OVHcloud Help centre

Hallo, wie können wir Ihnen helfen?

Einsatzzwecke

Sobald personenbezogene Daten betroffen sind, ist der für die Verarbeitung Verantwortliche verpflichtet, die jeweilige Verletzung in einem internen Register dokumentieren.

 

Mein Dedicated Server war über mehrere Tage nicht verfügbar, enthält aber keine personenbezogenen Daten. Muss ich eine Mitteilung machen?

Nein, die Verpflichtung zur Mitteilung einer Verletzung besteht, wenn eine Verletzung gegen Sicherheitsbestimmungen versehentlich oder unrechtmäßig die Zerstörung, den Verlust, die Veränderung oder die unbefugte Weitergabe von personenbezogenen Daten zur Folge hat, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden, oder wenn unbefugt auf derlei Daten zugegriffen wird. Wenn Sie also keine personenbezogenen Daten verarbeiten, besteht auch keine Mitteilungspflicht.

 

Meine Infrastruktur gilt nach dem Brand als „nicht wiederherstellbar“. Ich hatte zuvor keine Backups erstellt. Muss der Aufsichtsbehörde eine Mitteilung gemacht werde?

Eine Mitteilung an die Aufsichtsbehörde ist in folgenden Fällen erforderlich:

  • Personenbezogene Daten sind unwiederbringlich verloren. Es wurde kein Backup erstellt.
  • Personenbezogene Daten waren so lange nicht verfügbar, dass den betroffenen natürlichen Personen ein Risiko daraus erwachsen ist.

Verursacht der Verlust oder die Unverfügbarkeit der Daten jedoch keine Gefahr für die Rechte und Freiheiten der betroffenen natürlichen Personen, so ist keine Mitteilung erforderlich. Bei Daten von geringer Bedeutung wie technischen Daten kann das der Fall sein.

Ist eine Mitteilung erforderlich, so muss der für die Verarbeitung Verantwortliche sie so bald wie möglich erstatten. Dies sollte möglichst innerhalb von 72 Stunden nach Bekanntwerden der Verletzung erfolgen.

Sind Sie Auftragsverarbeiter, d. h. wenn Sie die betreffenden Daten auf Anweisung einer Drittorganisation, z. B. Ihres Kunden, verarbeiten, müssen Sie diesen so schnell wie möglich über den Vorfall informieren. So kann er dann die erforderlichen Mitteilungen machen. Ist er selbst nicht für die Verarbeitung verantwortlich, kann er so den Verantwortlichen benachrichtigen.

Verursacht die Verletzung ein potentiell hohes Risiko für weitere Personen, so müssen auch diese unverzüglich informiert werden. Die Höhe des Risikos wird insbesondere danach bewertet, welche Art von Daten und Personen betroffen sind, sowie welche Folgen die Verletzung für sie haben kann. Sind die Daten von Kunden, Patienten, Arbeitnehmern, Minderjährigen oder schutzbedürftigen Personen betroffenen? Beispielsweise kann der endgültige Verlust von Gesundheitsdaten eines Patienten ein hohes Risiko darstellen.

 

Ich bin für die Verarbeitung der Daten verantwortlich. Meine Infrastruktur gilt nach dem Brand als „nicht wiederherstellbar“, aber ich habe Backups. Muss ich die Aufsichtsbehörde benachrichtigen?

Hat der Einsatz eines Disaster Recovery Plans (DRP) oder eines Business Continuity Plans (BCP) die Kontinuität des Dienstes ermöglicht? Sind die Daten auf Basis der Backups wiederhergestellt oder ist dies ohne erhebliche Folgen für die betroffenen Personen möglich? Dann ist keine Meldung nicht erforderlich.

 

Ich nutze die Exchange Dienste von OVHcloud. Die E-Mails, die mir zur Zeit der Störung gesendet wurden, oder die ich erhalten habe, sind verspätet angekommen. Muss ich dies meiner Datenschutzbehörde mitteilen?

Mit den Disaster Recovery Plänen (DRP) und Business Continuity Plänen (BCP) von OVHcloud konnten die Daten auf Basis der Backups wiederhergestellt werden. Die Folgen für die betroffenen Personen wurden dadurch darauf begrenzt, dass E-Mails vorübergehend nicht verfügbar waren. In diesem Fall ist im Allgemeinen keine Mitteilung erforderlich, es sei denn, den betroffenen Personen ist eine erwiesene Gefährdung daraus entstanden.

 

Meine E-Mail-Dienste waren mehrere Stunden nach der Störung nicht verfügbar, es gab jedoch keinen Verlust. Muss ich diese Nichtverfügbarkeit mitteilen?

Nein, nur „Verletzungen des Schutzes personenbezogener Daten“ sind zu melden. Die vorübergehende Nichtverfügbarkeit ist nach Artikel 4 Absatz 12 der DSGVO nicht als Verletzung definiert.

 

 

War diese Information hilfreich? oder
Das ist toll. Wir freuen uns, dass wir helfen können.
Danke für deine Hilfe! Ihr Feedback wird so schnell wie möglich von unseren Teams überprüft.
Bitte schreiben Sie uns, warum Sie die gewünschte Antwort nicht finden konnten. Ihre Anfragen an den Support werden nicht mit diesem Formular bearbeitet. Bitte nutzen Sie dazu das spezielle Formular, um ein Ticket zu erstellen.