Verletzungen des Schutzes personenbezogener Daten

Mitarbeiterinnen und Mitarbeiter sind in der Verantwortung, die Geschäftsführung sofort über den entsprechenden Vorfall zu informieren, wenn sie Kenntnis von einer „Datenpanne“ erlangen oder auch nur bei dem Verdacht, dass eine solche vorliegen könnte.
Die Geschäftsführung informiert umgehend den örtlichen Datenschutzbeauftragten (DSB) über den vorliegenden Sachverhalt und lässt ihm alle relevanten Informationen zur Bewertung zukommen.
Die Geschäftsführung leitet umgehend Gegenmaßnahmen ein und dokumentiert diese auf geeignete Art und Weise.

Die Meldung wird an die zuständige Datenschutzaufsicht übermittelt. Dies erfolgt durch die Geschäftsführung in Absprache mit dem örtlichen DSB.
Die Information der von der “Datenpanne” Betroffenen ist ebenfalls durch die Geschäftsführung vorzunehmen (in Absprache mit dem örtlichen DSB) und außerdem der Datenschutzaufsicht zu übersenden.
Wenn einem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er dies dem Auftraggeber unverzüglich.

Im Fall, dass „Datenpannen“ von unberechtigten Dritten (außerhalb des Unternehmens) ausgehen (z. B. durch einen Hacker-Angriff), sollte der Vorstand Strafanzeige gegen die/den Verursacher stellen.

Die Meldung an die Geschäftsführung und den örtlichen DSB enthält zumindest folgende Informationen und wird mittels eines festgelegten Formblatts übermittelt. Dieses enthält folgende Informationen:

• eine Beschreibung der Art der Verletzung, sofern möglich mit Angaben zur ungefähren Zahl betroffener Personen, zu den betroffenen Kategorien und zur ungefähren Zahl betroffener personenbezogener Datensätze,
• den Namen und die Kontaktdaten des örtlichen DSB,
• eine Beschreibung wahrscheinlicher Folgen der Verletzung des Schutzes personenbezogener Daten,
• eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.