KVKK-Artikel 12: Der Datenverantwortliche ist verpflichtet, den Vorstand und relevante Personen zu benachrichtigen, falls personenbezogene Daten von anderen auf illegale Weise erhalten werden.
Arten von Verstößen
- Hackerangriff (Cyber-Leak)
- Gestohlener Laptop/USB-Speicher
- Falscher E-Mail-Versand
- Unbefugtes Personal Zugriff
- Leck der Datenbanksicherung
Benachrichtigungszeitraum
- Benachrichtigung an den Vorstand innerhalb von 72 Stunden nach Kenntnisnahme des Verstoßes
- Benachrichtigung an die relevanten Personen „innerhalb angemessener Zeit“
- Datenleck-Benachrichtigungsformular (auf der Website des Vorstands)
Benachrichtigungsinhalt
- Erklärung des Verstoßdatums und Dauer
- Betroffene Datenkategorien und Anzahl
- Mögliche Folgen des Verstoßes
- Ergriffene Maßnahmen
- Kontaktstelle
Verwaltungsrechtliche Sanktionen
- Unterlassene Benachrichtigung: Jährlich laufende Verwaltungsstrafe
- Verspätete Benachrichtigung: zusätzliche Strafe
- Unzureichende Sicherheitsmaßnahmen: gesonderte Strafe
- Bei Verstößen Opfer materielle und moralische Entschädigung
Entscheidungen des KVKK-Vorstands
Der KVKK-Vorstand hat in den letzten Jahren Verwaltungsstrafen in Millionenhöhe gegen große Unternehmen (Banken, Telekommunikation, E-Commerce) verhängt. Dabei wird insbesondere auf Datenminimierung-Verstöße hingewiesen.
Praktische Empfehlungen
- Erstellen Sie im Voraus einen Plan zur Reaktion auf Verstöße
- Planen Sie den 72-Stunden-Zeitraum
- Holen Sie sich rechtliche Unterstützung für Benachrichtigungsprozesse
- Transparente Informationen für die Opfer
KVKK-Fachanwalt wird empfohlen.