Gemäß der Verordnung 2018/1725 vom 12. Dezember 2018 sind alle EU-Organe und Einrichtungen verpflichtet, bestimmte Arten von Verletzungen des Schutzes personenbezogener Daten dem EDSB zu melden. Jedes EU-Organ muss, sofern dies machbar ist, dies innerhalb von 72 Stunden tun, nachdem es von der Verletzung Kenntnis erlangt hat. Falls ein hohes Risiko besteht, dass die Rechte und Freiheiten natürlicher Personen aufgrund der Verletzung ernsthaft kompromittiert werden könnten, muss das EU-Organ auch die betroffenen Personen ohne unnötige Verzögerung informieren.
Die EU-Organe müssen sicherstellen, dass sie über Präventions- und Aufdeckungsmechanismen für Verletzungen des Schutzes personenbezogener Daten sowie über Untersuchungs- und interne Meldeverfahren verfügen. Sie müssen ferner gewährleisten, dass sie, wenn sie eine Verletzung des Schutzes personenbezogener Daten feststellen, in der Lage sind, wirksam zu reagieren, um die negativen Auswirkungen des Verstoßes auf die Personen, deren Daten kompromittiert wurden, abzumildern. Außerdem müssen sie Aufzeichnungen über alle Verletzungen des Schutzes personenbezogener Daten führen, einschließlich aller Einzelheiten der Verletzung, und zwar unabhängig von der Meldepflicht gegenüber dem EDSB.
Wie sollten die Organe und Einrichtungen der EU auf eine Verletzung des Schutzes personenbezogener Daten reagieren?
Der EDSB hat Leitlinien zur Meldung von Verletzungen des Schutzes personenbezogener Daten für die Organe und Einrichtungen der EU veröffentlicht. Diese enthalten praktische Ratschläge zur Einhaltung der Verordnung. In diesen Leitlinien ist beschrieben, wie Sie vorgehen sollten, um angemessen auf eine Verletzung des Schutzes personenbezogener Daten zu reagieren. Wir empfehlen Ihnen, diese Leitlinien sorgfältig zu lesen, bevor Sie eine Verletzung des Schutzes personenbezogener Daten melden.
Meldung einer Verletzung des Schutzes personenbezogener Daten beim EDSB
Sie können eine Verletzung des Schutzes personenbezogener Daten melden, indem Sie entweder das Online-Formular ausfüllen oder das Formular herunterladen und an folgende E-Mail-Adresse senden: DATA-BREACH-NOTIFICATION@edps.europa.eu.
Die gesamte Kommunikation muss verschlüsselt sein. Daher müssen bei der Übermittlung einer E-Mail über eine Verletzung des Schutzes personenbezogener Daten an die E-Mail-Adresse des EDSB für die Meldung einer Verletzung des Schutzes personenbezogener Daten alle Anhänge verschlüsselt sein (zip) und das Passwort dem EDSB auf anderem Wege (durch Textnachricht oder Telefonanruf) zur Verfügung gestellt werden. Bitte geben Sie in Ihrer E-Mail eine separate Telefonnummer an, über die wir Sie für das Passwort kontaktieren können.
- Falls Sie eine Verletzung des Schutzes personenbezogener Daten über unser Online-Webformular melden möchten, lesen Sie bitte das Benutzerhandbuch.
- Falls Sie das Online-Formular herunterladen möchten, klicken Sie bitte hier.
Falls Ihre ursprüngliche Meldung aus irgendeinem Grund unvollständig war, sollten Sie weitere Informationen übermitteln, sobald diese verfügbar sind. Bitte reichen Sie in diesem Fall ein neues Meldeformular ein, in dem die vom EDSB angegebene Fallreferenznummer angegeben ist.
Falls Sie aktualisierte Meldungen an das Funktionspostfach senden, machen Sie bitte in der Betreffzeile der E-Mail folgende Angaben: [Aktualisierte Meldung einer Verletzung] [Name des EU-Organs/der -Einrichtung] [Fallreferenznummer]
Für die Bearbeitung von Verletzungen des Schutzes personenbezogener Daten bei Europol gemäß den Artikeln 34 und 35 der Verordnung (EU) 2016/794 gelten besondere Vorschriften.
EDSB-ENISA-Konferenz: Hin zu einer Bewertung des Risikos von Verletzungen des Schutzes personenbezogener Daten
Der Europäische Datenschutzbeauftragte und die ENISA veranstalten am 4. April 2019 in Brüssel eine Konferenz zur Meldung von Verletzungen des Schutzes personenbezogener Daten.
Die Konferenz zielt darauf ab, den Aspekt der Bewertung des Risikos von Verletzungen des Schutzes personenbezogener Daten im Rahmen der Datenschutz-Grundverordnung (DSGVO) - (EU) 2016/679 und der Verordnung (EU) 1725/2018 bei der Verarbeitung personenbezogener Daten durch die EU-Organe und -Einrichtungen zu behandeln.
Für weitere Informationen und die Anmeldung folgen Sie bitte diesem Link.