Geschäftszeichen :
500-11-2081.2/11-1500

M Jobcenter Sachsische Schweiz-Osterzgebirge ae Beschäfigte JC

 

GF-Verfügung

Meldepflicht bei unrechtmäßiger Kenntniserlangung von
personenbezogenen Daten/Sozialdaten durch Dritte

Ab dem 25. Mai 2018 ist für die Verarbeitung von personenbezogenen Daten die Daten-
schutzgrundverordnung der EU (DSGVO) unmittelbar anzuwenden. Dies gilt auch für die
Meldung von Datenschutzverletzurig bei unrechtmäßiger Kenntniserlangung von perso-
nenbezogenen Daten.

Nach Artikel 33 der DSGVO hat die Meldung an die Aufsichtsbehörde (BfDI) unverzüg-
lich zu erfolgen. Die Frist beträgt von 72 Stunden, nachdem die Verletzung bekannt
wurde.

Daneben hat eine solche Meldung bei Verletzung des Schutzes von Sozialdaten auch an
die Rechts- oder Fachaufsichtsbehörde (BMAS) zu erfolgen ($ 83a SGB Xi.d. neuen
Fassung - Inkrafttreten ab 25.05.2018).

Die bisher nach $ 83a SGB X geltende Beschränkung auf besondere Arten personenbe-
zogener Daten fällt weg, d. h. es ist jede „Datenschutzpanne“ zu melden.

Die Meldung hat mindestens folgende Informationen zu enthalten:

1. Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Da-
ten (mit Angabe der Personen, der betroffenen Kategorien und der Zahl der be-
troffenen personenbezogenen Datensätze;

2. Den Namen und die Kontaktdaten des Datenschutzbeauftragten;

3. Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes
personenbezogener Daten;

4. Eine Beschreibung der vom Verantwortlichen ergriffenen Maßnahmen zur Behe-
bung bzw. Abmilderung möglicher nachteiliger Auswirkungen.

Artikel 33 DSGVO normiert in diesen Fällen die Dokumentationspflicht zu Fakten, Aus-
wirkungen und ergriffenen Maßnahmen, damit der Aufsichtsbehörde die Überprüfung er-
möglicht wird.

Daneben ist nach Artikel 34 der DSGVO die betroffene Person hierüber zu benachrichti-
gen, wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte
und Freiheiten zur Folge hat.

JC SOE _ Verfügung Datenschutzpannen Seite 2

Diese Benachrichtigung hat unverzüglich in klarer und einfacher Sprache zu erfolgen.
Sie hat mindestens folgende Informationen und Maßnahmen zu enthalten:

> den Namen und die Kontaktdaten des Datenschutzbeauftragten;

> eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes per-
sonenbezogener Daten; Eine Beschreibung der vom Verantwortlichen ergriffenen
Maßnahmen zur Behebung bzw. Abmilderung möglicher nachteiliger Auswirkun-
gen.

> eine Beschreibung der vom Verantwortlichen ergriffenen Maßnahmen zur Behe-
bung bzw. Abmilderung möglicher nachteiliger Auswirkungen.

Damit ist immer dann, wenn es unbefugten Dritten möglich war bzw. ist, von personen-

bezogenen Daten Kenntnis zu nehmen und insoweit eine rechtswidrige Offenbarung er-
folgte, der in der Anlage 1 enthaltene Vordruck durch die zuständige Führungskraft voll-
ständig auszufüllen und unverzüglich der Datenschutzbeauftragten zu senden.

. Dabei ist immer das Datenschutzpostfach und nicht das persönliche Postfach zu nutzen,
damit im Falle der Abwesenheit der DSB die Stellvertretung die erforderlichen Maßnah-
men ergreifen kann.

Das mögliche Risiko ist ausführlich darzulegen, damit festgestellt werden kann, ob alle
geeigneten technischen und organisatorischen Maßnahmen getroffen wurden und in wel-
cher Art und Schwere die Verletzung des Schutzes personenbezogener Daten Auswir-
kungen für die betroffene Person nach sich ziehen kann bzw. wird.

Die Verfügung und der interne Meldevordruck ist in der Ablage Geschäftsprozesse, Ord-
ner Datenschutz, Unterordner Meldepflicht Datenschutzpannen abgelegt.

Die DSB prüft den Vorgang, prüft das Vorliegen der Voraussetzungen nach Artikel 34
DSGVO, stellt die notwendigen Dokumente in einem als vertraulich gekennzeichneten
Protokoll zusammen und veranlasst die Information an

1. den Geschäftsführer,

2. in Fällen zentraler Verfahren und eingekaufter Dienstleistungen an die Zentrale
(JDC),

3. in allen anderen Fällen an die Aufsichtsbehörde und die Rechtsaufsichtsbehörde
und

4. bei Vorliegen der Voraussetzung Art. 34 DSGVO an die betroffene/-n Person/-en,
sofern es sich nicht um Vorgänge nach Nr. 2 handelt.

Die Meldung an die Aufsichtsbehörde erfolgt entweder durch die DSB oder deren Stell-
vertretung.

JC SOE Verfügung Datenschutzpannen | Seite 3

Die Benachrichtigung der betroffenen Person erfolgt grundsätzlich nach entsprechender
Bearbeitungsverfügung der DSB oder deren Sanierung durch die zuständige Füh-
rungskraft.

Die Meldung nach 8 83a SGB X an die Rechtsaufsichtsbehörde (BMAS) erfolgt durch
den Geschäftsführer bzw. dessen Stellvertreter.

Die hiermit geregelte Verfahrensweise tritt ab dem 25. Mai 2018 in Kraft, die Verfügung
vom 13. Februar 2017 verliert ab diesem Tag ihre Gültigkeit.

Anlage

Verfügung:
1. MF alle MA des JC
2. Auswertung in allen Team-DB
3. MF Az II-1500 .
4. z.d. A. 11-2081.2