© Parlamentsdirektion/Michael BuchnerMeldeverpflichtung
Im Fall einer Verletzung des Schutzes personenbezogener Daten sind Verantwortliche gemäß Art. 33 DSGVO verpflichtet, diese unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden. Für Meldungen von Verletzungen des Schutzes personenbezogener Daten im Anwendungsbereich des § 35a Abs. 1 und 2 DSG ist das Parlamentarische Datenschutzkomitee zuständig.
Eine Meldung kann unterbleiben, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, hat der Verantwortliche auch die betroffene Person unverzüglich von der Verletzung zu benachrichtigen, sofern keine Ausnahme im Sinne des Art. 34 Abs. 3 lit. a bis c DSGVO vorliegt.
Musterformular für die Meldung von Datenschutzverletzungen
Das Parlamentarische Datenschutzkomitee stellt für die Meldung ein unverbindliches PDF-Formular zur Verfügung:
PDF-Formular Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO
Die Meldung kann per E-Mail an postfach@pdk.gv.at, via ELAK-Schnittstelle oder postalisch an „Parlamentarisches Datenschutzkomitee, Löwelstraße 14, 1010 Wien“ erfolgen.
Weiterführende Informationen zu den Pflichten des Verantwortlichen
Nähere Informationen zu den Pflichten des Verantwortlichen im Zusammenhang mit Verletzungen des Schutzes personenbezogener Daten finden Sie in den Leitlinien des Europäischen Datenschutzausschusses:
EDSA, Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der DSGVO, Version 2.0
EDSA, Leitlinien 1/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten, Version 2.0
EDSA, Summary: Personal data breaches, what to do
