Fachnews Datenschutz: Orientierungshilfe des Bayerischen Landesbeauftragten zu Melde- und Benachrichtigungspflichten bei Datenpannen Donnerstag, 25. Juli 2019
Der Bayerische Landesbeauftragte für den Datenschutz legt mit seiner Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ eine umfassende Erläuterung zur Anwendung der Artikel 33 und 34 DSGVO vor. Mit zahlreichen praktischen Anwendungsbeispielen und Empfehlungen bietet die Orientierungshilfe praxisnahe Unterstützung bei der Beurteilung möglicher Verletzungen des Schutzes personenbezogener Daten und bei der Risikobeurteilung bei Vorliegen einer Melde- oder Benachrichtigungspflicht. Dass die Beurteilung und Meldung von Datenpannen hohe Anforderungen an Verantwortliche stellt ist auch den Aufsichtsbehörden bewusst (mehr zu den Prüf-, Dokumentations- und Meldeanforderungen auch in diesem Blog-Beitrag). Die hohe Relevanz des Themas wird zudem offensichtlich, wenn der Bayerische Landesbeauftragte für den Datenschutz in seiner Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ bereits im Vorwort anführt, dass er „von bayerischen öffentlichen Stellen nahezu täglich Meldungen nach Art. 33 DSGVO“ erhalte. Obwohl sich die nun vorgelegte Orientierungshilfe konkret an bayerische öffentliche Stellen wendet, können die Prüfungsschritte zur Beurteilung einer möglichen Melde- oder Benachrichtigungspflicht im Rahmen einer Verletzungshandlung ohne viel Phantasie auch auf nicht-öffentliche Stellen angewandt werden. Aufbau der Orientierungshilfe Beginnend bei den Merkmalen von Datenschutzverletzungen als Anknüpfungspunkt möglicher Meldepflichten gegenüber den Aufsichtsbehörden gemäß Artikel 33 DSGVO und Benachrichtigungspflichten gegenüber den Betroffenen gemäß Artikel 34 DSGVO, über die Risikobeurteilung bei Vorliegen einer Datenschutzverletzung, der Meldung und Benachrichtigung selber bis hin zum Aufbau der gesetzlich geforderten Dokumentation beleuchtet die Orientierungshilfe auf immerhin 64 Seiten einen großen Teil der für die Praxis relevanten Fragen und Probleme. Verletzungsverhalten und Verletzungserfolg Während in zahlreichen Handreichungen und Arbeitshilfen bislang insbesondere auf Zeitpunkt, Art, Inhalt und Umfang der Meldung sowie auf mögliche Sanktionen fokussiert wird, räumt Thomas Petri, der Bayerische Landesbeauftragte für den Datenschutz, der Prüfung des Verletzungsverhaltens selber und der Beurteilung des Verletzungserfolges als „Voraussetzung“ einer möglichen Datensicherheitsverletzung Raum ein. Der ausdrückliche Hinweis darauf, dass nicht in jedem Verstoß gegen datenschutzrechtliche Vorschriften eine „Verletzung“ i.S.d. Artikel 4 Nr. 12 DSGVO gegeben ist, sondern dass hier (nur und ausschließlich) Verletzungen der Sicherheit (!) personenbezogener Daten angesprochen sind, wird in der Orientierungshilfe sehr deutlich herausgearbeitet. Die vorgeschlagene Beurteilung eines möglichen Verletzungsverhaltens entlang der Fragen nach einer Nichtbeachtung normativer Vorgaben, der Überwindung technischer Vorkehrungen oder dem Vorliegen organisatorischen Fehlverhaltes gibt ein Prüfungsschema vor, dass auch von juristisch weniger erfahrenen Datenschutzbeauftragten sicher angewandt werden kann. Risk Assessment basiert auf bekannten Strukturen Mit der vorgeschlagenen Risikobeurteilung bei Meldepflicht und Benachrichtigungspflicht schließt der Bayerische Landesdatenschutzbeauftragte begrifflich und systematisch an die bereits im Kurzpapier XVIII Datenschutz-Folgenabschätzung entwickelte Risikomatrix zur Darstellung des Schutzniveaus für Datenschutzrisiken im Rahmen von Datenschutz-Folgenabschätzungen (DSFA) nach Artikel 35 DSGVO an, die so auch vom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) unter anderem im Leitfaden Risk Assessment & Datenschutz-Folgenabschätzung vertreten wird. Durch die hierdurch erreichbare Wiederholung der systematischen Logik bei Risikobeurteilungen kann in der Praxis gerade bei diesem zum Teil „theoretischen“ und durchaus komplexen Thema eine begrüßenswerte Routine erreicht werden, die allen Beteiligten mehr Anwendungs- und Dokumentationssicherheit gibt. Fazit Mit seiner Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ legt der Bayerische Landesbeauftragte für den Datenschutz eine praxisnahe Hilfe vor, die stark durch die Beratungsanfragen und Verletzungsmeldungen des ersten Jahres unter der DSGVO geprägt scheint. Die Prüfschritte werden durch verständliche und knappe Beispiele greifbar und die klare sprachliche Darstellung dokumentiert eine bewusste Ausrichtung auf das Verständnis beim Leser statt auf eine komplexe juristische Diktion. „Leichte Kost“ ist die Orientierungshilfe indes dennoch nicht. Mit einem Umfang von über 60 Seiten dient sie sicherlich eher der systematischen Entwicklung von Prüf- und Meldeprozessen als der schnellen Hilfe bei (möglichen) Datenpannen. Wie bereits in früheren Blog-Beiträgen empfohlen, sollten die notwendigen und gesetzlich geforderten Abläufe und Prozesse frühzeitig entwickelt werden, damit, vergleichbar mit Erste‐Hilfe‐ und Brandschutzübungen, im „Ernstfall“ jeder weiß, „wo er hin greifen muss“. Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter Zurück zur Newsübersicht
