Data Breaches
Art. 33 Abs. 1 DSGVO verpflichtet Verantwortliche, eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Wird eine solche Data-Breach-Meldung bei der Datenschutzbehörde eingebracht, so wird im Verfahren von der Datenschutzbehörde geprüft, ob der Verantwortliche geeignete Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen gesetzt hat.
Hat der Verantwortliche betroffene Personen trotz Vorliegens der Voraussetzungen nicht über den Vorfall benachrichtigt, so wird mittels Bescheid ein entsprechender Leistungsauftrag erteilt.