Als Datenschutzvorfall wird eine Sicherheitsverletzung bezeichnet, bei der personenbezogene Daten unbefugt offengelegt, verloren, verändert oder unrechtmäßig abgerufen werden. Solche Vorfälle können für die betroffenen Personen erhebliche Risiken mit sich bringen, beispielsweise Identitätsdiebstahl oder Rufschädigung. Mitarbeitende müssen geschult sein, um Vorfälle erkennen und melden zu können, damit schnell gehandelt werden kann.
Typische Anzeichen sind ungewöhnliche Aktivitäten im IT-System oder verlorene Datenträger. Bei der Bewertung eines solchen Vorfalls müssen die Art und die Sensibilität der betroffenen Daten sowie die potenziellen Folgen berücksichtigt werden. Eine gründliche Dokumentation des Vorfalls ist unerlässlich, ebenso wie die Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden, sofern ein Risiko für die Rechte der betroffenen Personen besteht. Bei hohem Risiko müssen die betroffenen Personen informiert werden.
HmbBfDI, Umgang mit Data-Breach-Meldungen nach Art. 33 DSGVO