Meldung von Datenschutzverletzungen
Im Fall von Datenpannen i.S.d. Art. 4 Nr. 12 DSGVO muss innerhalb von 72 Stunden die datenschutzrechtliche Aufsichtsbehörde der HHU darüber informiert werden (Art. 33 DSGVO). Kontaktieren Sie bei einer Datenschutzpanne im Zweifel sofort Ihren Vorgesetzten und /oder das Justitiariat der HHU als Datenschutzauskunftsstelle. Sie können sich auch direkt an die Datenschutzbeauftragte wenden.
Durch die Europäischen Datenschutzgrundverordnung (DSGVO) bestehen rechtliche Vorgaben und Verpflichtungen für die für die Verarbeitung verantwortliche Stelle, die Heinrich-Heine-Universität.Verletzungen des Schutzes personenbezogener Daten, d.h. Datenschutzverletzungen bzw. Datenpannen, müssen innerhalb der Hochschule an das Justitiariat als Datenschutzmeldestelle gemeldet werden, damit die ggf. bestehende gesetzliche Pflicht zur Information
- der Aufsichtsbehörde (für die HHU die Landesdatenschutzbeauftragte (LDI) NRW) bzw.
- Benachrichtigung der betroffenen Personen
eingehalten werden kann. Die gesetzliche Pflicht zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde aus Art. 33 DSGVO verlangt eine Meldung innerhalb von 72 Stunden nach Kenntniserlangung. Bei Bestehen einer Meldepflicht an die betroffenen Personen muss die Meldung so schnell wie möglich erfolgen. Neben der Meldung an die Aufsichtsbehörde sind im Falle des Art. 34 DS-GVO auch die betroffenen Personen unverzüglich zu informieren. Das ist dann der Fall, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Ob und welche Maßnahmen im Rahmen des Art. 33 Abs. 3 lit. d erfolgten, ist ebenfalls der Aufsichtsbehörde mitzuteilen.
Bitte füllen Sie das Meldeformular aus und übermitteln es der Datenschutzauskunftsstelle.
In der Datenschutzgrundverordnung werden Datenpannen bzw. Datenschutzverstöße unter dem Begriff der „Verletzung des Schutzes personenbezogener Daten“ zusammen (Art. 4 Abs. 12 DSGVO) Datenschutzverletzungen sind Verletzungen der Sicherheit, die
- ob unbeabsichtigt oder unrechtmäßig,
- zur Vernichtung, zum Verlust, zur Veränderung oder
- zur unbefugten Offenlegung von beziehungsweise
- zum unbefugten Zugang zu personenbezogenen Daten
führt (vgl. Art. 4 Nr.12 DSGVO).
- Installation von Schadsoftware (meist unbeabsichtigt) auf Systemen, mit denen personenbezogene Daten verarbeitet werden.
Ein Keylogger betrifft z.B. die Vertraulichkeit, Ransomware die Verfügbarkeit und ggf. die Integrität von personenbezogenen Daten. - Versendung personenbezogener Daten an den falschen Adressatenkreis (z.B. Adressierungsfehler, oft durch Auto-Vervollständigungsfunktionen)
- unbeabsichtigtes Veröffentlichen personenbezogener Daten (z.B. Freigabe für Internet statt Intranet, Versenden von Massen-E-Mails mit Absendern im CC- statt im BCC-Feld)
- Fehlerhafte Freigabe interner Dateiordner (z.B. Personaldaten einsehbar für andere Abteilungen)
- Fehlerhafte Rechtevergabe in Systemen (oft auch durch nicht aktualisierte Rechte verursacht)
- Verlust mobiler Geräte oder Datenträger
- Verlust von Akten oder anderen Unterlagen mit personenbezogenen Daten
- Verlust von personenbezogenen Daten aufgrund versehentlicher Löschung
- Verlust von personenbezogenen Daten aufgrund nicht funktionierender Wiederherstellung
- Fälschung von personenbezogenen Daten aufgrund von Manipulation
- Diebstahl personenbezogener Daten
- Bekanntgabe von Zugangskennung und Passwörtern durch Täuschungsangriffe (Phishing)
Für die Dokumentation von Datenschutzverletzungen an der HHU steht Ihnen das folgende Formular zur Verfügung: "Meldung einer Verletzung des Schutzes personenbezogener Daten" . Sollte eine Datenschutzverletzung meldepflichtig sein, sind das auch die Informationen, die der Datenschutzaufsichtsbehörde des Landes NRW übermittelt werden müssen.
Hier finden Sie weitere Informationen für den Fall, dass Nachweise vorliegen, dass E-Mails aus Ihrem Postfach abgeflossen sind.