Salta al contenuto
DATENPANNE

Bist du bereit für eine Datenpanne?

Neun Prüfpunkte zu Verfahren, Verzeichnis, Rollen und Verträgen, um zu sehen, wie gut du auf die Pflichten der Art. 33-34 DSGVO vorbereitet bist — bevor eine Verletzung passiert.

Caricamento…

Gut zu wissen

Datenpannen-Bereitschaft: kannst du in 72 Stunden reagieren?

Eine Datenpanne — die Sicherheitsverletzung, die zu Vernichtung, Verlust, Offenlegung oder unbefugtem Zugriff auf personenbezogene Daten führt — ist keine Frage des „ob“, sondern des „wann“. Die DSGVO setzt enge Fristen: die Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden (Art. 33) und, bei hohem Risiko für die Rechte der Betroffenen, die unverzügliche Benachrichtigung der betroffenen Personen (Art. 34). Wer nicht vorbereitet ist, merkt gerade im schlimmsten Moment, dass er diese Fristen nicht einhalten kann.

Dieses Tool prüft deine Bereitschaft an neun Punkten: dokumentiertes Verfahren, Erkennungsfähigkeit, Verzeichnis der Verletzungen (Art. 33.5), Risikobewertung, Meldekette, Rollen und Eskalation, Umgang mit Dienstleistern (Art. 28 und 33.2), Schulung und Notfallkontakte. Anders als ein Triage-Tool, das nach einem Vorfall genutzt wird, misst dieses die präventive Readiness. Den Bericht mit deinem Bereitschaftsgrad erhältst du als PDF per E-Mail.

Häufige Fragen zu Datenpannen

Was ist eine Datenpanne nach der DSGVO?

Eine Sicherheitsverletzung, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur Offenlegung von oder zum unbefugten Zugriff auf personenbezogene Daten führt (Art. 4 Nr. 12 DSGVO). Dazu zählen Cyberangriffe, aber auch menschliche Fehler, verlorene Geräte und Fehlversände.

Innerhalb welcher Frist muss eine Datenpanne gemeldet werden?

Die Meldung an die Aufsichtsbehörde erfolgt unverzüglich und möglichst binnen 72 Stunden ab Kenntnis der Verletzung (Art. 33). Erfolgt die Meldung später, ist die Verzögerung zu begründen.

Muss jede Datenpanne der Behörde gemeldet werden?

Nein. Eine Meldung ist geschuldet, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Personen. Jede Verletzung ist dennoch zu bewerten und im internen Verletzungsverzeichnis (Art. 33.5) zu dokumentieren, auch wenn nicht gemeldet wird.

Wann sind die Betroffenen zu informieren?

Wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, sind diese unverzüglich in klarer Sprache zu informieren (Art. 34), es sei denn, es wurden Maßnahmen getroffen, die die Daten unkenntlich machen, etwa Verschlüsselung.

Was braucht man für die Bereitschaft auf eine Datenpanne?

Ein schriftliches Verfahren, klare Rollen und Verantwortlichkeiten, die Fähigkeit, den Vorfall zu erkennen und zu dokumentieren, ein Modell zur Risikobewertung, die Kontakte von Behörde und DSB, Vereinbarungen mit Dienstleistern (Art. 28) und regelmäßige Mitarbeiterschulung.