So weisen Sie die Einhaltung von Artikel 34 der DSGVO nach

Mitteilung einer Verletzung des Schutzes personenbezogener Daten an die betroffene Person

Demo buchen

unten,ansicht,von,moderne,wolkenkratzer,in,geschäft,bezirk,gegen,blau

DSGVO Artikel 34 beschreibt die Verpflichtung einer Organisation, betroffene Personen über eine Datenschutzverletzung zu informieren, die voraussichtlich ein erhebliches Risiko für ihre Rechte und Freiheiten als Einzelpersonen mit sich bringt.

DSGVO Artikel 34 Gesetzestext

EU-DSGVO-Version

Mitteilung einer Verletzung des Schutzes personenbezogener Daten an die betroffene Person

  1. Wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der Verantwortliche die betroffene Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten informieren.

  2. Die in Absatz 1 dieses Artikels genannte Mitteilung an die betroffene Person muss in klarer und verständlicher Sprache die Art der Verletzung des Schutzes personenbezogener Daten beschreiben und mindestens die in den Buchstaben b, c und d genannten Informationen und Maßnahmen enthalten ) von Artikel 33 Absatz 3.

  3. Die in Absatz 1 genannte Mitteilung an die betroffene Person ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

    • (a) Der Verantwortliche hat geeignete technische und organisatorische Schutzmaßnahmen umgesetzt und diese Maßnahmen wurden auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen personenbezogenen Daten angewendet, insbesondere solche, die dazu führen, dass die personenbezogenen Daten für Personen, die nicht zum Zugriff darauf berechtigt sind, unleserlich werden. wie zum Beispiel Verschlüsselung.

    • (b) der Verantwortliche hat Folgemaßnahmen ergriffen, die sicherstellen, dass das in Absatz 1 genannte hohe Risiko für die Rechte und Freiheiten der betroffenen Personen voraussichtlich nicht mehr eintritt.

    • (c) es wäre mit einem unverhältnismäßigen Aufwand verbunden. In einem solchen Fall muss stattdessen eine öffentliche Kommunikation oder eine ähnliche Maßnahme erfolgen, durch die die betroffenen Personen gleichermaßen wirksam informiert werden.
  4. Wenn der Verantwortliche die Verletzung des Schutzes personenbezogener Daten der betroffenen Person noch nicht mitgeteilt hat, kann die Aufsichtsbehörde nach Abwägung der Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von ihr dies verlangen oder entscheiden, dass eine der genannten Bedingungen erfüllt ist nach Absatz 3 erfüllt sind.

Britische DSGVO-Version

Mitteilung einer Verletzung des Schutzes personenbezogener Daten an die betroffene Person

  1. Wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der Verantwortliche die betroffene Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten informieren.

  2. Die in Absatz 1 dieses Artikels genannte Mitteilung an die betroffene Person muss in klarer und verständlicher Sprache die Art der Verletzung des Schutzes personenbezogener Daten beschreiben und mindestens die in den Buchstaben b, c und d genannten Informationen und Maßnahmen enthalten ) von Artikel 33 Absatz 3.

  3. Die in Absatz 1 genannte Mitteilung an die betroffene Person ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

    • (a) Der Verantwortliche hat geeignete technische und organisatorische Schutzmaßnahmen umgesetzt und diese Maßnahmen wurden auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen personenbezogenen Daten angewendet, insbesondere solche, die dazu führen, dass die personenbezogenen Daten für Personen, die nicht zum Zugriff darauf berechtigt sind, unleserlich werden. wie zum Beispiel Verschlüsselung.

    • (b) der Verantwortliche hat Folgemaßnahmen ergriffen, die sicherstellen, dass das in Absatz 1 genannte hohe Risiko für die Rechte und Freiheiten der betroffenen Personen voraussichtlich nicht mehr eintritt.

    • (c) es wäre mit einem unverhältnismäßigen Aufwand verbunden. In einem solchen Fall muss stattdessen eine öffentliche Kommunikation oder eine ähnliche Maßnahme erfolgen, durch die die betroffenen Personen gleichermaßen wirksam informiert werden.

  4. Wenn der Verantwortliche der betroffenen Person die Verletzung des Schutzes personenbezogener Daten noch nicht mitgeteilt hat, kann der Datenschutzbeauftragte nach Abwägung der Wahrscheinlichkeit, dass die Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt, von ihm verlangen, dies zu tun, oder entscheiden, dass eine der genannten Bedingungen erfüllt ist in Absatz 3 sind erfüllt.
Zum Thema springen

Technischer Kommentar

Artikel 34 der DSGVO stellt klar, dass nicht alle Verstöße den betroffenen Personen mitgeteilt werden müssen. Allerdings sollten Organisationen die Einzelheiten eines Verstoßes mitteilen, wenn dieser wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Artikel 34 beschreibt drei Hauptbereiche, auf die man sich bei der Meldung einer Datenschutzverletzung konzentrieren sollte:

  • Die verwendete Sprache.

