Fachnews Datenschutz: Die Beurteilung und Meldung von Datenpannen stellen hohe Anforderungen an Unternehmen Freitag, 17. Mai 2019
Nicht jede Datenpanne ist vermeidbar und nicht jeder Fehler kann verhindert werden. Kommt es zu einer Datenpanne, ist ein rasches Handeln und eine gut organisierte Projektorganisation notwendig, um empfindliche Geldbußen zu vermeiden. Die Vorschriften zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DSGVO) dient, gemeinsam mit den Regelungen zur Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 34 DSGVO), dem Schutz der Rechte der von der Datenverarbeitung betroffenen natürlichen Personen bei Datenschutzverletzungen. Die Pflicht zur Meldung einer Verletzungshandlung soll die Aufsichtsbehörde über eine solche Gefahr in Kenntnis setzen und gibt ihr so eine Grundlage für die Entscheidung über den Einsatz ihrer gesetzlichen Befugnisse. Die Meldepflicht dient also zum einen der Minimierung der negativen Auswirkungen von Datenschutzverletzungen durch Publizität, gleichzeitig gewährt die Vorschrift vorbeugenden Schutz des Betroffenen, indem sie Anreize zur Vermeidung von (zukünftigen) Verletzungen beim Verantwortlichen setzt. DATENPANNEN KÖNNEN JEDES UNTERNEHMEN TREFFEN Eine Verletzung des Schutzes personenbezogener Daten (sog. Datenpanne) liegt immer dann vor, wenn der datenverarbeitenden Stelle bekannt wird, dass personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten zur Kenntnis gelangt sind oder gelangt sein könnten. Eine unrechtmäßige Kenntnisnahme kann zum Beispiel der Verlust eines mobilen Devices (z.B. Notebook, Tablet oder Smartphone) oder eines Speichermediums (z.B. USB-Stick, CD-ROM), der Diebstahl eines solchen Gerätes, der Versand einer E-Mail an einen oder mehrere falsche Adressaten oder jeder Angriff aus einem Netzwerk, insbesondere aus dem Internet, auf ein Computersystem (z.B. auf einen Webserver oder Applikationsserver) sein. DIE MELDEPFLICHTEN WURDEN UNTER DER DSGVO ERWEITERT Im Gegensatz zu den Regelungen des früheren BDSG-alt, das eine Meldepflicht nur für eine Verletzung von bestimmten Datenkategorien vorsah, erstreckt sich die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten unter der DSGVO nun auf alle personenbezogenen Daten. Gemeldet werden muss in diesem Kontext nun also jede Verletzungshandlung, es sei denn, dass die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Der Verantwortliche muss in einer Risikobewertung die Eintrittswahrscheinlichkeit eines drohenden Schadensereignisses prognostizieren und diese Prognose für eine mögliche spätere Überprüfung durch Aufsichtsbehörden oder Gerichte ausführlich dokumentieren. Eine Meldepflicht besteht hierbei bereits bei Bestehen eines grundsätzlichen, über Geringfügigkeit hinausgehenden Risikos und nicht erst im Falle eines hohen Risikos für die Rechte und Freiheiten natürlicher Personen erforderlich. UNVERZÜGLICHE MELDUNG Hierbei ist Eile geboten. Die Meldung an die Aufsichtsbehörde (sogenannte »Data Breach Notification«) hat gemäß Art. 33 Abs.1 S. 1 DSGVO unverzüglich, spätestens jedoch 72 Stunden nach Bekanntwerden zu erfolgen. Soweit zum Zeitpunkt der ersten Meldung, was in der Praxis sehr wahrscheinlich ist, noch nicht der gesamte Umfang der Verletzungshandlung abschließend beurteilt werden kann, sind Teilkenntnisse schrittweise der Aufsichtsbehörde zu melden (Art. 33 Abs. 4 DSGVO). PRÜF-, DOKUMENTATIONS- UND MELDEPROZESSE MÜSSEN IM UNTERNEHMEN EINGEFÜHRT UND GESCHULT WERDEN Um den gesetzlichen Pflichten nachkommen zu können, muss der Prozess vom Bekanntwerden einer (möglichen) Datenschutzverletzung über deren Beurteilung bis hin zur Entscheidung über eine Meldung an die Aufsichtsbehörden in die Prozessorganisation aufgenommen und innerbetrieblich