European Data Protection Supervisor
Der Europäische Datenschutzbeauftragte

Verletzung des Schutzes personenbezogener Daten

Verletzung des Schutzes personenbezogener Daten

Ab dem 11. Dezember 2018 sind gemäß der Verordnung (EU) Nr. 1725/2018 alle Organe und Einrichtungen der Europäischen Union verpflichtet, dem EDSB bestimmte Arten von Verletzungen des Schutzes personenbezogener Daten zu melden. Die EU-Organe müssen dies innerhalb von 72 Stunden tun, nachdem sie von der Verletzung Kenntnis erhalten haben. Wenn durch den Verstoß ein hohes Risiko einer Beeinträchtigung der Rechte und Freiheiten des Einzelnen verbunden ist, muss die EU-Institution auch die betroffenen Personen ohne unnötige Verzögerung davon in Kenntnis setzen.

Die EU-Institutionen müssen sicherstellen, dass sie über Präventions- und Nachweismechanismen für Verletzungen des Schutzes personenbezogener Daten sowie über Untersuchungs- und interne Meldeverfahren verfügen. Sie müssen außerdem sicherstellen, dass sie bei der Feststellung einer Verletzung des Schutzes personenbezogener Daten wirksam reagieren können, um die negativen Auswirkungen der Verletzung auf die Personen, deren Daten beeinträchtigt wurden, zu mindern. Sie müssen auch Aufzeichnungen über alle Verletzungen des Schutzes personenbezogener Daten führen, einschließlich aller Einzelheiten zu dem Verstoß, unabhängig von etwaigen Meldepflichten gegenüber dem EDSB.

Wie sollten die Organe und Einrichtungen der EU auf eine Verletzung des Schutzes personenbezogener Daten reagieren?

Der EDSB hat Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten für die Organe und Einrichtungen der EU veröffentlicht. Diese geben praktische Ratschläge zur Einhaltung der Verordnung. In den Leitlinien wird das Konzept dargelegt, das Sie anwenden sollten, um angemessen auf eine Verletzung des Schutzes personenbezogener Daten zu reagieren. Wir raten Ihnen, diese Leitlinien sorgfältig durchzulesen, bevor Sie eine Verletzung des Schutzes personenbezogener Daten mitteilen.

Meldung einer Verletzung des Schutzes personenbezogener Daten beim EDSB

Sie können eine Verletzung des Schutzes personenbezogener Daten melden, indem Sie das Online-Formular ausfüllen oder das Formular herunterladen und an die folgende E-Mail-Adresse senden:  DATA-BREACH-NOTIFICATION@edps.europa.eu.

Die gesamte Kommunikation muss verschlüsselt werden. Wenn also eine E-Mail über eine Verletzung des Schutzes personenbezogener Daten an die E-Mail-Adresse des EDSB gesendet wird, müssen sämtliche Anhänge verschlüsselt werden (z.B. als zip-Archiv) und das Kennwort dem EDSB auf einem anderen Weg (per SMS oder Telefon) mitgeteilt werden. Bitte geben Sie in Ihrer E-Mail eine gesonderte Telefonnummer an, die der EDSB verwenden können, um das Passwort zu erfragen.

Sollte Ihre Erstmeldung aus irgendeinem Grund unvollständig sein, sollten Sie weitere Informationen übermitteln, sobald sie verfügbar sind. In diesem Fall senden Sie bitte ein neues Anmeldeformular unter Angabe der Fallnummer, die nach Ihrer ersten Meldung mitgeteilt wurde.