DSGVO Artikel 34 beschreibt die Verpflichtung einer Organisation, betroffene Personen über eine Datenschutzverletzung zu informieren, die voraussichtlich ein erhebliches Risiko für ihre Rechte und Freiheiten als Einzelpersonen mit sich bringt.
Mitteilung einer Verletzung des Schutzes personenbezogener Daten an die betroffene Person
- Wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der Verantwortliche die betroffene Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten informieren.
- Die in Absatz 1 dieses Artikels genannte Mitteilung an die betroffene Person muss in klarer und verständlicher Sprache die Art der Verletzung des Schutzes personenbezogener Daten beschreiben und mindestens die in den Buchstaben b, c und d genannten Informationen und Maßnahmen enthalten ) von Artikel 33 Absatz 3.
- Die in Absatz 1 genannte Mitteilung an die betroffene Person ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
- (a) Der Verantwortliche hat geeignete technische und organisatorische Schutzmaßnahmen umgesetzt und diese Maßnahmen wurden auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen personenbezogenen Daten angewendet, insbesondere solche, die dazu führen, dass die personenbezogenen Daten für Personen, die nicht zum Zugriff darauf berechtigt sind, unleserlich werden. wie zum Beispiel Verschlüsselung.
- (b) der Verantwortliche hat Folgemaßnahmen ergriffen, die sicherstellen, dass das in Absatz 1 genannte hohe Risiko für die Rechte und Freiheiten der betroffenen Personen voraussichtlich nicht mehr eintritt.
- (c) es wäre mit einem unverhältnismäßigen Aufwand verbunden. In einem solchen Fall muss stattdessen eine öffentliche Kommunikation oder eine ähnliche Maßnahme erfolgen, durch die die betroffenen Personen gleichermaßen wirksam informiert werden.
- Wenn der Verantwortliche die Verletzung des Schutzes personenbezogener Daten der betroffenen Person noch nicht mitgeteilt hat, kann die Aufsichtsbehörde nach Abwägung der Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von ihr dies verlangen oder entscheiden, dass eine der genannten Bedingungen erfüllt ist nach Absatz 3 erfüllt sind.
Mitteilung einer Verletzung des Schutzes personenbezogener Daten an die betroffene Person
- Wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der Verantwortliche die betroffene Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten informieren.
- Die in Absatz 1 dieses Artikels genannte Mitteilung an die betroffene Person muss in klarer und verständlicher Sprache die Art der Verletzung des Schutzes personenbezogener Daten beschreiben und mindestens die in den Buchstaben b, c und d genannten Informationen und Maßnahmen enthalten ) von Artikel 33 Absatz 3.
- Die in Absatz 1 genannte Mitteilung an die betroffene Person ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:
- (a) Der Verantwortliche hat geeignete technische und organisatorische Schutzmaßnahmen umgesetzt und diese Maßnahmen wurden auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen personenbezogenen Daten angewendet, insbesondere solche, die dazu führen, dass die personenbezogenen Daten für Personen, die nicht zum Zugriff darauf berechtigt sind, unleserlich werden. wie zum Beispiel Verschlüsselung.
- (b) der Verantwortliche hat Folgemaßnahmen ergriffen, die sicherstellen, dass das in Absatz 1 genannte hohe Risiko für die Rechte und Freiheiten der betroffenen Personen voraussichtlich nicht mehr eintritt.
- (c) es wäre mit einem unverhältnismäßigen Aufwand verbunden. In einem solchen Fall muss stattdessen eine öffentliche Kommunikation oder eine ähnliche Maßnahme erfolgen, durch die die betroffenen Personen gleichermaßen wirksam informiert werden.
- Wenn der Verantwortliche der betroffenen Person die Verletzung des Schutzes personenbezogener Daten noch nicht mitgeteilt hat, kann der Datenschutzbeauftragte nach Abwägung der Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von ihm verlangen, dies zu tun, oder entscheiden, dass eine der genannten Bedingungen erfüllt ist in Absatz 3 sind erfüllt.
Fordern Sie ein Angebot an
Artikel 34 der DSGVO stellt klar, dass nicht alle Verstöße den betroffenen Personen mitgeteilt werden müssen. Allerdings sollten Organisationen die Einzelheiten eines Verstoßes mitteilen, wenn dieser wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Artikel 34 beschreibt drei Hauptbereiche, auf die man sich bei der Meldung einer Datenschutzverletzung konzentrieren sollte:
In den folgenden drei Fällen sind Verantwortliche nicht verpflichtet, einen Verstoß zu melden:
In diesem Abschnitt sprechen wir über die Artikel 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) und 34(4) der DSGVO.
Um eine kohärente, gut funktionierende Vorfallmanagementrichtlinie zu erstellen, die die Verfügbarkeit und Integrität von Datenschutzinformationen bei kritischen Vorfällen schützt, sollten Organisationen:
Mitarbeiter, die an Vorfällen im Bereich Datenschutz und Informationssicherheit beteiligt sind, sollten Folgendes verstehen:
Beim Umgang mit Datenschutz- und Informationssicherheitsereignissen sollten Mitarbeiter:
Die Berichtsaktivitäten sollten sich auf vier Schlüsselbereiche konzentrieren:
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
In diesem Abschnitt sprechen wir über die DSGVO Artikel 34 (2) und 34 (1)
Organisationen sollten sicherstellen, dass Vorfälle im Bereich Datenschutz und Informationssicherheit von einem speziellen technischen Team behandelt werden, das über die Fähigkeiten und Ressourcen verfügt, um eine schnelle Lösung herbeizuführen (siehe ISO 27002 Control 5.24).
Organisationen sollten:
DSGVO-Artikel | ISO 27701-Klausel | ISO 27002-Kontrollen |
---|---|---|
EU-DSGVO Artikel 34 (1) bis 34 (4) | ISO 27701 6.13.1.1 | 5.25 5.26 5.5 5.6 6.8 8.15 8.16 |
EU-DSGVO Artikel 34 (2) und 34 (1) | ISO 27701 6.13.1.5 | 5.24 5.27 5.28 5.29 5.30 |
Aufgrund der integrierten Anleitung und unseres Implementierungsansatzes „Adopt, Adapt, Add“ macht ISMS.online den Nachweis der DSGVO-Konformität zum Kinderspiel. Darüber hinaus steht Ihnen eine Reihe leistungsstarker zeitsparender Funktionen zur Verfügung.
Mit unserer intuitiven Plattform können Sie mehrere Ziele im Bereich Informationssicherheit und Datenschutz erreichen, indem Sie Ihre Arbeit auf mehrere Standards und Frameworks abbilden.
Wenn Sie auf Ihrem Weg zur DSGVO Hilfe oder Rat benötigen, können wir Ihnen unser Team aus internen Experten zur Verfügung stellen oder Ihnen einen vertrauenswürdigen Partner empfehlen, der Ihnen weiterhelfen kann.
Erfahren Sie mehr von eine Demo buchen.
Ich habe ISO 27001 auf die harte Tour gemacht und schätze daher sehr, wie viel Zeit wir dadurch bei der Erlangung der ISO 27001-Zertifizierung gespart haben.