Das Vorgehen bei Datenschutzverletzungen ist in Artikel 33 DSGVO und den Erwägungsgründen 85, 87 und 88 genau beschrieben.
Bei einer Reihe von Datenschutzverletzungen muß auch die Datenschutz-Aufsicht innerhalb von 72 Stunden nach Kenntnis des Vorfalls informiert werden.
In Artikel 34 DSGVO werden den Verantwortlichen eine Reihe von Informationspflichten auferlegt, wie z.B. informieren der Betroffenen und falls das nicht geht, die Informationen über eine öffentliche Bekanntmachung. Das ist in der Regel eine gut sichtbare Anzeige in 2 überregionalen Tageszeitungen.
Aber was sind denn nun Datenschutzverletzungen in der Praxis?
Dazu ein paar Beispiele:
- Der Verlust eines mobilen, unverschlüsselten Datenträgers wie USB-Stick, Smartphone, Tablet, Laptop o.ä.
- Eine Weitergabe personenbezogener Daten an Dritte ohne Zustimmung des Betroffenen
- Verlust von personenbezogenen Daten durch verloren gegangene Briefe (Post) oder Unterlagen (z.B. beim Homeoffice hat der Hund die Unterlage gefressen...)
- Einsicht in personenbezogene Daten an Unbefugte durch falsche Rechte im Netzwerk
- Das Abhandenkommen eines Schlüssels (Passwort, Token etc.) zur Entschlüsselung von Daten oder für Zugänge zu Systemen
- Verlust eines klassischen Generalschlüssels oder eines Schlüssels der Zugang zu kritischen Bereichen ermöglicht, in denen personenbezogenen Daten aufbewahrt werden (IT-Serverraum, Zugang Personalwesen, Buchhaltung etc.)
- Unbeabsichtigte Löschung von Betroffenen-Daten die nicht wiederhergestellt werden können
- Unverschlüsselte Versendung von Personaldaten (z.B. Organisationsdiagramm) oder auch Kontodaten
- Fehlerhafte Versendung von Daten
- Verlust von Postsendungen
Die obige Auflistung ist nicht vollständig sondern soll zeigen, wie breit gefächert das Feld ist.