Dokumentanzeige

§ 12 SV-DSV 2018 avsv Nr. 79/2018

Stichtag: 19. 06. 2018

Sichttag: 19. 06. 2018

Hilfe zu dieser Seite

Titel der Rechtsvorschrift:	Datenschutzverordnung für die gesetzliche Sozialversicherung 2018
entstanden aus (letzte Fundstelle):	avsv Nr. 79/2018
Novellenabkürzung:	SV-DSV 2018 StF
Publikationsdatum:	19. 04. 2018
In Kraft mit Beginn des:	25. 05. 2018

Meldung von Verletzungen des Schutzes personenbezogener Daten (Data Breach Notification)

§ 12. (1) Ein Verantwortlicher hat im Falle einer Verletzung des Schutzes personenbezogener Daten eine Meldung nach Maßgabe des Art. 33 DSGVO an die Datenschutzbehörde zu erstatten, wenn dadurch voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Ein solches Risiko ist dann anzunehmen, wenn auf Dauer leistungsrechtliche Anwartschaften oder Leistungsansprüche der betroffenen Personen oder deren Identitätsdaten (z. B. durch Veränderung) gefährdet wurden. Ein Risiko ist im Regelfall nicht anzunehmen, wenn durch sofortige Maßnahmen eine Verletzung des Schutzes personenbezogener Daten verhindert werden kann (Sperre von Geräten, Maßnahmen nach dem Signatur- und VertrauensdiensteG wie Zertifikatssperren) und nicht aus anderen Gründen (z. B. wenn ein weiter verbreiteter Software- oder Hardwarefehler angenommen werden muss) eine Information notwendig erscheint. Der eigene Datenschutzbeauftragte ist unabhängig davon jedenfalls zu informieren.

(2) Wenn einem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, hat er diese zu dokumentieren und unverzüglich dem Verantwortlichen zu melden. Ist eine Meldung nach Abs. 1 zu erstatten, so hat der Verantwortliche zeitgleich auch den Chief Security Officer (CSO) des Hauptverbandes in Grundzügen (ohne personenbezogene Daten) darüber zu informieren.

(3) Im Rahmen einer Verletzung des Schutzes personenbezogener Daten haben der Verantwortliche und der Auftragsverarbeiter alles zu unternehmen, um das Schadensausmaß gering zu halten, den betroffenen Personen unnötige Mühe zu ersparen, die Fehlerbehebung raschest einzuleiten und Folgefehler zu verhindern.

(4) Ob die betroffenen Personen von einer Verletzung der personenbezogenen Daten zu benachrichtigen sind, richtet sich nach Art. 34 DSGVO. Ein unverhältnismäßiger Aufwand (Art. 34 Abs. 3 lit. c DSGVO) ist dann anzunehmen, wenn der Kreis der betroffenen Personen nicht eingegrenzt werden kann. Bei Schutzverletzungen, die daraus entstanden sind, dass einem Patienten in medizinischen Zusammenhängen (Erste Hilfe) rasch geholfen werden sollte, ist im Zweifel nicht anzunehmen, dass daraus ein hohes Risiko im Sinn des Art. 34 DSGVO entstanden ist.

Nach oben