Zum Inhalt springenZur Suche springen

Meldung von Datenschutzverletzungen

Im Fall von Datenpannen i.S.d. Art. 4 Nr. 12 DSGVO muss innerhalb von 72 Stunden die datenschutzrechtliche Aufsichtsbehörde der HHU darüber informiert werden (Art. 33 DSGVO). Kontaktieren Sie bei einer Datenschutzpanne im Zweifel sofort Ihren Vorgesetzten und /oder das Justitiariat der HHU als Datenschutzauskunftsstelle. Sie können sich auch direkt an die Datenschutzbeauftragte wenden. 

Durch die Europäischen Datenschutzgrundverordnung (DSGVO) bestehen rechtliche Vorgaben und Verpflichtungen für die für die Verarbeitung verantwortliche Stelle, die Heinrich-Heine-Universität.Verletzungen des Schutzes personenbezogener Daten, d.h. Datenschutzverletzungen bzw. Datenpannen, müssen innerhalb der Hochschule an das Justitiariat als Datenschutzmeldestelle gemeldet werden, damit die ggf. bestehende gesetzliche Pflicht zur Information

  • der Aufsichtsbehörde (für die HHU die Landesdatenschutzbeauftragte (LDI) NRW) bzw.
  • Benachrichtigung der betroffenen Personen

eingehalten werden kann. Die gesetzliche Pflicht zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde aus Art. 33 DSGVO verlangt eine Meldung innerhalb von 72 Stunden nach Kenntniserlangung. Bei Bestehen einer Meldepflicht an die betroffenen Personen muss die Meldung so schnell wie möglich erfolgen. Neben der Meldung an die Aufsichtsbehörde sind im Falle des Art. 34 DS-GVO auch die betroffenen Personen unverzüglich zu informieren. Das ist dann der Fall, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Ob und welche Maßnahmen im Rahmen des Art. 33 Abs. 3 lit. d erfolgten, ist ebenfalls der Aufsichtsbehörde mitzuteilen.

Bitte füllen Sie das Meldeformular aus und übermitteln es der Datenschutzauskunftsstelle.

In der Datenschutzgrundverordnung werden Datenpannen bzw. Datenschutzverstöße unter dem Begriff der „Verletzung des Schutzes personenbezogener Daten“ zusammen (Art. 4 Abs. 12 DSGVO) Datenschutzverletzungen sind Verletzungen der Sicherheit, die

  • ob unbeabsichtigt oder unrechtmäßig,
  • zur Vernichtung, zum Verlust, zur Veränderung oder
  • zur unbefugten Offenlegung von beziehungsweise
  • zum unbefugten Zugang zu personenbezogenen Daten

führt (vgl. Art. 4 Nr.12 DSGVO).

  • Installation von Schadsoftware (meist unbeabsichtigt) auf Systemen, mit denen personenbezogene Daten verarbeitet werden.
    Ein Keylogger betrifft z.B. die Vertraulichkeit, Ransomware die Verfügbarkeit und ggf. die Integrität von personenbezogenen Daten.
  • Versendung personenbezogener Daten an den falschen Adressatenkreis (z.B. Adressierungsfehler, oft durch Auto-Vervollständigungsfunktionen)
  • unbeabsichtigtes Veröffentlichen personenbezogener Daten (z.B. Freigabe für Internet statt Intranet, Versenden von Massen-E-Mails mit Absendern im CC- statt im BCC-Feld)
  • Fehlerhafte Freigabe interner Dateiordner (z.B. Personaldaten einsehbar für andere Abteilungen)
  • Fehlerhafte Rechtevergabe in Systemen (oft auch durch nicht aktualisierte Rechte verursacht)
  • Verlust mobiler Geräte oder Datenträger
  • Verlust von Akten oder anderen Unterlagen mit personenbezogenen Daten
  • Verlust von personenbezogenen Daten aufgrund versehentlicher Löschung
  • Verlust von personenbezogenen Daten aufgrund nicht funktionierender Wiederherstellung
  • Fälschung von personenbezogenen Daten aufgrund von Manipulation
  • Diebstahl personenbezogener Daten
  • Bekanntgabe von Zugangskennung und Passwörtern durch Täuschungsangriffe (Phishing)

Die DS-GVO verlangt in Art. 33 Abs. 1 DS-GVO, dass der Verantwortliche (hier die HHU) im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese Verletzung an die zuständige Aufsichtsbehörde meldet. Die Meldung ist nicht erforderlich, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Nach Auffassung des Europäische Datenschutzausschusses (EDSA, s. Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der DSGVO) ist anzunehmen, dass einem Verantwortlichen eine Datenschutzverletzung bekannt wird, wenn der betreffende Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Vorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten führt.

Liegen an der HHU somit nachvollziehbare Hinweise für eine Verletzung des Schutzes personenbezogener Daten der HHU (Studierendendaten, Beschäftigtendaten, …) vor, beginnt die Frist von 72 Studen, innerhalb derer eine Meldung bei der Aufsichtsbehörde zu erfolgen hat - und zwar nur dann, falls Risiken für betroffenen Personen nicht ausgeschlossen werden können.

In Ergänzung dazu sind gemäß Art. 34 Abs. 1 DS-GVO betroffene Personen über die Verletzung des Schutzes personenbezogener Daten unverzüglich zu benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

Für die Dokumentation von Datenschutzverletzungen an der HHU steht Ihnen das folgende Formular zur Verfügung: "Meldung einer Verletzung des Schutzes personenbezogener Daten" . Sollte eine Datenschutzverletzung meldepflichtig sein, sind das auch die Informationen, die der Datenschutzaufsichtsbehörde des Landes NRW übermittelt werden müssen.

Hier finden Sie weitere Informationen für den Fall, dass Nachweise vorliegen, dass E-Mails aus Ihrem Postfach abgeflossen sind.

Verantwortlichkeit: