In der täglichen Arbeit als DSB lande ich immer wieder in der gleichen Grauzone: Ein Vorfall ist passiert, die 72-Stunden-Frist läuft, und die entscheidende Frage lautet – Meldung an die Behörde ja oder nein?
Art. 33 DSGVO setzt die Schwelle bei „voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen“. Das klingt klar, ist es in der Praxis aber oft nicht. Verlorener USB-Stick mit verschlüsselten Daten? Fehlgeleitete E-Mail mit einer Handvoll Empfänger? Ransomware auf einem System ohne personenbezogene Daten?
Die WP29/EDSA-Leitlinien (zuletzt WP250 rev.01 bzw. Guidelines 01/2021) helfen, decken aber längst nicht alle Konstellationen ab, die uns in der Praxis begegnen.
Meine Frage an die Community: Arbeitet jemand mit einer eigenen Checkliste oder Entscheidungsmatrix, die ihr intern oder extern einsetzt? Gibt es bewährte Kriterien, nach denen ihr die Risikobewertung strukturiert?
Freue mich über Erfahrungen, Vorlagen oder auch Gegenbeispiele aus der Praxis.
Liebe Grüße
Michael