  • Die spezifischen Details, die kommuniziert werden.

  • Wie die Kommunikation durchgeführt wird.

In den folgenden drei Fällen sind Verantwortliche nicht verpflichtet, einen Verstoß zu melden:

  1. Die Organisation verfügt über „geeignete technische und organisatorische Schutzmaßnahmen“.

  2. Es sind „nachfolgende Maßnahmen“ erforderlich, um den Verstoß abzumildern.

  3. Die Kommunikation des Verstoßes würde einen unverhältnismäßigen Aufwand erfordern.

ISO 27701 Abschnitt 6.13.1.1 (Verantwortlichkeiten und Verfahren) und DSGVO Artikel 34

In diesem Abschnitt sprechen wir über die Artikel 34 (1), 34 (2), 34 (3)(a), 34 (3)(b), 34 (3)(c) und 34(4) der DSGVO.

Um eine kohärente, gut funktionierende Vorfallmanagementrichtlinie zu erstellen, die die Verfügbarkeit und Integrität von Datenschutzinformationen bei kritischen Vorfällen schützt, sollten Organisationen:

  1. Halten Sie sich an eine Methode zum Melden von Ereignissen im Bereich Datenschutz und Informationssicherheit.

  2. Richten Sie eine Reihe von Prozessen ein, die Vorfälle im Zusammenhang mit der Sicherheit von Datenschutzinformationen im gesamten Unternehmen verwalten, darunter:

    • Verwaltung.

    • Dokumentation.

    • Erkennung.

    • Triage.

    • Priorisierung.

    • Analysis.

    • Kommunikation.
  3. Entwerfen Sie ein Verfahren zur Reaktion auf Vorfälle, das es der Organisation ermöglicht, Vorfälle zu bewerten, darauf zu reagieren und daraus zu lernen.

  4. Stellen Sie sicher, dass Vorfälle von geschultem und kompetentem Personal gehandhabt werden, das von fortlaufenden Schulungs- und Zertifizierungsprogrammen am Arbeitsplatz profitiert.

Mitarbeiter, die an Vorfällen im Bereich Datenschutz und Informationssicherheit beteiligt sind, sollten Folgendes verstehen:

  1. Die Zeit, die zur Lösung eines Vorfalls benötigt werden sollte.

  2. Mögliche Konsequenzen.

  3. Die Schwere des Vorfalls.

Beim Umgang mit Datenschutz- und Informationssicherheitsereignissen sollten Mitarbeiter:

  1. Bewerten Sie Ereignisse nach strengen Kriterien, die sie als genehmigte Vorfälle validieren.

  2. Kategorisieren Sie Ereignisse zur Sicherheit von Datenschutzinformationen in fünf Unterthemen:

    • Überwachung (siehe ISO 27002 Kontrollen 8.15 und 8.16).

    • Erkennung (siehe ISO 27002 Control 8.16).

    • Klassifizierung (siehe ISO 27002 Control 5.25).

    • Analysis.

    • Berichterstattung (siehe ISO 27002 Control 6.8).
  3. Bei der Lösung von Vorfällen im Bereich Datenschutz und Informationssicherheit sollten Unternehmen Folgendes tun:

    • Reagieren und eskalieren Sie Probleme (siehe ISO 27002 Control 5.26) entsprechend der Art des Vorfalls.

    • Aktivieren Sie Krisenmanagement- und Geschäftskontinuitätspläne.

    • Beeinflussen Sie eine verwaltete Wiederherstellung nach einem Vorfall, die den betrieblichen und/oder finanziellen Schaden mindert.

    • Sorgen Sie für eine gründliche Kommunikation vorfallbezogener Ereignisse an alle relevanten Mitarbeiter.
  4. Beteiligen Sie sich an kollaborativer Arbeit (siehe ISO 27002-Kontrollen 5.5 und 5.6).

  5. Protokollieren Sie alle auf Vorfällen basierenden Aktivitäten.

  6. Seien Sie für den Umgang mit vorfallbezogenen Beweisen verantwortlich (siehe ISO 27002 Control 5.28).

  7. Führen Sie eine gründliche Ursachenanalyse durch, um das Risiko eines erneuten Auftretens des Vorfalls zu minimieren, einschließlich vorgeschlagener Änderungen an den Prozessen.

