Artikel 33 DS-GVO: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Zusammenfassung:
Artikel 33 regelt, wie und wann ein Verantwortlicher Datenschutzverletzungen an die zuständige Aufsichtsbehörde melden muss.
Kernpunkte:
- Pflicht zur Meldung:
- Bei einer Verletzung des Schutzes personenbezogener Daten (z. B. Datenlecks) muss der Verantwortliche die Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden informieren.
- Ausnahmen: Die Meldung ist nicht erforderlich, wenn die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
- Inhalt der Meldung:
- Beschreibung der Art der Verletzung, einschließlich der betroffenen Datenkategorien und -mengen.
- Angaben zu den verantwortlichen Kontaktstellen.
- Beschreibung der möglichen Folgen der Verletzung.
- Maßnahmen, die zur Behebung oder Schadensbegrenzung ergriffen wurden.
- Nachträgliche Meldung:
- Wenn nicht alle Informationen innerhalb der 72-Stunden-Frist verfügbar sind, kann die Meldung schrittweise erfolgen.
- Dokumentationspflicht:
- Der Verantwortliche muss alle Datenschutzverletzungen dokumentieren, auch wenn sie nicht meldepflichtig sind. Diese Dokumentation dient als Nachweis für die Einhaltung der Vorschriften.
Zweck:
Artikel 33 soll sicherstellen, dass Datenschutzverletzungen zügig erkannt und die Folgen durch Zusammenarbeit mit den Aufsichtsbehörden minimiert werden.