Schweregrad der Datenpanne

Wie wird der Schweregrad von Datenschutzverletzungen im Rahmen der Datenschutz-Grundverordnung berechnet?

Die Berechnung ist nicht ganz einfach und hängt von der Regulierungsbehörde ab. Die Regulierungsbehörde wird einige Punkte berücksichtigen:

UNSER KOSTENLOSES EBOOK HERUNTERLADEN

  • Art des Verstoßes. Ob der Verstoß die Weitergabe von personenbezogenen Daten (a "Verletzung der Vertraulichkeit"), Verlust des Zugangs zu oder Zerstörung von personenbezogenen Daten (ein "Verletzung der Verfügbarkeit"), und/oder die Änderung personenbezogener Daten (ein "Integritätsverletzung") können das Risiko für die betroffenen Personen beeinflussen.
  • Art, Sensibilität und Umfang der personenbezogenen Daten. In den Leitlinien heißt es, dass Verletzungen sensibler personenbezogener Daten - einschließlich "besonderer Kategorien" von Daten über die rassische oder ethnische Herkunft, die politische Meinung, die Sexualität, religiöse oder philosophische Überzeugungen, die Mitgliedschaft in einer Gewerkschaft, Gesundheits- oder genetische Daten oder strafrechtliche Verurteilungen sowie andere sensible Daten wie Ausweispapiere oder Finanzdaten - eher ein hohes Risiko darstellen. Verstöße, die eine Kombination personenbezogener Daten betreffen, sind in der Regel risikoreicher als Verstöße, die nur einen einzigen (nicht sensiblen) personenbezogenen Datenbestand betreffen.
  • Die Schwere der Folgen für den Einzelnen. Die Leitlinien verweisen auf IdentitätsdiebstahlAls besonders schwerwiegende mögliche Folgen werden Betrug, körperliche Schäden, psychische Leiden, Demütigung und Rufschädigung genannt. Auch die Dauer etwaiger Folgen und - im Falle einer Verletzung der Vertraulichkeit - die Vertrauenswürdigkeit oder die Böswilligkeit des unbefugten Empfängers personenbezogener Daten sind Faktoren, die zu berücksichtigen sind.
  • Anzahl und Merkmale der betroffenen Personen. In den Leitlinien wird darauf hingewiesen, dass die Auswirkungen der Sicherheitsverletzung wahrscheinlich größer sind, wenn eine größere Anzahl von Personen betroffen ist. Verstöße, die Kinder oder andere schutzbedürftige Personen betreffen, können ein höheres Risiko darstellen als solche, bei denen dies nicht der Fall ist.
  • Leichte Identifizierung von Personen der betroffenen personenbezogenen Daten, einschließlich der Frage, ob die Daten pseudonym sind.

Schwere der Datenschutzverletzung Wie berechnet die Aufsichtsbehörde die Schwere 1

Was sollten Sie bei der Schwere von Datenschutzverletzungen tun?

Das Wichtigste ist jedoch zu zeigen, dass Ihr Unternehmen sein Bestes gegeben hat:

  • Haben Sie die Aufsichtsbehörde für Datenschutzverletzungen 72 Stunden nach Bekanntwerden der Verletzung benachrichtigt?
  • Haben Sie die Datenschutzverletzung?
  • Arbeiten Sie mit "Data Privacy by Design" und Datenschutz standardmäßig?
  • Haben Sie eine DPIA durchgeführt?

Meldung von Datenschutzverletzungen nach der DSGVO - 10 häufig gestellte Fragen