhaus es herausgefunden hat, muss es die Aufsichtsbehörde binnen 72 Stunden darüber unterrichten, und da die personenbezogenen Daten sensible Informationen beinhalten, zum Beispiel darüber, ob ein Patient an Krebs erkrankt ist, schwanger ist usw., muss es auch die Patienten darüber informieren. In diesem Fall würden Zweifel bestehen, ob das Krankenhaus geeignete technische und organisatorische Schutzmaßnahmen getroffen hat. Hätte es geeignete Schutzmaßnahmen getroffen (zum Beispiel die Verschlüsselung von Daten), wäre das Bestehen eines wesentlichen Risikos unwahrscheinlich und das Krankenhaus könnte von der Pflicht, die Patienten zu unterrichten, befreit sein.
Unternehmen muss Kunden unterrichten und diese müssen dann eventuell die Datenschutzbehörde und betroffene Personen informieren
Ein Cloud-Dienst verliert mehrere Festplatten, auf denen personenbezogene Daten von mehreren seiner Kunden gespeichert sind. Er muss diese Kunden unverzüglich unterrichten, wenn ihm die Verletzung des Schutzes personenbezogener Daten bekannt wird. Seine Kunden müssen in Abhängigkeit von den durch den Auftragsverarbeiter verarbeiteten Daten möglicherweise die Datenschutzbehörde und die betroffenen Personen benachrichtigen.
Referenzen
Examples
Organisation must notify the DPA and individuals
The data of a textile company’s employees has been disclosed. The data included the personal addresses, family composition, monthly salary and medical claims of each employee. In that case, the textile company must inform the supervisory authority of the breach. Since the personal data includes sensitive data, such as health data, the company has to notify the employees as well.
A hospital employee decides to copy patients’ details onto a CD and publishes them online. The hospital finds out a few days later. As soon as the hospital finds out, it has 72 hours to inform the supervisory authority and, since the personal details contain sensitive information such as whether a patient has cancer, is pregnant, etc., it has to inform the patients as well. In that case, there would be doubts about whether the hospital has implemented appropriate technical and organisational protection measures. If it had indeed implemented appropriate protection measures (for example encrypting the data), a material risk would be unlikely and it could be exempt from notifying the patients.
Company must notify clients and they may then have to notify the DPA and individuals
A cloud service loses several hard drives containing personal data belonging to several of its clients. It has to notify those clients as soon as it becomes aware of the breach. Its clients must notify the DPA and the individuals depending on the data that was processed by the data processor.