Wie bereits in einem früheren Artikel dargestellt, verpflichtet die Datenschutz-Grundverordnung der Europäischen Union (General Data Protection Regulation – GDPR) die Verantwortlichen, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. In unserem aktuellen Artikel stellen wir eine weitere Verpflichtung des Verantwortlichen dar, wonach er verpflichtet ist, ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten zu führen.
Unter einer Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit zu verstehen, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Eine Verletzung des Schutzes personenbezogener Daten ist es beispielsweise, wenn Massen-E-Mails ohne BCC (Anwendung einer Blindkopie) verschickt werden oder wenn der Arbeitnehmer unberechtigt einen Datenbestand des Arbeitgebers (z. B. Kundenliste, Preisliste) aneignet.
Das Verzeichnis der Verletzungen des Schutzes personenbezogener Daten ist ein durch den Verantwortlichen geführtes Dokument, das – zum Nachweis der Einhaltung der DSGVO-Compliance (Grundsatz der Rechenschaftspflicht) – die eingetretenen Verletzungen des Schutzes personenbezogener Daten sowie die mit diesen zusammenhängenden Fakten, Daten und Umstände festhält. Das Verzeichnis der Verletzungen des Schutzes personenbezogener Daten kann auch die Dokumente enthalten, die für die Begründung der in Verbindung mit der Verletzung des Schutzes personenbezogener Daten gefällten Entscheidungen der Verantwortlichen als Grundlage dienen.
Das Verzeichnis der Verletzungen des Schutzes personenbezogener Daten enthält nicht nur die bei der Nationalen Behörde für Datenschutz und Informationsfreiheit (im Weiteren: Datenschutzbehörde) angemeldeten Verletzungen des Schutzes personenbezogener Daten
Absatz 85 der Präambel der Datenschutz-Grundverordnung hält fest, dass die Verletzung des Schutzes personenbezogener Daten – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen kann, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.
Angesichts dessen muss der Verantwortliche die Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der Datenschutzbehörde melden, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt (Artikel 33 GDPR).
Das Verzeichnis der Verletzungen des Schutzes personenbezogener Daten beinhaltet sinngemäß die unter diese behördliche Meldung fallenden Verletzungen des Schutzes personenbezogener Daten, doch muss der Verantwortlicher auch die nicht der behördlichen Meldung unterliegenden Verletzungen des Schutzes personenbezogener Daten registrieren.
Inhaltliche Anforderungen an das Verzeichnis der Verletzungen des Schutzes personenbezogener Daten
Die GDPR legt die inhaltlichen Mindestanforderungen des Verzeichnisses der Verletzungen des Schutzes personenbezogener Daten fest, wonach der Verantwortliche die mit den Verletzungen des Schutzes personenbezogener Daten verbundenen Fakten registrieren muss (insbesondere sind der Zeitpunkt, der Charakter und die Umstände der Verletzungen des Schutzes personenbezogener Daten, der Kreis der betroffenen Personen bzw. der Charakter der betroffenen Daten aufzuführen). Neben alledem sind die Auswirkungen und Folgen der Verletzungen des Schutzes personenbezogener Daten sowie die ergriffenen Abhilfemaßnahmen festzuhalten.
Es ist zu empfehlen, im Verzeichnis der Verletzungen des Schutzes personenbezogener Daten den Zeitpunkt der Kenntnisnahme von der Verletzung des Schutzes personenbezogener Daten und der Meldung an die Datenschutzbehörde aufzuführen. Es ist auch begründet, festzuhalten, welche Fakten und Umstände als Grundlage für die Entscheidungen des Verantwortlichen im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten dienen.
Formale Anforderungen für das Verzeichnis der Verletzungen des Schutzes personenbezogener Daten
Das Verzeichnis der Verletzungen des Schutzes personenbezogener Daten ist schriftlich, in Papierform oder in einem elektronischen Format (z. B. als .xls-Datei) zu führen. Die GDPR schreibt keine sprachlichen Anforderungen für das Verzeichnis der Verletzungen des Schutzes personenbezogener Daten vor. Wenn die Verwaltung des Verzeichnisses in einer Fremdsprache durch besondere Umstände nicht gerechtfertigt ist, ist es zu empfehlen, das Verzeichnis in ungarischer Sprache zu führen. Des Weiteren ist es empfohlen, im Verzeichnis die mit der Verletzung des Schutzes personenbezogener Daten bzw. dessen behördlicher Meldung verbundenen Dokumente (z. B. Risikoanalyse, Meldung der Verletzung des Schutzes personenbezogener Daten und damit verbundene sonstige Erklärungen) bzw. den Ort ihrer Zugänglichkeit aufzuführen.
Wenn der Verantwortliche seiner Verpflichtung, ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten zu führen, nicht nachkommt, das heißt, der Verantwortliche kein Verzeichnis oder es nicht ordnungsgemäß führt bzw. es auf Anfrage nicht der Datenschutzbehörde zur Verfügung stellt – kann der Verantwortliche mit einer Verwaltungsstrafe belegt werden.
Wenn Sie wissen möchten, ob die Datenverarbeitungspraxis Ihres Unternehmens den Anforderungen der GDPR entspricht, kontaktieren Sie uns und wir überprüfen gern mittels Datenschutzaudit Ihre derzeitige Praxis!