Vergessen Sie nicht, Ihre Verfahrensanweisungen anzupassen!

Im September 2019 hat die Nationale Datenschutzkommission (Commission Nationale pour la Protection des Données, „CNPD) ihr Benachrichtigungsformular für Datenschutzverletzungen aktualisiert, um die Arbeit von Datenschutzkontrolleuren zu erleichtern.

Das Formular kann hier heruntergeladen werden und ist an databreach@cnpd.lu zu senden.

Sie können den public GPG key zur Verschlüsselung verwenden, um eine sichere Übertragung zu gewährleisten (erhältlich über den Link oder die Homepage der CNPD).

Im Falle einer Schutzverletzung von persönlichen Daten, muss der Datenschutzkontrolleur des betreffenden Unternehmens die CNPD hiervon innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls unterrichten. Sofern die Datenschutzverletzung möglicherweise die Rechte und Freiheiten der betreffenden Person beeinträchtigt, muss diese ebenfalls so bald wie möglich davon in Kenntnis gesetzt werden.

Menschliches Versagen

Wussten Sie, dass laut CNPD-Jahresbericht 2018 in 57% der Fälle von Datenschutzverletzungen die Hauptursache in menschlichem Versagen liegt? Menschliches Versagen tritt meist dann auf, wenn bestehende Verfahrensanweisungen nicht befolgt werden; wenn eine bestehende Sicherheitsregelung umgangen wird; wenn das Personal nicht ausreichend auf die anzuwendenden Vertraulichkeitsregeln hingewiesen wurde; oder im Falle von Nachlässigkeit im Anschluss an ein Fehlverhalten. Je nach Kontext hätten viele Vorfälle durch das Implementieren eines Überwachungsmechanismus vor der Datenübertragung verhindert werden können.

Quelle: CNPD-Jahresbericht 2018

Daher ist es von essentieller Bedeutung, Ihr Personal zu sensibilisieren und zu schulen sowie Verfahrensanweisungen zu erlassen und zu befolgen, für den Fall, dass sich Datenschutzverletzungen ereignen; dann muss eindeutig klar sein, wie zu reagieren ist und wer intern die Verantwortung für die Aufarbeitung der Datenschutzverletzung trägt, insbesondere um Fristenverletzungen zu vermeiden.

Register von Datenschutzverletzungen

Sämtliche Datenschutzverletzungen müssen vom Datenschutzkontrolleur dokumentiert werden, unbeachtlich des tatsächlich entstandenen Risikos für die Rechten und Freiheiten der betroffenen Personen. Dies sollte peinlichst genau beachtet werden, da dies im Falle einer Überwachung seitens der CNPD  einfach nachprüfbar ist.

Übersicht: Was ist eine Datenschutzverletzung?

Eine Verletzung des Schutzes personenbezogener Daten ist ein unbeabsichtigter oder unwissentlicher Sicherheitsverstoß, der zur Zerstörung, zum Verlust, zur Veränderung oder zur unerlaubten Weitergabe von personenbezogenen Daten führt, wenn diese anders als vom Datensubjekt autorisiert übertragen, gespeichert oder verarbeitet werden oder unerlaubter Zugang zu ihnen gewährt wird.

Datenschutzverletzungen können gemäß dreier bekannter Informationssicherheitsprinzipien kategorisiert werden:

  • Vertraulichkeitsverletzung: unautorisierte oder unbeabsichtigte Zugänglichmachung von personenbezogenen Daten;
  • Zugänglichkeitsverletzung: unautorisierte/r oder unbeabsichtigte/r Verlust oder Zerstörung von personenbezogenen Daten; und
  • Integritätsverletzung: unautorisierte oder unbeabsichtigte Veränderung von personenbezogenen Daten.

Je nach Umständen, kann eine Datenschutzverletzung in mehrere oder sämtliche dieser drei Kategorien gleichzeitig fallen.

CNPD-Homepage

Unser Digital-Team steht Ihnen mit Rat und Tat bei der Aktualisierung Ihrer DSGVO-Verfahrensanweisungen zur Verfügung.