Die Berichtsaktivitäten sollten sich auf vier Schlüsselbereiche konzentrieren:

  1. Maßnahmen, die ergriffen werden müssen, sobald ein Informationssicherheitsereignis auftritt.

  2. Vorfallformulare, die Informationen während eines Vorfalls aufzeichnen.

  3. Durchgängige Feedbackprozesse an alle relevanten Mitarbeiter.

  4. Vorfallberichte, in denen detailliert beschrieben wird, was passiert ist, nachdem ein Vorfall gelöst wurde.

Unterstützung von ISO 27002-Kontrollen

  • ISO 27002 5.25
  • ISO 27002 5.26
  • ISO 27002 5.5
  • ISO 27002 5.6
  • ISO 27002 6.8
  • ISO 27002 8.15
  • ISO 27002 8.16

Entdecken Sie unsere Plattform

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

ISO 27701 Klausel 6.13.1.5 (Reaktion auf Informationssicherheitsvorfälle) und DSGVO Artikel 34

In diesem Abschnitt sprechen wir über die DSGVO Artikel 34 (2) und 34 (1)

Organisationen sollten sicherstellen, dass Vorfälle im Bereich Datenschutz und Informationssicherheit von einem speziellen technischen Team behandelt werden, das über die Fähigkeiten und Ressourcen verfügt, um eine schnelle Lösung herbeizuführen (siehe ISO 27002 Control 5.24).

Organisationen sollten:

  1. Enthält alle datenschutzbezogenen Bedrohungen, die sich aus dem ursprünglichen Problem ergeben.

  2. Sammeln Sie während des gesamten Lösungsprozesses eine Reihe von Beweisen.

  3. Beziehen Sie Eskalation, BUDR-Aktivitäten und Kontinuitätsplanung in alle Lösungsbemühungen ein (siehe ISO 27002-Kontrollen 5.29 und 5.30).

  4. Protokollieren Sie alle vorfallbezogenen Aktivitäten.

  5. Stellen Sie sicher, dass die Mitarbeiter beim Umgang mit Datenschutzvorfällen auf der Grundlage des „Need-to-know“-Prinzips vorgehen.

  6. Seien Sie sich stets ihrer Verantwortung gegenüber ihren Kunden und externen Organisationen bewusst, wenn Sie Datenschutzvorfälle und Datenschutzverletzungen melden.

  7. Schließen Sie Vorfälle anhand strenger Lösungskriterien ab.

  8. Führen Sie bei Bedarf eine forensische Analyse durch (siehe ISO 27002 Control 5.28).

  9. Versuchen Sie, die zugrunde liegende Ursache eines Vorfalls zu ermitteln, sobald dieser behoben wurde (siehe ISO 27002 Control 5.27).

  10. Ergreifen Sie Abhilfemaßnahmen bei allen damit verbundenen Prozessen, Kontrollen, Richtlinien und Verfahren, um den Datenschutz der Organisation zu stärken, sobald ein Vorfall gelöst wurde.

Unterstützung von ISO 27002-Kontrollen

  • ISO 27002 5.24

  • ISO 27002 5.27

  • ISO 27002 5.28

  • ISO 27002 5.29

  • ISO 27002 5.30

Unterstützende ISO 27701-Klauseln und ISO 27002-Kontrollen

DSGVO-ArtikelISO 27701-KlauselISO 27002-Kontrollen
EU-DSGVO Artikel 34 (1) bis 34 (4)ISO 27701 6.13.1.15.25
5.26
5.5
5.6
6.8
8.15
8.16
EU-DSGVO Artikel 34 (2) und 34 (1)ISO 27701 6.13.1.55.24
5.27
5.28
5.29
5.30

Wie ISMS.online hilft

Aufgrund der integrierten Anleitung und unseres Implementierungsansatzes „Adopt, Adapt, Add“ macht ISMS.online den Nachweis der DSGVO-Konformität zum Kinderspiel. Darüber hinaus steht Ihnen eine Reihe leistungsstarker zeitsparender Funktionen zur Verfügung.

Mit unserer intuitiven Plattform können Sie mehrere Ziele im Bereich Informationssicherheit und Datenschutz erreichen, indem Sie Ihre Arbeit auf mehrere Standards und Frameworks abbilden.

Wenn Sie auf Ihrem Weg zur DSGVO Hilfe oder Rat benötigen, können wir Ihnen unser Team aus internen Experten zur Verfügung stellen oder Ihnen einen vertrauenswürdigen Partner empfehlen, der Ihnen weiterhelfen kann.

Erfahren Sie mehr von eine Demo buchen.

Ich habe ISO 27001 auf die harte Tour gemacht und schätze daher sehr, wie viel Zeit wir dadurch bei der Erlangung der ISO 27001-Zertifizierung gespart haben.

Carl Vaughan
Infosec-Leiter, MetCloud

Buchen Sie Ihre Demo

Einfach. Sicher. Nachhaltig.

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren