Kurzbeschreibung
Nach Art. 33 Abs. 5 DSGVO muss im Falle von Schutzverletzungen personenbezogener Daten eine Dokumentation erfolgen. Sie ist in jedem Fall vom Verantwortlichen durchzuführen, auch wenn keine Meldung an Betroffene und/oder Aufsichtsbehörde erfolgen muss. Diese Vorlage enthält alle wichtigen Punkte.
Vorbemerkung
Die Dokumentation soll die Aufsichtsbehörde letztlich dazu befähigen alle sachverhaltsrelevanten Ereignisse, wie die Art der Schutzverletzung oder den Zeitpunkt der Kenntnisnahme, nachvollziehen zu können.
Erklärung von Entscheidungen
Unterlässt der Verantwortliche es beispielsweise im Falle einer Schutzverletzung, die etwa eine unberechtigte Kenntnisnahme von personenbezogenen Daten ermöglicht, eine Meldung nach Art. 33 Abs. 1 DSGVO durchzuführen, sind in der Dokumentation die Gründe dafür festzuhalten. Die Aufsichtsbehörde muss gem. Art. 33 Abs. 5 Satz 2 DSGVO im Prüfungsfall nachvollziehen können, ob die jeweiligen Gründe für eine etwaige Nichtmeldung gerechtfertigt waren.
Grundlage für Gegenmaßnahmen
Im Fall eines meldepflichtigen Ereignisses kann die Dokumentation ferner eine Grundlage für mögliche risikoreduzierende Gegenmaßnahmen sein, die von der Aufsichtsbehörde im Einzelfall angeordnet werden können. Letztlich wird die (fehlende) Dokumentation auch über mögliche Sanktionen entscheidend sein. Die Nachvollziehbarkeit des Ereignisses für die Aufsichtsbehörde bestimmt auch den Umfang der Dokumentation. Zu dokumentieren sind alle im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten. Demnach ist mehr festzuhalten, als die in Art. 33 Abs.3 DSGVO genannten Informationen für die Mitteilung bei der Aufsichtsbehörde.
Standardisiertes Vorgehen festlegen
Im Rahmen eines Datenpannenprozesses, sollte auch für die Dokumentation ein standardisiertes Vorgehen im Unternehmen etabliert sein. Die zur Verfügung stehenden Fakten sollten möglichst unverzüglich festgehalten werden, damit keine relevanten Informationen verloren gehen, die für eine Prüfung nach Art. 33 Abs. 5 Satz 2 DSGVO entscheidend sein könnten.
Dokumentation von Schutzverletzungen personenbezogener Daten (Art. 33 DS-GVO) bei der Mustermann GmbH & Co. KG
- Dokument in Textverarbeitung übernehmen
Dokumentation eines Vorfalls nach Art. 33 DS-GVO
Datum, Uhrzeit des Vorfalls und der Kenntnis des Vorfalls | 00.00.2018 Uhrzeit 00:00 Uhr Kenntnis am: |
Betroffenes System/Datenbank/Speichermedium etc. | |
Art des Vorfalls (Vernichtung/Verlust/Änderung/Offenlegung von Daten) (auch kumulative Angabe möglich) | |
Anzahl betroffener Personen (so genau wie möglich) und Betroffenenkategorien (Mitarbeiter, Kunden/Mandanten, Lieferanten etc.) |
|
Art der betroffenen Daten Besondere Kategorien personenbezogener Daten (gemäß Art. 9 DSGVO) (hohes Risiko entsprechend berücksichtigen) |
|
Kontext der Datenverarbeitung (z.B. Gesundheit-/Medizinbereich etc.) | |
Voraussichtliche Ursache der Schutzverletzung (Angriff von außen, internes Fehlverhalten; mangelhafte Schutzmaßnahmen (TOM) etc., bitte näher beschreiben, einschließlich der involvierten Personen) | |
Ergebnis der Risikoprognose | |
Benachrichtigung der Betroffenen erfolgt? falls ja: Wann? falls nein: Warum nicht? (bitte begründen) |
|
Benachrichtigung der Aufsichtsbehörde erfolgt? falls ja: Wann? falls nein: Warum nicht? (bitte begründen) Ist eine Rücksprache mit der Aufsichtsbehörde erfolgt? (insb. bei beabsichtigter "Responsible-Disclosure" empfehlenswert) |
|
ergriffene Abhilfemaßnahmen zur Reduzierung des Risikos | |
Sonstige sachverhaltsrelevante Informationen | |
Unterzeichner/Verantwortliche Person |
Das ist nur ein Ausschnitt aus dem Produkt Haufe Finance Office Premium. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen