Meldung von Datenschutzverletzungen

Durch die Europäischen Datenschutzgrundverordnung (DS-GVO) bestehen rechtliche Vorgaben und Verpflichtungen für die für die Verarbeitung verantwortliche Stelle, die Heinrich-Heine-Universität.Verletzungen des Schutzes personenbezogener Daten, d.h. Datenschutzverletzungen bzw. Datenpannen, müssen innerhalb der Hochschule an das Justitiariat als Datenschutzmeldestelle gemeldet werden, damit die ggf. bestehende gesetzliche Pflicht zur Information

  • der Aufsichtsbehörde (für die HHU die Landesdatenschutzbeauftragte (LDI) NRW) bzw.
  • Benachrichtigung der betroffenen Personen

eingehalten werden kann. Die gesetzliche Pflicht zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde aus Art. 33 DSGVO [Extern] verlangt eine Meldung innerhalb von 72 Stunden nach Kenntniserlangung. Bei Bestehen einer Meldepflicht an die betroffenen Personen muss die Meldung so schnell wie möglich erfolgen. Bitte verwenden Sie für die Meldung das Formular „Meldung einer Verletzung des Schutzes personenbezogener Daten (Art. 33 DS-GVO)", das Sie bei einem Datenschutzvorfall ausgefüllt an die Datenschutzmeldestelle senden.
Neben der Meldung an die Aufsichtsbehörde sind im Falle des Art. 34 DS-GVO auch die betroffenen Personen unverzüglich zu informieren. Das ist dann der Fall, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Ob und welche Maßnahmen im Rahmen des Art. 33 Abs. 3 lit. d erfolgten, ist ebenfalls der Aufsichtsbehörde mitzuteilen. Bitte verwenden Sie dazu unser Formular „Information über die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 33 Abs. 3 lit. d, Art. 34 DS-GVO) und senden es ausgefüllt an die Datenschutzmeldestelle der HHU.

Erkennen von Datenschutzverletzungen

Datenschutzverletzungen sind Verletzungen der Sicherheit mit der Folge, dass z.B. die Vertraulichkeit oder die Verfügbarkeit personenbezogener Daten nicht gewährleistet werden konnte. Datenpannen können das Ergebnis von einzelnen oder das Ergebnis einer Kette von technischen Fehlern und/oder menschlichem Fehlverhalten sein. Ob das Fehlverhalten dabei vorsätzlich oder fahrlässig ist, ist zunächst unerheblich. Bezogen auf eine Verletzung der Vertraulichkeit liegt eine Datenschutzverletzung vor, wenn unbefugte Personen personenbezogene Daten einsehen können.

Beispiele für Datenschutzverletzungen

  • Installation von Schadsoftware (meist unbeabsichtigt) auf Systemen, mit denen personenbezogene Daten verarbeitet werden.
    Ein Keylogger betrifft z.B. die Vertraulichkeit, Ransomware die Verfügbarkeit und ggf. die Integrität von personenbezogenen Daten.
  • Versendung personenbezogener Daten an den falschen Adressatenkreis (z.B. Adressierungsfehler, oft durch Auto-Vervollständigungsfunktionen)
  • unbeabsichtigtes Veröffentlichen personenbezogener Daten (z.B. Freigabe für Internet statt Intranet, Versenden von Massen-E-Mails mit Absendern im CC- statt im BCC-Feld)
  • Fehlerhafte Freigabe interner Dateiordner (z.B. Personaldaten einsehbar für andere Abteilungen)
  • Fehlerhafte Rechtevergabe in Systemen (oft auch durch nicht aktualisierte Rechte verursacht)
  • Verlust mobiler Geräte oder Datenträger
  • Verlust von Akten oder anderen Unterlagen mit personenbezogenen Daten
  • Verlust von personenbezogenen Daten aufgrund versehentlicher Löschung
  • Verlust von personenbezogenen Daten aufgrund nicht funktionierender Wiederherstellung
  • Fälschung von personenbezogenen Daten aufgrund von Manipulation
  • Diebstahl personenbezogener Daten
  • Bekanntgabe von Zugangskennung und Passwörtern durch Täuschungsangriffe (Phishing)

Datenschutzbeauftragte

Dr. Ursula Hilgers

Gebäude: 16.11
Etage/Raum: 01.88
Tel.: +49 211 81-13060
Verantwortlich für den Inhalt: E-Mail sendenStabsstelle Datenschutz