Zum Inhalt springen Zur Navigation springen
Podcast thumbnail image

61 Es ist Freitag, Zeit für einen Datenschutzvorfall

Murphy’s Law der Datenschützer schlägt zu: es ist Freitag und natürlich Zeit für einen Datenschutzvorfall. Laura und Cornelius schauen sich dieses Phänomen des Datenschutzes im Detail an. Wie geht man mit der 72-Stunden-Frist um, was ist mit dem Wochenende und wer hat eigentlich Kenntnis? Schwierig wird’s beim Risiko vor allem für die Betroffenen und vielleicht findet man dabei auch die Leichen im Keller.

00:00:00 Intro
00:01:21 Einleitung in das Szenario
00:04:12 Was ist ein Datenschutzvorfall?
00:08:51 Manchmal hilft auch die GDPR – Data Breach
00:11:52 Die 72-Stunden-Frist – Datenschutz kennt kein Wochenende
00:16:05 Ab wann gelten die 72 Stunden? Wer weiß wann was?
00:20:50 Sensibilisierung, Schulung, Meldewege und Prozesse
00:25:02 Schrittweise Meldung ist auch möglich
00:26:45 Aufsichtsbehörde: dein Freund und Helfer?
00:28:52 Bestimmung des Risikos – Wo fängt es an und wo hört es auf?
00:35:48 „Top it up a notch!“ – Artikel 34 das hohe Risiko
00:38:24 Die armen Betroffenen: Pro und Contra des hohen Risikos
00:42:56 Rattenschwanz der Meldung an Betroffene – Die Leichen im Keller
00:45:01 Dokumentation nicht vergessen!
00:48:06 Outro

Abonnieren und keinen Podcast verpassen

Gefällt Ihnen dieser Podcast? Dann würden wir uns über eine Bewertung bei iTunes freuen.

Podcast kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Moin zusammen,

    was mir fehlt ist die technische Berechnung der Frist.

    Europäische Fristenverordnung
    Verordnung (EWG, Euratom) Nr. 1182/71 des Rates vom 3. Juni 1971 zur Festlegung der Regeln für die Fristen, Daten und Termine
    Kapitel I, Artikel 3

    (1) Ist für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird, so wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.

    Beispiel:
    Vorfall 18:12 Uhr, 22.11.2023
    Beginn 72h-Frist 19:00 Uhr, 22.11.2023
    Ende 72h-Frist 19:00 Uhr, 25.11.2023

    und die angekündigten Verlinkungen.

    Der Rest gefällt mir gut.

    Gruß Ralf

    • Vielen Dank für den Hinweis und das nette Feedback. Da wir auf diesen Punkt nicht mehr im Detail eingehen konnten, haben wir einen einschlägigen Aufsatz zu diesen Fragestellungen in den Shownotes platziert. Wir hoffen, dass das hilft.

  • Bei ~14:00 stimme ich nicht komplett zu. Die Fristberechnung richtet sich m. E. nach der FristenVO der Europäischen Union.
    Ausschlaggebend ist hier insbesondere Artikel 3:

    Ist für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird, so wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.
    (…)
    (2) Vorbehaltlich der Absätze 1 und 4 gilt Folgendes:
    a) Eine nach Stunden bemessene Frist beginnt am Anfang der ersten Stunde und endet mit Ablauf der letzten Stunde der Frist.
    (…)
    (3) Die Fristen umfassen die Feiertage, die Sonntage und die Sonnabende, soweit diese nicht ausdrücklich ausgenommen oder die Fristen nach Arbeitstagen bemessen sind.
    (…)
    (5) Jede Frist von zwei oder mehr Tagen umfasst mindestens zwei Arbeitstage.

    Das heißt in dem von Laura genannten Beispiel:

    15:42 erlangt sie – als DSB – Kenntnis. Das heißt für den Fristbeginn muss zuerst erfragt werden, wann die Verantwortliche (der IT-ler, andere Mitarbeiter oder ähnliches) Kenntnis erlangt hat, da dies ja für die Fristberechnung ausschlaggebend ist, nicht wann die (externe) DSB Kenntnis erlangt hat. Anders wärs natürlich, wenn der IT-ler Dienstleister ist und die DSB in der Sphäre der Verantwortlichen sitzt.
    Nehmen wir also an, die Verantwortliche/Mitarbeiter haben irgendwann zwischen 15:00 und dem Anruf, um 15:42 Kenntnis erlangt.
    Das heißt Fristbeginn ist 16.00 (da die Stunde des Ereignis der Kenntnisnahme nicht mitgezählt wird, egal ob 15:00:01 oder 15:59:58).
    Auslaufen würde die Frist somit nach 72h, also theoretisch am Montag um 16.00 Uhr, aber da JEDE Frist von zwei oder mehr Tagen mindestens 2 Arbeitstage umfassen muss, kann die Frist erst am Dienstag 16.00 Uhr ablaufen.

  • Das mit dem Freitag kann ich bestätigen. Bevorzugt kurz vor Schluss. Ist aber halb so wild, wenn viele davon bereits eine Zeitlang gereift sind. Also egal, ob die 72-h-Frist um 0 Uhr am Samstag oder um 0 Uhr im Februar beginnt.

    D., der bei den meisten feststellt, dass die Meldekritierien nicht erfüllt sind.

    • Das können wir bestätigen und auch wir freuen uns, wenn wir ein ruhiges Wochenende haben und die Dokumentation nach der ersten Einschätzung bzw. Sachverhaltsanalyse bis zum Montag warten kann.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.