Am 18.01.2021 hat der Europäische Datenschutzausschuss (EDSA) Richtlinien zur Einordnung und Meldung von Datenpannen herausgegeben. Wir berichteten schon hier.

Aufbauend auf dem Beitrag unserer Kollegin soll dieser Beitrag die vom EDSA aufgeführten Fallbeispiele summarisch zusammenfassen und einen ersten (stark verkürzten) Überblick geben.

Vorangestellt finden sich die wesentlichen Kontrollfragen, die bei der Einordnung eines Verstoßes herangezogen werden können:

  • Sind besonders sensible oder eine Vielzahl an personenbezogenen Daten einer Person betroffen (Gesundheitsdaten, Bankdaten, Daten von Minderjährigen)?
  • Wie hoch ist das Risiko, dass die Daten missbraucht werden (Phishing, Kreditkartenmissbrauch, Identitätsdiebstahl, Diskreditierung…)?
  • Wie viele Personen sind betroffen?
  • Wie vielen potenziellen Empfängern wurden die Daten offengelegt?
  • Sind Abhilfemaßnahmen zur Eindämmung des Verstoßes (noch) möglich?

Nach Beantwortung der konkreten Kontrollfragen erfolgt die Risikoabwägung und die Bewertung. Dabei gilt das Folgende:

  • Eine Datenschutzverletzung ist unabhängig von etwaigen Meldepflichten immer intern zu dokumentieren.
  • Liegt ein potenzielles Risiko für den Betroffenen vor, ist der Vorfall neben der internen Dokumentation auch der zuständigen Aufsichtsbehörde zu melden.
  • Bei einem hohen Risiko ist neben der internen Dokumentation und Meldung auch eine Benachrichtigung des Betroffenen erforderlich.

Und damit kommen wir auch schon zu den konkreten Fallbeispielen. Wie bereits angekündigt, handelt es sich um einen stark verkürzten Auszug der Fallbeispiele und stellt damit lediglich eine erste Orientierung dar, die letztendlich keine einzelfallbezogene Bewertung entbehrt.