# Datenschutzvorfälle
Erstellen, verwalten und dokumentieren Sie innerhalb der Funktionalität Datenschutzvorfälle mögliche Datenschutzverletzungen.
# Übersicht der Datenschutzvorfälle
- Erstellen- und Filter-Schaltfläche – Durch Klick auf
Erstellen
können Sie eine neuen Datenschutzvorfall erstellen und durch Klick aufFilter
können Sie die Einträge der Liste der Datenschutzvorfälle filtern. Datenschutzvorfälle mit dem Status Fertig werden ohne weitere Filterung ausgeblendet, um den Fokus auf die fälligen Datenschutzvorfälle zu legen. - Liste der Datenschutzvorfälle – Die Liste zeigt alle bereits erstellen Datenschutzvorfälle an. Durch Klick auf einen Datenschutzvorfall gelangen Sie zu der Detailansicht des jeweiligen Vorfalls.
- Seiteneinstellungen – In diesem Bereich können Sie die Anzahl der angezeigten Datenschutzvorfälle ändern. Werden nicht alle Datenschutzvorfälle auf einer Seite angezeigt, können Sie hier zwischen mehreren Seiten blättern.
# Detailansicht eines Datenschutzvorfalls
- Hier werden alle Angaben angezeigt, die noch ausgefüllt werden müssen, damit der Status des Datenschutzvorfalls auf Fertig gestellt werden kann und somit Dokumentation des Vorfalls abgeschlossen werden kann.
- Hier können Sie den Namen, die Adresse und die Kontaktdaten der meldenen Person sowie sonstiger Beteiligten an der Datenschutzverletzung ansehen und durch Klick auf die Schaltfläche
E-Mail schreiben
mit Ihrer E-Mail-Applikation kontaktieren. - Hier werden alle weiteren gemachten Angaben zum Datenschuzvorfall angezeigt. Diese sind in die Bereiche Informationen zum Datenschutzvorfall, Art und Auslöser des Datenschutzvorfalls, Betroffene Personen und personenbezogene Daten, Folgen und Auswirkungen des Datenschutzvorfalls sowie Entscheidung über Meldung / Benachrichtigung unterteilt.
- Durch Klick auf die entsprechenden Schaltflächen können Sie den Datenschutzvorfall kommentieren oder Kommentare, Verarbeitungen, Verarbeitungen im Auftrag, die Risikomatrix oder angehängte Dateien anzeigen lassen. Mit Klick auf die Schaltfläche
Dateien
können Sie dem Datenschutzvorfall weitere Dateien hinzufügen. - In diesem Bereich wird der Zeitraum des Vorfalls sowie der Zeitpunkt des Bekanntwerdens angezeigt. Sie können weiterhin den Status des Vorfalls ändern sowie den Vorfall durch Klick auf die Schaltfläche
Bearbeiten
bearbeiten.
# Datenschutzvorfall erstellen
Sie können einen neuen Datenschutzvorfall erstellen, indem Sie auf der Übersichtsseite der Datenschutzvorfälle die Schaltfläche Erstellen
verwenden, die sich rechts oben im Inhaltsbereich befindet.
Nachdem Sie alle Pflichtfelder ausgefüllt haben, können Sie den Vorfall über die Schaltfläche Speichern
erstellen. Ein Abbruch des Prozesses ist über die Schaltfläche Abbrechen
möglich.
# Formularfelder eines Datenschutzvorfalls
In diesem Abschnitt werden die Formularfelder eines Datenschutzvorfalls erläutert.
Name des Vorfalls: Hier können Sie einen Namen für den Vorfall angeben. Dieser dient der Identifizierung und der Beschreibung des Vorfalls.
Meldende Person (Auslöser der Schutzverletzung): Geben Sie hier den Namen, die Adresse und die Kontaktdaten der meldenden Person an.
Sonstige Beteiligte an der Datenschutzverletzung (Unternehmen und Personen): Hier können Sie weitere Beteiligte an der Datenschutzverletzung angeben. Gemeint sind nicht die von der Verletzung betroffenen Personen. Durch Klick auf die Schaltfläche Person hinzufügen
können Sie weitere Personen mit Name, Adresse und Konaktdaten hinzufügen.
Ort des Vorfalls: Geben Sie hier den Ort an, an dem sich der Vorfall ereignet hat.
Wie wurde der Datenschutzvorfall bekannt? Geben Sie hier an, wie der Datenschutzvorfall bekannt geworden ist (z.B. Meldung durch betroffene Person, Bekanntwerden durch IT-Abteilung usw.).
Zeitpunkt/Beginn des Vorfalls und Ende des Vorfalls: Geben Sie hier den Zeitpunkt bzw. den Zeitraum des Datenschutzvorfalls ein.
Zeitpunkt des Bekanntwerdens des Vorfalls: Geben Sie hier den Zeitpunkt des Bekanntwerdens ein. Dieser Zeitpunkt ist auch für die Fristen zur Benachrichtigung der Aufsichtsbehörde oder der Betroffenen ausschlaggebend.
