Datenschutzverletzung (Datenpanne)
§ 31 Absatz 1 Satz 1 DSG-EKD: Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich zu einem nicht unerheblichen Risiko für die Rechte natürlicher Personen führt, meldet die verantwortliche Stelle dies unverzüglich der Aufsichtsbehörde.
Sollten Sie feststellen, dass Dritte in das Netzwerk eingedrungen sind, Daten an Unberechtigte übermittelt wurden oder Daten abhandengekommen sind, müssen Sie umgehend die folgenden Schritte vornehmen:
- Sie informieren den örtlich Beauftragten für Datenschutz per Email (kkrm@datenschutzbuero.hamburg). Bitte tragen Sie im Betreff “Datenschutzverletzung” ein. Bitte fügen Sie der Email, sofern möglich, die folgenden Informationen hinzu:
- Welcher Art ist die Verletzung?
- Wie sensibel sind die Daten aus Ihrer Sicht?
- Wurden sensible Daten verarbeitet (Gesundheitsdaten, religiöse Daten, Informationen zur Sexualität, Daten von Kindern, etc.)?
- Wie viele Personen sind von der Datenschutzverletzung betroffen?
- Unter welcher Telefonnummer können wir Sie kurzfristig kontaktieren?
- Bitte informieren Sie auch die Verwaltungsleitung.
Bitte beachten Sie, dass auch vermeintlich harmlose Sachverhalte eine Datenschutzverletzung darstellen können. Beispiele für Datenschutzverletzungen:
- Das Verlieren von IT-Geräten oder Datenspeichern.
- Das Verlieren von Unterlagen.
- Das Setzen falscher Berechtigungen in IT-Systemen.
- Die Bekanntgabe von Email-Adressen durch den Versand an eine große Zahl von Empfängern (cc:).
- Der Versand von Emails an falsche Empfänger.
- Die versehentliche Veröffentlichung von Informationen.
- Die Herausgabe von Auskunftsansprüchen an unberechtigte Personen.
- …
Der örtlich Beauftragte für Datenschutz wird den gemeldeten Sachverhalt beurteilen und die weiteren Maßnahmen koordinieren.