EDSA-Leitlinien: Mit Datenpannen richtig umgehen

Zu den Aufgaben des EDSA gehört es u.a., Leitlinien bereitzustellen, um eine einheitliche Anwendung der Datenschutz-Grundverordnung (DSGVO) sicherzustellen. Die „Guidelines 01/2021 on Examples regarding Data Breach Notification“, also zur Meldepflicht bei Datenpannen, vom Januar 2021 schreiben bisherige Leitlinien der Artikel-29-Gruppe fort und ergänzen sie.

Leider ist der vollständige Text bisher nur in englischer Sprache verfügbar unter https://ogy.de/guidelines-examples-data-breach.

Aufbau der EDSA-Leitlinien

Die Leitlinien orientieren sich an neueren Einzelfallbeispielen aus den Erfahrungen der Aufsichtsbehörden. Der EDSA teilt die Datenpannen in sechs Kategorien ein:

• Ransomware
• Angriffe mit Datenverlusten
• Mitarbeiterfehler bzw. -fehlverhalten
• verlorene/gestohlene Geräte bzw. Papierdokumente
• Fehlversand von Post bzw. E-Mail
• Social Engineering

Datenpannen erkennen und Gegenmaßnahmen einleiten

Diese Datenpannen-Kategorien erläutert die Leitlinie anschaulich mit konkreten Fallbeispielen. Zu jedem Fallbeispiel gibt der EDSA Hinweise, wie sich eine solche Datenpanne im Vorfeld hätte verhindern lassen.

Außerdem führen die Leitlinien auf, was Verantwortliche im konkreten Einzelfall tun müssen, um ihren Verpflichtungen nach Art. 33 und 34 DSGVO nachzukommen und wie sie Schadensrisiken für die betroffenen Personen minimieren.

Zu jedem Einzelfall legen die Leitlinien dar, ob eine Meldung an die Aufsichtsbehörde und eine Information der betroffenen Personen notwendig sind.

Zu jeder Kategorie von Datenpanne…

Andrea Gailus