geschult werden. Prozessseitig ist Entscheidend, dass die verantwortlichen Vertreter des Unternehmens und der betroffenen Fachabteilungen, gegebenenfalls der Datenschutzbeauftragte sowie ein verantwortlicher (interner oder externer) IT-Mitarbeiter oder Informationssicherheitsbeauftragter informiert werden, um in einem ersten Schritt technische und organisatorische Sofortmaßnahmen zur Beseitigung des Vorfalls und zur Verhinderung weiterer Schadereignisse einzuleiten und im Anschluss den Umfang, die Reichweite, die Intensität sowie mögliche Folgen der Verletzungshandlung möglichst exakt zu beurteilen. Insbesondere bei Angriffen auf Datenverarbeitungsanlagen in globalen Netzwerken können hierfür umfangreiche IT-forensische Analysen notwendig sein, die in vielen Fällen von den Beschäftigten des Unternehmens selber nicht erbracht werden können. Erst auf Grundlage der Informationen aus diesen Analysen kann der Datenschutzbeauftragte das Vorliegen einer Meldepflicht beurteilen und eine entsprechende Empfehlung an das Management oder die Geschäftsleitung geben. Ein wichtiger Fokus sollte während des gesamten Prozesses auf die über Art. 33 Abs. 5 DSGVO gesetzlich verpflichtende Dokumentation jedes (d.h. auch nicht meldepflichtigen) Vorfalls gelegt werden. Mindestinhalt der Dokumentation sind alle mit dem Vorfall zusammenhängenden Fakten, die ergriffenen Maßnahmen und die Auswirkungen der Datenpanne. Die Dokumentation muss den Aufsichtsbehörden im Zweifel die Überprüfung der Einhaltung der gesetzlichen Bestimmungen des Art. 33 DSGVO ermöglichen. MELDUNGEN KÖNNEN ELEKTRONISCH VORGENOMMEN WERDEN Ergibt sich aus den Analysen und Beurteilungen das Vorliegen einer Meldepflicht, können die nächsten Schritte zwischenzeitlich in allen Bundesländern digital über die Homepages der jeweils zuständigen Aufsichtsbehörden erfolgen. Die Meldung selber sollte hierbei durch den Datenschutzbeauftragten erfolgen oder mit diesem eng abgestimmt werden, da dieser gemäß Art. 39 abs. 1 lit. e DSGVO erste Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen ist, und bei den nach der Meldung zu erwartenden Rückfragen meist direkt angesprochen wird. FAZIT Um im Fall einer Verletzungen des Schutzes personenbezogener Daten in der gesetzlich gebotenen Schnelligkeit reagieren zu können und das sichere Zusammenspiel aller benötigten Personen, unter anderem aus der Geschäftsführung, der IT-Abteilung, der von der Datenschutzverletzung betroffenen Fachabteilung und dem Datenschutz zu gewährleisten, sollten die notwendigen Abläufe und Prozesse frühzeitig entworfen und bekannt gemacht werden. Vergleichbar mit Erste-Hilfe- und Brandschutzübungen sollten die Abläufe geübt werden, damit im „Ernstfall“ jeder weiß, „wo er hin greifen muss“. Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 30. Oktober 2024 Datenschutz Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz von zentraler Bedeutung. Primär steht zwar der Verantwortliche in der Haftung, doch auch die anderen Akteure unterliegen strengen … Weiterlesen … Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Fachnews vom 30. August 2024 Datenschutz Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in Art. 17 DSGVO oder der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Jedoch fällt es viele Unternehmen schwer, einen Überblick darüber … Weiterlesen … Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! Fachnews vom 30. Juli 2024 Datenschutz Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten aut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder aber auch zur Entscheidungsfindung. Ein klares Bild: KI-Systeme haben Einzug in die Strukturen von Unternehmen gefunden. Weiterlesen … Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA < >