Die DSGVO versteht unter einem Data Breach eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt.
Verantwortliche und Auftragsverarbeiter müssen in der Lage sein eine Datenschutzverletzung zu erkennen.
Es ist Aufgabe des Verantwortlichen entsprechende Maßnahmen zu setzen, damit es erst gar nicht zu einer Datenschutzverletzung kommt. Diese Maßnahmen sind unter Berücksichtigung des Stands der Technik umzusetzen.
Hat man eine Datenschutzverletzung erkannt, ist diese grundsätzlich binnen 72 Stunden an die Aufsichtsbehörde zu melden. Nur in Ausnahmefällen entfällt die Meldepflicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ob ein Data Breach ein Risiko für die Rechte und Freiheiten von Betroffenen mit sich bringt, ist vom Verantwortlichen im Einzelfall im Zuge einer Risikobewertung festzustellen. Welche Faktoren dabei zu berücksichtigen sind, wird auf Basis der WP 250 ausführlich erläutert.
Unabhängig von einer Meldepflicht an die Aufsichtsbehörde und einer etwaigen Benachrichtigungspflicht an die betroffenen Personen, hat der Verantwortliche jedenfalls die Datenschutzverletzung zu dokumentieren.