Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 05/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
13. September 2023

Datenschutzpannen: Neue Leitlinien des EDSA

DP+
Nicht jeder IT-Sicherheitsvorfall ist eine Verletzung des Schutzes personenbezogener Daten. Aber jede Verletzung des Schutzes personenbezogener Daten ist ein Sicherheitsvorfall.
Bild: iStock.com / GOCMEN
0,00 (0)
drucken
Organisations- und Dokumentationspflichten
Die Verletzung des Schutzes personenbezogener Daten sowie die Melde- und Benachrichtigungspflichten sind ein wiederkehrendes Thema in der Praxis. Der EDSA hat dazu aktualisierte „Guidelines“ veröffentlicht. Auch wenn nicht alles neu ist, sind einzelne Aspekte hervorzuheben.
Die Datenschutz-Grundverordnung (DSGVO) ist davon geprägt, dass der Verarbeiter personenbezogener Daten das Risiko, das von der Verarbeitung ausgeht, zum Schutz der betroffenen Personen zu beherrschen hat („Datenschutzrechtliche Verkehrssicherungspflicht“, siehe Eckhardt, Datenschutz PRAXIS 08/2023, S. 14). Das betont auch der Europäische Datenschutzausschuss (EDSA) in seinen Leitlinien zur Meldung von Verletzungen des Schutzes personenbezogener Daten (Guidelines 9/2022 on personal data breach notification under GDPR – Version 2.0, veröffentlicht am 26.03.2023, bisher nur auf Englisch abrufbar unter https://ogy.de/edsa-guidelines-92022).

Die Pflicht, „Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen“ zu dokumentieren (Art. 33 Abs. 5 DSGVO), komplettiert diese „Verkehrssicherungspflicht“ – auch für den Fall, dass das Ergebnis „kein Risiko“ lautet.

Diese Dokumentationspflicht stellt der EDSA in den Kontext der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und der Organisationspflicht nach Art. 24 DSGVO (Guidelines 9/2022, Rn 122).

Pflicht, die Einhaltung von Art. 33, 34 DSGVO zu organisieren

Der EDSA postuliert in den Guidelines weitere Organisationspflichten, die sich dem Wortlaut von Art. 33 (Meldung an Aufsichtsbehörde) und Art. 34 DSGVO ­(Benachrichtigung der Betroffenen) selbst nicht ausdrücklich entnehmen lassen:

  • Der EDSA fordert, dass der Verantwortliche…
Dr. Jens Eckhardt
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Jetzt testen

Sie sind bereits Abonnentin oder Abonnent? Dann melden Sie sich bitte hier an.

zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
Rechenschaftspflicht
drucken
Verfasst von
Jens Eckhardt
Dr. Jens Eckhardt
Dr. Jens Eckhardt ist Rechtsanwalt und Fachanwalt für IT-Recht, Datenschutz-Auditor (TÜV) und Compliance Officer (TÜV) bei Derra, Meyer & Partner Rechtsanwälte in Düsseldorf.
Verwandte Beiträge
07. Februar 2024
DP+
Was bedeutet die Rechen­schaftspflicht der DSGVO?
Bild: iStock.com / Dacian_G

Was bedeutet die Rechen­schaftspflicht der DSGVO?

Ratgeber
Rechenschaftspflicht
09. Januar 2024
Die Schwelle für einen erlittenen Schaden setzte der EuGH denkbar niedrig an
Bild: iStock.com / AndreyPopov

Hackerangriff: Ist das Opfer zum Schadensersatz verpflichtet?

Urteil
Cybersicherheit Rechenschaftspflicht Urteil
06. Oktober 2023
Neue Mitarbeiter − was ist aus Datenschutzsicht zu regeln?
Bild: iStociStock.com / AntonioGuillem

Neue Mitarbeiter − was ist aus Datenschutzsicht zu regeln?

Ratgeber
Rechenschaftspflicht
20. Juni 2023
Die Löschung von Daten müssen Verantwortliche auch nachweisen können
Bild: iStock.com / Invincible_Bulldog

So lässt sich die Löschung von Daten dokumentieren

Ratgeber
Rechenschaftspflicht
30. April 2023
Ein Datenschutzmanagementsystem hilft dabei, die Rechenschaftspflicht zu erfüllen
Bild: xpoint / iStock / Thinkstock

DSGVO: Anforderungen an ein Datenschutzmanagementsystem

Ratgeber
Rechenschaftspflicht
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.