Aus der Reihe: "Die Aufsichtsbehörde antwortet..."
Frage des Erfa-Kreises Bayreuth:
Wie muss gewährleistet sein, dass die Datenpanne innerhalb 72 Stunden an Wochenenden / Feiertagen gemeldet wird? Muss hier eine Notfallplanung installiert werden?
Anwort BayLDA:
Nach Art. 33 DS-GVO ist eine Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden der zuständigen Aufsichtsbehörde durch den Verantwortlichen zu melden, nachdem ihm die Verletzung bekannt wurde.
Erfolgt die Meldung an die Aufsichtsbehörde nicht innerhalb von 72 Stunden, so ist ihr eine entsprechende Begründung beizufügen. Wir betrachten den angegebenen Zeitraum durchaus für ausreichend, um eine solche Meldung durchzuführen. Das BayLDA bietet hierfür seit letztem Jahr einen eigenen Online Service an, mit dem sicher, schnell und bequem Vorfälle dieser Art ohne Registrierung gemeldet werden können.
Erfährt der Verantwortliche an Feiertagen oder an Wochenende davon, beginnt die 72-Stunden-Frist zu laufen.
In der Regel kann dann am darauffolgenden Werktag die Meldung noch innerhalb der Frist getätigt werden, so dass auch das BayLDA derzeit mit keinen Ausnahmen hierbei rechnet.
Verantwortliche sollten sich der Meldepflicht bewusst sein und entsprechende Vorbereitungen treffen, damit im „worst case“ die richtigen Schritte eingeleitet werden, um den Schaden zu minimieren und den gesetzlichen Anforderungen zu genügen.