Die Leitlinien des Europäischen Datenschutzausschusses (EDSA) „Guidelines 01/2021 on Examples regarding Data Breach Notification“ beruhen auf tatsächlichen Fällen aus der Praxis. Wie Teil 1 beschreibt (siehe Heft 05/21, S. 5–6), teilt der EDSA die Datenschutzpannen in verschiedene Kategorien ein. Bei den Maßnahmen unterscheidet der EDSA zwischen
- Maßnahmen, die Verantwortliche sofort nach einer Datenpanne ergreifen müssen, und
- Maßnahmen, die die Datenpanne hätten vermeiden oder in ihrer Schadensfolge hätten abmildern können.
Die vorgeschlagenen Maßnahmen sind meist technisch-organisatorischer Art und der jeweiligen Kategorie der Verursachung zugeordnet. Dabei ergeben sich auch gleichartige Maßnahmen bei verschiedenen Pannenkategorien.
Verantwortliche und Datenschutzbeauftragte sollten beachten, dass die Leitlinien auf konkreten Einzelfällen aufbauen. Die Maßnahmen, die der EDSA daraus ableitet, beziehen sich somit auch nur auf den konkreten Fall und haben keine Allgemeingültigkeit. Die Maßnahmen sind auch nicht abschließend, sondern geben Anregungen, um zukünftig Datenpannen zu vermeiden. Für die eigene Verarbeitungssituation kann sich daher ein Mehr oder Weniger an Maßnahmen ergeben!