Betroffene Verarbeitungen aus Verarbeitungsverzeichnis und betroffene Verarbeitungen im Auftrag: Geben Sie hier die Verarbeitungen oder die Verarbeitungen im Auftrag an, die von dem Datenschutzvorfall betroffen sind.
Art der Verletzung: Geben Sie hier die Art der Verletzung an. Wir haben dafür einige Antworten vorgeschlagen, die Sie ankreuzen können. Weitere Arten der Verletzung können unter Sonstiges eingetragen werden.
Beschreibung des Vorfalls: Geben Sie hier eine Beschreibung des Vorfalls an.
Ursache des Vorfalls: Geben Sie hier die Ursache des Vorfalls an.
Personengruppen und Datenarten: Geben Sie hier die Personengruppen und Datenarten an, die von dem Datenschutzvorfall betroffen sind.
Anzahl der Personen und personenbezogenen Datensätze (Schätzung): Geben Sie hier die Anzahl von betroffenen Personen und die Anzahl von betroffenen Datensätzen an. Wenn eine genau Anzahl nicht bekannt ist, geben Sie hier bitte eine Schätzung der Anzahl an.
Folgen und Auswirkungen des Datenschutzvorfalls: Geben Sie hier die entsprechenden Folgen und Auswirkungen des Vorfalls an. Wenn eine Folge oder Auswirkung nicht in den vorgebenen Antworten vorhanden ist, kann sie unter Sonstiges der jeweiligen Kategorie angegeben werden.
Abschätzung der Eintrittswahrscheinlichkeit und Schwere möglicher Schäden (Risikobewertung): Geben Sie zunächst die Einflussgrößen der Risikobewertung an, die Sie vorgenommen haben. Falls eine Einflussgröße nicht vorhanden ist, kann sie unter Sonstiges angegeben werden.
Risikomatrix und Begründung der Risikobewertung: Geben Sie hier das Ergebnis der Risikobewertung des Vorfalls an. Auf der horizontalen Achse wird die Eintrittswahrscheinlichkeit des Schadens, und auf der vertikalen Achse wird das Ausmaß des möglichen Schadens abgebildet. Je höher die Eintrittswahrscheinlich und das Ausmaß des möglichen Schadens, desto höher ist das Gesamtrisiko. Die Risikoeinschätzung ist in dem Feld Begründung zur Risikobewertung zu begründen.
Erläuterung der ergriffenen bzw. geplanten Maßnahmen zur Behebung der Datenschutzverletzung: Geben Sie hier die ergriffenen bzw. geplanten Maßnahmen zur Behebung der Datenschutzverletzung an.
Erläuterug der ergriffenen bzw. geplanten Maßnahmen zur Milderung der nachteiligen Folgen für Betroffene: Geben Sie hier die ergriffenen bzw. geplanten Maßnahmen zur Milderung der nachteiligen Folgen für Betroffene an.
Kommt der Verantwortliche zu dem Ergebnis, dass eine Meldung bei Aufsichtsbehörde erforderlich ist? Kreuzen Sie dieses Kästchen an, wenn Sie zu dem Ergebnis gekommen sind, dass eine Meldung bei der zuständigen Aufsichtsbehörde erforderlich ist. Eine Meldung bei der Aufsichtsbehörde ist in der Regel bei einem mittleren und hohen Risiko erforderlich. Eine Meldung muss in der Regel innerhalb 72 Stunden nach Bekanntwerden erfolgen. Ist dies nicht erfolgt, müssen Sie noch eine Begründung über die Verzögerung der Meldung angeben.
Es erfolgt eine unverzügliche Nachmeldung von weiteren Informationen, da nicht alle Informationen fristgerecht zur Verfügung gestellt werden können: Kreuzen Sie dieses Kästchen an, wenn binnen 72 Stunden nicht alle Informationen zur Verfügung gestellt werden können und eine unverzügliche Nachmeldung an die Aufsichtsbehörde geplant ist, sobald die Informationen verfügbar sind.
Begründung zur Meldung der Datenschutzverletzung an Aufsichtsbehörde: Geben Sie hier die Begründung an, wie Sie zu dem Ergebnis über eine etwaige Meldung bei der Aufsichtsbehörde gekommen sind. Diese Begründung muss auch erfolgen, wenn Sie zu dem Ergebnis gekommen sind, dass keine Meldung bei der Aufsichtsbehörde notwendig ist.
Benachrichtigung der Betroffenen: Kreuzen Sie dieses Kästchen an, wenn Sie zu dem Ergebnis gekommen sind, dass eine Benachrichtigung der betroffenen Personen. Eine Benachrichtigung der betroffenen Personen ist in der Regel bei einem hohen Risiko erforderlich. Die Meldung hat unverzüglich zu erfolgen. Bei einer verspäteten Meldung ist eine Begründung anzugeben.
Begründung zur Benachrichtigung der Betroffenen: Geben Sie hier die Begründung an, wie Sie zu dem Ergebnis über eine etwaige Benachrichtigung der betroffenen Personen gekommen sind. Diese Begründung muss auch erfolgen, wenn Sie zu dem Ergebnis gekommen sind, dass keine Benachrichtigung erfolgen muss.