Die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) hat die Checkliste „Meldung von Datenschutzverletzungen nach Art. 33, 34 DSGVO“ veröffentlicht.
Art. 33 Abs. 1 DSGVO verlangt die Meldung an die Aufsichtsbehörde, wenn eine Datenpanne mit Bezug zu personenbezogenen Daten ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt (z. B. eine fehlgeleitete E-Mail). Art. 34 Abs. 1 DSGVO verpflichtet zur Benachrichtigung der Betroffenen, falls ein vergleichsweise hohes Risiko besteht – etwa bei drohendem Identitätsdiebstahl oder finanziellen Schäden. Letztere Pflicht kann entfallen, wenn die Daten verschlüsselt waren, nachträgliche Maßnahmen das Risiko beseitigen oder eine individuelle Benachrichtigung unverhältnismäßig wäre.
Die GDD unterstützt als gemeinnütziger Verein mit der Checkliste dabei, die genannten Meldepflichten hinreichend zu prüfen. Mehr Infos hier.