Meldung von Datenschutzverletzungen

Durch die Europäischen Datenschutzgrundverordnung (DSGVO) bestehen rechtliche Vorgaben und Verpflichtungen für die für die Verarbeitung verantwortliche Stelle, die Heinrich-Heine-Universität.Verletzungen des Schutzes personenbezogener Daten, d.h. Datenschutzverletzungen bzw. Datenpannen, müssen innerhalb der Hochschule an das Justitiariat als Datenschutzmeldestelle gemeldet werden, damit die ggf. bestehende gesetzliche Pflicht zur Information

• der Aufsichtsbehörde (für die HHU die Landesdatenschutzbeauftragte (LDI) NRW) bzw.
• Benachrichtigung der betroffenen Personen

eingehalten werden kann. Die gesetzliche Pflicht zur Meldung von Datenschutzverletzungen an die Aufsichtsbehörde aus Art. 33 DSGVO _[Extern] verlangt eine Meldung innerhalb von 72 Stunden nach Kenntniserlangung. Bei Bestehen einer Meldepflicht an die betroffenen Personen muss die Meldung so schnell wie möglich erfolgen.
Neben der Meldung an die Aufsichtsbehörde sind im Falle des Art. 34 DS-GVO auch die betroffenen Personen unverzüglich zu informieren. Das ist dann der Fall, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Ob und welche Maßnahmen im Rahmen des Art. 33 Abs. 3 lit. d erfolgten, ist ebenfalls der Aufsichtsbehörde mitzuteilen.

Bitte füllen Sie das interne Meldeformular aus und übermitteln es der Datenschutzmeldestelle.

In der Datenschutzgrundverordnung werden Datenpannen bzw. Datenschutzverstöße unter dem Begriff der „Verletzung des Schutzes personenbezogener Daten“ zusammen (Art. 4 Abs. 12 DSGVO) Datenschutzverletzungen sind Verletzungen der Sicherheit, die

• ob unbeabsichtigt oder unrechtmäßig,
• zur Vernichtung, zum Verlust, zur Veränderung oder
• zur unbefugten Offenlegung von beziehungsweise
• zum unbefugten Zugang zu personenbezogenen Daten

führt (vgl. Art. 4 Nr.12 DSGVO).

• Installation von Schadsoftware (meist unbeabsichtigt) auf Systemen, mit denen personenbezogene Daten verarbeitet werden.
  Ein Keylogger betrifft z.B. die Vertraulichkeit, Ransomware die Verfügbarkeit und ggf. die Integrität von personenbezogenen Daten.
• Versendung personenbezogener Daten an den falschen Adressatenkreis (z.B. Adressierungsfehler, oft durch Auto-Vervollständigungsfunktionen)
• unbeabsichtigtes Veröffentlichen personenbezogener Daten (z.B. Freigabe für Internet statt Intranet, Versenden von Massen-E-Mails mit Absendern im CC- statt im BCC-Feld)
• Fehlerhafte Freigabe interner Dateiordner (z.B. Personaldaten einsehbar für andere Abteilungen)
• Fehlerhafte Rechtevergabe in Systemen (oft auch durch nicht aktualisierte Rechte verursacht)
• Verlust mobiler Geräte oder Datenträger
• Verlust von Akten oder anderen Unterlagen mit personenbezogenen Daten
• Verlust von personenbezogenen Daten aufgrund versehentlicher Löschung
• Verlust von personenbezogenen Daten aufgrund nicht funktionierender Wiederherstellung
• Fälschung von personenbezogenen Daten aufgrund von Manipulation
• Diebstahl personenbezogener Daten
• Bekanntgabe von Zugangskennung und Passwörtern durch Täuschungsangriffe (Phishing)

Für die Dokumentation von Datenschutzverletzungen an der HHU steht Ihnen das folgende Formular zur Verfügung: "Meldung einer Verletzung des Schutzes personenbezogener Daten" . Sollte eine Datenschutzverletzung meldepflichtig sein, sind das auch die Informationen, die der Datenschutzaufsichtsbehörde des Landes NRW übermittelt werden müssen.

Hier finden Sie weitere Informationen für den Fall, dass Nachweise vorliegen, dass Ihr Postfach abgeflossen ist.