Meldung von Datenpannen

Meldung von Datenschutzverletzungen nach Art. 33 DSGVO

Nach Art. 33 DSGVO muss eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden an die Aufsichtsbehörde für den Datenschutz gemeldet werden.

Als eine solche Datenschutzverletzung oder Datenpanne zählt:

  • Der Verlust von Datenträgern (USB-Sticks, Festplatten, Smartphones, Laptops o.ä.)
  • Das Fehlversenden von personenbezogenen Daten (Post, E-Mail, Fax)
  • Der allgemeine Verlust von Akten
  • Malware Befall
  • Kompromittierung von Accounts mit Zugriff auf personenbezogene Daten
  • Diebstahl von personenbezogenen Daten

Wenn die bei dem Vorfall verlorenen Daten voraussichtlich zu keinem Risiko für die Rechte und Freiheiten der Betroffenen führen muss keine Meldung erfolgen.
Vorfälle sind generell zu dokumentieren.

Wurden bei einem solchen Vorfall personenbezogene Daten offengelegt oder von Unbefugten verarbeitet oder besteht zumindest das Risiko dazu, sind Sie verpflichtet den Vorfall zu melden.

Melden der Datenschutzpanne

Datenpannen werden durch die Informationssicherheit und den Datenschutzbeauftragten bearbeitet.

Meldung per Mail an: datenpanne@ruhr-uni-bochum.de
Wenn Sie unser S/Mime-Zertifikat in Ihren Mail-Client importieren, können Sie uns auch eine verschlüsselte E-Mail zuschicken.

Meldung per Fax an: +49 (0)234 / 32-14207

Vollständig anonym erreichen uns Ihre Mitteilungen via Hauspost der Ruhr-Universität an:

Datenschutzbeauftragter
Wasserstr. 221 R.4/09

Zur Bearbeitung des Vorfalls benötigen wir (was, wann, wo):

  1. Eine kurze Beschreibung dessen, was zu welcher Zeit bemerkt wurde
  2. Soweit bekannt, welche Arten personenbezogener Daten in welchem Umfang betroffen sind
  3. Optional: Kontaktadresse (E-Mail, Telefon) für Rückfragen. Meldungen können auch anonym erfolgen.

Was dann passiert

Anschließend wird Ihre Meldung an die Beauftragte für Informationssicherheit und den Datenschutzbeauftragten der RUB übermittelt. Diese sind zuständig für Meldungen der Ruhr-Universität an die Landesbeauftragte für Datenschutz und Informationssicherheit.

Abhängig von der Art und Schwere der Datenschutzverletzung werden die Betroffenen, die zuständigen dezentralen Beauftragten für Informationssicherheit und Datenschutz und die Leitungen betroffener Einrichtungen benachrichtigt. Zur Abwehr akuter schwerwiegender Störungen und Gefahren werden berechtigte Stellen der Ruhr-Universität unabhängig davon temporär

  1. Anwender von der Nutzung der IT-Systeme, dem Netzwerk oder den IT-Dienstleistungen ausschließen,
  2. die Internet-Verbindung zu den betroffenen Endgeräten oder Subnetzen unterbrechen.

Die Notmaßnahmen sind auf den Zeitraum beschränkt, in dem die Störung oder Gefahr vorliegt.