Die für die Verarbeitung Verantwortlichen müssen Verletzungen personenbezogener Daten innerhalb von 72 Stunden nach Kenntnisnahme der CNPD melden, wenn die betreffende Verletzung wahrscheinlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.
1. Was ist eine Verletzung des Schutzes personenbezogener Daten?
Eine Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt.
Verletzungen können nach den drei bekannten Prinzipien der Informationssicherheit kategorisiert werden:
- Verletzung der Vertraulichkeit: im Falle einer unbefugten oder zufälligen Offenlegung oder eines unbefugten oder zufälligen Zugangs zu personenbezogenen Daten ;
- Verletzung der Verfügbarkeit: im Falle des zufälligen oder unbefugten Verlusts oder der Zerstörung von personenbezogenen Daten ;
- Verletzung der Integrität: im Falle einer versehentlichen oder unbefugten Änderung personenbezogener Daten ;
Je nach den Umständen kann eine Verletzung des Schutzes, die Integrität und die Verfügbarkeit zur gleichen Zeit betreffen, sowie jede Kombination dieser drei Prinzipien.
Erwägungsgrund 85 der DSGVO:
„Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.“
2. Was muss ich machen, wenn eine Verletzung des Schutzes stattgefungen hat?
Der Verantwortliche muss feststellen, ob die Datenverletzung ein Risiko für die betroffenen Einzelpersonen darstellt. Der für die Verarbeitung Verantwortliche kann seine Antworten auf die im Meldeformular verlangten Informationen als Grundlage für die Feststellung verwenden, ob die Verletzung ein Risiko für die betroffenen Personen darstellt.
3. Wann und wie muss ich die Nationale Datenschutzkommission benachrichtigen?
Wenn die Datenverletzung ein Risiko für Einzelpersonen darstellt, ist eine Meldung der Datenverletzung an die nationale Kommission erforderlich.
Für die Meldung kann das beigefügte Formular verwendet werden.
Die Meldung muss zumindest:
- die Art der Verletzung des Schutzes personenbezogener Daten beschreiben, einschließlich, wenn möglich, der Kategorien und der ungefähren Anzahl der von der Verletzung betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen Datensätze personenbezogener Daten;
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können, übermitteln;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten beinhalten;
- eine Beschreibung der Maßnahmen, die zur Behebung der Verletzung des Schutzes personenbezogener Daten ergriffen wurden oder die der für die Verarbeitung Verantwortliche vorschlägt zu ergreifen, gegebenenfalls einschließlich der Maßnahmen zur Abschwächung der möglichen negativen Folgen, beinhalten.
Die Benachrichtigung über die Verletzung kann an die E-Mail-Adresse databreach@cnpd.lu gesendet werden. Sie können den öffentlichen Schlüssel gpg, der hier heruntergeladen werden kann, verwenden, um die Übertragung der Informationen durch Verschlüsselung zu sichern.
4. Wann und wie muss ich die von der Verletzung betroffenen Personen informieren?
Wenn die Verletzung personenbezogener Daten wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person mit sich bringt, muss der für die Verarbeitung Verantwortliche die Verletzung personenbezogener Daten der betroffenen Person so schnell wie möglich mitteilen.
Die Mitteilung an die betroffene Person muss in klaren und einfachen Worten die Art der Verletzung personenbezogener Daten beschreiben und enthält mindestens:
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der Maßnahmen, die zur Behebung der Verletzung des Schutzes personenbezogener Daten ergriffen wurden oder die der für die Verarbeitung Verantwortliche vorschlägt zu ergreifen, gegebenenfalls einschließlich der Maßnahmen zur Abmilderung der möglichen negativen Folgen.
Das Kommunikationsmittel, das zur Kontaktaufnahme mit den betroffenen Personen verwendet wird, muss effektiv sein, d. h. es muss sichergestellt werden, dass die betroffenen Personen die mitgeteilten Informationen mit hoher Wahrscheinlichkeit erhalten. Falls erforderlich, kann eine öffentliche Kommunikation verlangt werden.
5. Das Führen eines Verzeichnisses von Verletzungen des Schutzes
Der für die Verarbeitung Verantwortliche muss jede Verletzung personenbezogener Daten dokumentieren und dabei die Fakten über die Verletzung personenbezogener Daten, ihre Auswirkungen und die zur Behebung der Verletzung ergriffenen Maßnahmen angeben (auch solche, die der CNPD nicht zu melden sind).
Die Nationale Datenschutzkommission kann Zugang zu dieser Dokumentation verlangen, um zu überprüfen, ob der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter seinen Verpflichtungen im Zusammenhang mit dem Umgang mit Datenverletzungen nachgekommen ist.
6. Was wird die nationale Datenschutzkommission nach Erhalt der Meldung unternehmen?
Nach Erhalt der Benachrichtigung wird die nationale Datenschutzkommission:
- Eine elektronische Empfangsbestätigung senden (an die gleiche Adresse, von der sie gesendet wurde) ;
- Die Meldung überprüfen und gegebenenfalls den für die Verarbeitung Verantwortlichen kontaktieren, um die Echtheit der Meldung zu überprüfen;
- Je nach den Umständen bei Fragen auf den für die Verarbeitung Verantwortlichen zurückkommen - darunter insbesondere die Frage, ob die betroffenen Personen kontaktiert werden müssen oder nicht.
Die Bearbeitung der Meldung durch die Nationale Datenschutzkommission wird sich stark darauf konzentrieren, wie der für die Verarbeitung Verantwortliche mit dem Vorfall umgeht und gegebenenfalls die betroffenen Personen kontaktiert.
7. Die Verantwortlichkeiten von Auftragsverarbeitern
Die Auftragsverarbeiter sind dafür verantwortlich, organisatorische und technische Maßnahmen zu ergreifen, um in der Lage zu sein, den/die für die Verarbeitung Verantwortlichen so schnell wie möglich über einen Vorfall mit personenbezogenen Daten zu informieren, damit der/die für die Verarbeitung Verantwortliche die Meldefrist von 72 Stunden nach Feststellung des Vorfalls einhalten kann.
8. Was tun nach der Handhabung der Verletzung des Schutzes personenbezogener Daten?
Es ist wichtig, dass ein Unternehmen die organisatorischen und technischen Sicherheitsmaßnahmen an seine Verarbeitungen anpasst, um zu verhindern, dass sich die gleiche Art von Verletzung wiederholt.
9. Vertraulichkeit der Verletzung
Es liegt nicht im Zuständigkeitsbereich der Nationalen Datenschutzkommission, eine Datenverletzung öffentlich zu machen. Ein für die Verarbeitung Verantwortlicher kann jedoch durch seine eigene Entscheidung oder auf Antrag der CNPD dazu verpflichtet werden, öffentlich über eine Datenverletzung zu berichten, wenn diese Auswirkungen auf die Privatsphäre, die Rechte und Freiheiten der betroffenen Personen haben kann und die betroffenen Personen nicht auf andere Weise wirksam kontaktiert werden können.