Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/26

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
13. September 2023

Datenschutzpannen: Neue Leitlinien des EDSA

DP+
Nicht jeder IT-Sicherheitsvorfall ist eine Verletzung des Schutzes personenbezogener Daten. Aber jede Verletzung des Schutzes personenbezogener Daten ist ein Sicherheitsvorfall.
Bild: iStock.com / GOCMEN
0,00 (0)
drucken
Organisations- und Dokumentationspflichten
Die Verletzung des Schutzes personenbezogener Daten sowie die Melde- und Benachrichtigungspflichten sind ein wiederkehrendes Thema in der Praxis. Der EDSA hat dazu aktualisierte „Guidelines“ veröffentlicht. Auch wenn nicht alles neu ist, sind einzelne Aspekte hervorzuheben.
Die Datenschutz-Grundverordnung (DSGVO) ist davon geprägt, dass der Verarbeiter personenbezogener Daten das Risiko, das von der Verarbeitung ausgeht, zum Schutz der betroffenen Personen zu beherrschen hat („Datenschutzrechtliche Verkehrssicherungspflicht“, siehe Eckhardt, Datenschutz PRAXIS 08/2023, S. 14). Das betont auch der Europäische Datenschutzausschuss (EDSA) in seinen Leitlinien zur Meldung von Verletzungen des Schutzes personenbezogener Daten (Guidelines 9/2022 on personal data breach notification under GDPR – Version 2.0, veröffentlicht am 26.03.2023, bisher nur auf Englisch abrufbar unter https://ogy.de/edsa-guidelines-92022).

Die Pflicht, „Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen“ zu dokumentieren (Art. 33 Abs. 5 DSGVO), komplettiert diese „Verkehrssicherungspflicht“ – auch für den Fall, dass das Ergebnis „kein Risiko“ lautet.

Diese Dokumentationspflicht stellt der EDSA in den Kontext der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und der Organisationspflicht nach Art. 24 DSGVO (Guidelines 9/2022, Rn 122).

Pflicht, die Einhaltung von Art. 33, 34 DSGVO zu organisieren

Der EDSA postuliert in den Guidelines weitere Organisationspflichten, die sich dem Wortlaut von Art. 33 (Meldung an Aufsichtsbehörde) und Art. 34 DSGVO ­(Benachrichtigung der Betroffenen) selbst nicht ausdrücklich entnehmen lassen:

  • Der EDSA fordert, dass der Verantwortliche…
Dr. Jens Eckhardt
+

Weiterlesen mit Abo

Basic 299 € pro Jahr

1 Online-Zugang
12 PDF-Ausgaben pro Jahr inklusive
Zugriff auf alle Ausgaben und DP+ Arbeitshilfen

Perfekt für alle internen oder externen Datenschutzbeauftragten und Datenschutzkoordinatoren, die im Homeoffice oder mobil arbeiten.

Jetzt testen
Pro 333,95 € pro Jahr
TOP SELLER

1 Online-Zugang
12 Hefte + 12 PDF-Ausgaben pro Jahr inkl. Versand
Zugriff auf alle Ausgaben und DP+ Arbeitshilfen

Perfekt für alle internen oder externen Datenschutzbeauftragten und Datenschutzkoordinatoren, die im Homeoffice oder mobil arbeiten.

Jetzt testen
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Rechenschaftspflicht
drucken
Verfasst von
Jens Eckhardt
Dr. Jens Eckhardt
Dr. Jens Eckhardt ist Rechtsanwalt sowie Fachanwalt für IT-Recht, Datenschutz-Auditor (TÜV) und IT-Compliance Manager (TÜV) bei Eckhardt Rechtsanwälte Partnerschaft mbB.
Verwandte Beiträge
09. Oktober 2024
DP+
Auskunftsrecht bei pseudonymisierten Daten: Hier symbolisiert durch den Scan eines Fingerabdrucks umgeben von Schriftzügen wie Personal Data, Name und Identity Card Number
Bild: iStock/Vertigo3d

Pseudonyme Daten und das Auskunftsrecht

Ratgeber
Checklisten Muster Vorlagen Rechenschaftspflicht
08. Oktober 2024
DP+
Der Auskunftsanspruch gemäß DSGVO stellt Unternehmen und Organisationen vor Herausforderungen. Eine davon: Nur die betroffene Person selbst darf die angefragten Informationen erhalten.
Bild: iStock.com/kukhunthod

Auskunftsersuchen: So lassen sich Fehler vermeiden

Ratgeber
Rechenschaftspflicht
07. Februar 2024
DP+
Was bedeutet die Rechen­schaftspflicht der DSGVO?
Bild: iStock.com / Dacian_G

Was bedeutet die Rechen­schaftspflicht der DSGVO?

Ratgeber
Rechenschaftspflicht
09. Januar 2024
Die Schwelle für einen erlittenen Schaden setzte der EuGH denkbar niedrig an
Bild: iStock.com / AndreyPopov

Hackerangriff: Ist das Opfer zum Schadensersatz verpflichtet?

Urteil
Cybersicherheit Rechenschaftspflicht Urteil
06. Oktober 2023
Neue Mitarbeiter − was ist aus Datenschutzsicht zu regeln?
Bild: iStociStock.com / AntonioGuillem

Neue Mitarbeiter − was ist aus Datenschutzsicht zu regeln?

Ratgeber
Rechenschaftspflicht
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.