Die Datenschutzbehörde hat sich in einer Entscheidung vom 02.02.2021 (2021-0.024.862) mit einer Konsultation im Rahmen einer Datenschutz-Folgenabschätzung beschäftigt. Der Antrag auf vorherige Konsulation nach Art 36 DSGVO wurde von der DSB abgewiesen, da der Verantwortliche unter Berücksichtigung aller Maßnahmen das Risiko eingedämmt hat.
Wenn eine Datenschutz-Folgenabschätzung (DSFA) aufgrund der vom Verantwortlichen gesetzten Maßnahmen ergibt, dass kein hohes Risiko gegeben ist, dann ist ein Konsulationsverfahren gem. Art 36 DSGVO unzulässig.
Die DSB ist nicht dazu da, um getroffene oder geplante Maßnahmen auf die Wirksamkeit zur Risikoreduzierung zu prüfen.
Ein Antrag auf vorherige Konsultation gem. Art 36 DSGVO wird von der DSB zurückgewiesen.
Verlust des Suchtmittelbuches verpflichtet zur Benachrichtigung der Patienten, wenn nicht sichergestellt ist, dass dasselbe nicht in falsche Hände gerät, oder das Risiko zB durch Pseudonymisierung reduziert wurde.
Die DSGVO sieht bei Datenschutz-Vorfällen (Data Breach) eine verpflichtende Meldung an die Behörde (Art 33) und auch an die betroffenen Personen (Art 34) vor. Die Frage, die sich viele Verantwortliche stellen: Gibt es auch Datenschutz-Verletzungen, die nicht zu melden sind?
Die Meldung von Datenschutzvorfällen (Data Breach Notification) ist eine der Verschärfungen, die mit 25.05.2018 durch die Geltung der DSGVO auf Behörden, öffentliche Stellen und auch Unternehmen zukommt.
Ist der Verlust eines USB-Sticks mit Datensätzen aus der Debitorenbuchhaltung an die Aufsichtsbehörde oder gar an alle betroffenen Personen zu melden?