Spanische Datenschutzbehörde veröffentlicht Richtlinien für die Meldung von Sicherheitsverletzungen nach DSGVO

Die Agencia Española de Protección de Datos (AEPD) stellte Leitlinien für das Management und die Meldung von Sicherheitsverletzungen in Übereinstimmung mit GDPR vor.

Die Leitlinien bieten Unternehmen präventive Empfehlungen und einen Aktionsplan, damit sie wissen, wie sie Sicherheitsverletzungen verhindern und im Falle eines Falles vorgehen können.

Seit dem 25. Mai, dem Datum der Durchsetzbarkeit der GDPR, ist es zwingend erforderlich, die DPA über Sicherheitsverletzungen zu informieren, die personenbezogene Daten betreffen und ein Risiko darstellen, und es werden Fristen für solche Mitteilungen festgelegt.

Darüber hinaus ist es bei einem hohen Risiko für die Rechte und Freiheiten der betroffenen Person auch zwingend erforderlich, diejenigen zu informieren, deren Daten möglicherweise betroffen sind.

Die spanische DPA (AEPD) präsentierte das Dokument, das in Zusammenarbeit mit dem National Cryptological Center (CCN) und dem National Center for Cybersecurity (INCIBE) erstellt wurde. 

Die GDPR definiert Sicherheitsverletzungen personenbezogener Daten als Vorfälle, die zur Vernichtung, zum Verlust oder zur zufälligen oder rechtswidrigen Änderung personenbezogener Daten sowie zu deren Kommunikation oder zum unbefugten Zugriff auf diese führen.

Vor der Anwendung der GDPR war die Verpflichtung zur Meldung von Sicherheitsverletzungen, die sich auf personenbezogene Daten auswirken könnten, ausschließlich auf Betreiber von elektronischen Kommunikationsdiensten und vertrauenswürdige Dienstleister beschränkt. Seit dem 25. Mai gilt diese Verpflichtung für jeden Datenverantwortlichen, was die Bedeutung dessen unterstreicht, dass alle Unternehmen wissen, wie sie damit umgehen müssen.

Nach der Verordnung muss der für die Verarbeitung Verantwortliche, wenn er Kenntnis davon hat, dass eine Verletzung der Sicherheit personenbezogener Daten vorliegt, diese unverzüglich, spätestens jedoch 72 Stunden nach deren Nachweis der zuständigen Kontrollbehörde mitteilen. Diese Mitteilung an die Kontrollbehörde muss erfolgen, es sei denn, es ist unwahrscheinlich, dass eine solche Sicherheitsverletzung eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellt.

Wenn die Sicherheitsverletzung ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt (wie z. B. illegaler Zugang zu Benutzern und Passwörtern eines Dienstes), muss der Verantwortliche zusätzlich zur Kommunikation an die Kontrollbehörde den Betroffenen die Sicherheitsverletzung mit einer klaren und einfachen Sprache sowie in prägnanter und transparenter Weise mitteilen.

Die Leitlinien richten sich an für die Verarbeitung Verantwortliche, um die Anwendung der GDPR im Hinblick auf die Meldepflicht gegenüber der zuständigen Behörde und gegebenenfalls den Betroffenen zu erleichtern, sodass die Meldung an die zuständige Behörde auf dem geeigneten Weg erfolgt, nützliche und genaue Informationen enthält und an die neuen Anforderungen der GDPR angepasst wird. Zahlreiche Fachleute und Experten aus der Branche haben an der Erstellung des Dokuments mitgewirkt und die Erfahrungen und Kenntnisse von Unternehmen gesammelt, die über Verfahren zum Management von Sicherheitsvorfällen verfügen.

Das Dokument ist in fünf große Blöcke gegliedert: Der erste Block ist der Erkennung und Identifizierung von Sicherheitsverletzungen gewidmet, einschließlich Einzelheiten darüber, wie das Unternehmen vorbereitet werden sollte; der zweite enthält einen Abschnitt, der dem Aktionsplan gewidmet ist, in dem die grundlegenden Aspekte des Vorgehens im Falle eines Vorfalls vorgestellt werden; dann gibt es die Details darüber, wie die Datenschutzverletzung genau analysiert werden kann, und schließlich geht es ausführlich auf den Reaktionsprozess und die Mitteilung an die Aufsichtsbehörde ein.

In dem Dokument wird betont, dass die Meldung eines Sicherheitsverstoßes nicht die unmittelbare Verhängung einer Sanktion umfasst. Darüber hinaus legt es dar, dass es notwendig ist, die Sorgfalt der für die Datenverarbeitung Verantwortlichen und der Datenverarbeiter sowie die angewandten Sicherheitsmaßnahmen zu analysieren.

 

Link zum Dokument https://www.aepd.es/media/informes/2018-0181-tratamiento-datos-opiniones-politicas-por-partidos-polticos.pdf

 

Autorin des Artikels ist Belén Arribas (Andersen Tax & Legal), Barcelona – EuroCloud Europe CPC Partner.