Eine Verletzung des Schutzes personenbezogener Daten ( „Data Breach“) liegt nach Art. 4 Nr. 12 DSGVO vor, wenn eine Sicherheitsverletzung zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu personenbezogenen Daten führt. Das kann beispielsweise bei einem Cyberangriff, einem verlorenen Laptop oder einer versehentlich an den falschen Empfänger gesendeten E-Mail der Fall sein. Nach Art. 33 DSGVO muss der Verantwortliche die zuständige Aufsichtsbehörde unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden informieren, sofern die Verletzung voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Für solche Meldungen nutzen die europäischen Aufsichtsbehörden bislang jeweils eigene Verfahren und Formulare. Der Europäische Datenschutzausschuss (EDPB) hat nun den Entwurf eines einheitlichen Templates veröffentlicht.
Das als Word-Dokument bereitgestellte Template ist vor allem als Grundlage für die späteren digitalen Meldeformulare der Aufsichtsbehörden gedacht. In einer umfangreichen Tabelle legt es die vorgesehenen Eingabefelder, Antwortoptionen, Erläuterungen, Pflichtangaben und technischen Anzeigelogiken fest. Abgedeckt werden unter anderem Art und Status der Meldung, Angaben zum Verantwortlichen und zur meldenden Person, Zeitpunkt, Art und Umfang der Datenschutzverletzung, betroffene Personen und Datenkategorien, mögliche Folgen und die Risikobewertung, ergriffene oder geplante Schutzmaßnahmen sowie die Benachrichtigung betroffener Personen.
Das Template befindet sich derzeit in der öffentlichen Konsultation. Stellungnahmen können noch bis zum 5. August 2026 um 23:59 Uhr MESZ über die Website des EDPB eingereicht werden. Nach Auswertung der Rückmeldungen will der EDPB über den Zeitplan für die praktische Umsetzung durch die Aufsichtsbehörden entscheiden.
Quellen:
