Laut Artikel 33 der Datenschutz-Grundverordnung (DSGVO) ist eine „(…) Verletzung des Schutzes personenbezogener Daten (…) unverzüglich und möglichst binnen 72 Stunden“ der zuständigen Aufsichtsbehörde zu melden. Damit bei dem Zusammentragen von benötigten Informationen möglichst wenig Zeit verstreicht, können Sie diesen Prozess mithilfe des Moduls Elektronische Formulare in roXtra automatisieren. Nachfolgend stellen wir Ihnen einen möglichen innerbetrieblichen Prozessablauf, von der vermuteten Datenpanne bis hin zur Meldung an die Aufsichtsbehörden, vor.

BPMN-Darstellung des Prozesses hinter der "Datenschutzmeldung" von der Meldung, über die Analyse, die Info an die Geschäftsführung bis hin zur Meldung an die Aufsichtsbehörden.

Abbildung 1: BPMN-Darstellung des Prozesses hinter der Datenschutzmeldung

Während des Prozesses „Datenschutzmeldung“ werden vermutete Datenpannen gemeldet, analysiert und bei Bedarf die Geschäftsführung sowie die zuständigen Behörden benachrichtigt. Darüber hinaus werden Maßnahmen definiert.

Der Prozess beginnt mit der Meldung der vermuteten Datenpanne durch den/die Melder/in. Die Meldung beinhaltet dabei unter anderem Datum und Uhrzeit des Vorfalls, eine Beschreibung des Vorfalls, die betroffenen Abteilungen, die Art des damit verbundenen Risikos, betroffene Personengruppen und die Anzahl der betroffenen Personen und Datensätze.

Im nächsten Prozessschritt wird die Meldung durch die/den Datenschutzbeauftragte/n analysiert. Es ist zu bewerten, ob die Meldung berechtigt ist oder nicht. Zudem werden der Risikowert, die Art des Risikos, ggfs. ein Kommentar zur Analyse und der/die Geschäftsführer/in, welche/r zu benachrichtigen ist, angegeben.

Wird die Meldung als nicht berechtigt bewertet, erhält der/die Melderin folgende Benachrichtigung:

Der zuvor angegebene Titel wird automatisch unter „Titel“ eingefügt.

Wird die Meldung als berechtigt bewertet, wird der/die angegebene Geschäftsführer/in wie folgt benachrichtigt:

Zusätzlich zur Nachricht erhält der/die Geschäftsführer/in die bisher angegebenen Informationen (z. B. Datum/Uhrzeit des Vorfalls, Art des Risikos, Anzahl der Datensätze).

Nachdem die Geschäftsführung benachrichtigt wurde, erhält der/die Datenschutzbeauftragte die Aufgabe, die Meldung zu bearbeiten. Hierbei ist zu entscheiden, ob die Betroffenen informiert werden müssen. Zur Bearbeitung gehört darüber hinaus eine Beschreibung der möglichen Ursache des Vorfalls, ergriffener und geplanter Maßnahmen, vorgeschlagene zukünftige Maßnahmen und ein Kommentar zur Bearbeitung. Wird die Meldung an die zuständige Aufsichtsbehörde als notwendig erachtet, erhält die Geschäftsleitung die Aufgabe eine Meldung durchzuführen. Hierbei sind das Datum und die Uhrzeit der Meldung an die Behörden, ein Kommentar zur Meldung sowie die eigentliche Meldung selbst zu dokumentieren. Ist die Meldung an die Aufsichtsbehörden erledigt oder muss die Datenpanne nicht gemeldet werden, ist der Prozess abgeschlossen.


In unserer neuen Rubrik „Prozess des Monats“ stellen wir Ihnen monatlich Prozesse, die Sie mit Modul roXtra Elektronische Formulare abbilden können, vor. Mithilfe des Moduls können Sie Formulare direkt in roXtra ausfüllen und zur Bearbeitung, Genehmigung oder Freigabe weiterleiten – und das mit nur einem Klick und ohne Medienbruch. Ihnen gefällt der vorgestellte Prozess und Sie möchten diesen auch bei sich integrieren? Zur Reduzierung Ihres Arbeitsaufwands bieten wir Ihnen hier direkt die BPMN-Datei dieses Prozesses an. Nachdem Sie den Prozess in Ihr roXtra hochgeladen haben, können Sie diesen überarbeiten und an Ihre individuellen Anforderungen anpassen.

89