Das könnte Sie auch interessieren: Fachnews vom 30. Oktober 2024 Datenschutz Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Die Funktion als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter ist für Unternehmen vor allem in Haftungssituationen rund um den Datenschutz von zentraler Bedeutung. Primär steht zwar der Verantwortliche in der Haftung, doch auch die anderen Akteure unterliegen strengen … Weiterlesen … Aus dem Datenschutz-Blog: Die Haftung von Verantwortlichen, Gemeinsam Verantwortlichen und Auftragsverarbeitern Fachnews vom 30. August 2024 Datenschutz Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! In der DSGVO finden sich an einigen Stellen Verpflichtungen zur Löschung personenbezogener Daten. Darunter beispielsweise das Recht auf Löschung in Art. 17 DSGVO oder der Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Jedoch fällt es viele Unternehmen schwer, einen Überblick darüber … Weiterlesen … Aus dem Datenschutz-Blog: Die Erstellung eines Löschkonzepts – das gilt es zu beachten! Fachnews vom 30. Juli 2024 Datenschutz Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten aut dem statistischen Bundesamt nutzen Unternehmen Künstliche Intelligenz (KI) am häufigsten zur Spracherkennung, gefolgt von der Automatisierung von Arbeitsabläufen oder aber auch zur Entscheidungsfindung. Ein klares Bild: KI-Systeme haben Einzug in die Strukturen von Unternehmen gefunden. Weiterlesen … Aus dem Datenschutz-Blog: Künstliche Intelligenz und Datenschutz – woran Verantwortliche im Unternehmen denken sollten Fachnews vom 20. Juni 2024 Datenschutz Aus dem Datenschutz-Blog: AI-Act – ein Überblick Der sog. Artificial Intelligence Act (AI-Act, KI-Gesetz) wurde am 13. März 2024 vom Europäischen Parlament beschlossen und am 21. Mai 2024 von den Mitgliedsstaaten der EU verabschiedet. Dieses Gesetz definiert erstmals einheitliche Standards zur Regulierung des Einsatzes von KI-Systemen in der EU. … Weiterlesen … Aus dem Datenschutz-Blog: AI-Act – ein Überblick Fachnews vom 22. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Es ist mittlerweile üblich, dass wir Rechnungen und Dokumente digital erhalten. Zu denken sind an Rechnungen von Mobilfunk- oder Stromanbietern oder recht neu auch das eRezept oder die eAU. Stutzig werden wir, wenn die Entgeltabrechnung von Arbeitgebern digital zur Verfügung gestellt wird. In einer … Weiterlesen … Aus dem Datenschutz-Blog: Die Zulässigkeit digitaler Entgeltabrechnungen Fachnews vom 02. Mai 2024 Datenschutz Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Seit dem 01.01.2023 gilt für Arbeitgeber die Pflicht, die Arbeitsunfähigkeitsbescheinigung (AU) ihrer Beschäftigten digital abzurufen. Mit diesem elektronischen Meldeverfahren kommen auch datenschutzrechtliche Anpassungen auf den Arbeitgeber zu. In diesem Artikel möchten wir einen Überblick über das … Weiterlesen … Aus dem Datenschutz-Blog: eAU: Neuerungen für Arbeitgeber Fachnews vom 26. März 2024 Datenschutz Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung In Zeiten des digitalen Wandels rückt das Thema der Cybersicherheit, insbesondere für kritische Infrastrukturen, immer mehr in den Fokus der Öffentlichkeit. Es wird von einer signifikant gestiegenen Bedrohungslage für Wirtschaft, Verwaltung und Gesellschaft gesprochen. Weiterlesen … Aus dem Datenschutz-Blog: Die NIS2-Richtlinie und deren Umsetzung Fachnews vom 06. März 2024 Datenschutz Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Was sich anhört wie ein Satz aus einem beliebten deutschen Rap-Lied ist tatsächlich Teil der EU-Digitalisierungsstrategie für digitale Sachverhalte. Wir schauen hinter die Kürzel und zeigen, was 2024 und darüber hinaus wichtig wird und ist. Weiterlesen … Aus dem Datenschutz-Blog: DSA, DMA, AIA, NIS2 – Die Erweiterung des EU-Regelwerks für digitale Sachverhalte Fachnews vom 27. Februar 2024 Datenschutz Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Es begegnet uns nahezu alltäglich – das Erfordernis der Einwilligung. Im beruflichen wie auch im privaten Kontext. In der datenschutzrechtlichen Praxis finden sich vereinzelt die unterschiedlichsten Vorlagen und Muster, welche komprimiert den notwendigen Inhalt der Einwilligung wiedergeben. Meist … Weiterlesen … Einwilligung – Drahtseilakt zwischen rechtlicher Ausgestaltung und praktischer Handhabung Fachnews vom 24. Januar 2024 Datenschutz Interne Mitteilungen über Beschäftigte Manche Dinge sind so trivial, man macht sie einfach. Aus Nettigkeit, aus Rücksicht, aus Freude, weil man eben muss oder eben gerne möchte. Was ist schon dabei, dem lieben Arbeitskollegen zum Geburtstag zu gratulieren, der Kollegin zur Beförderung anerkennend auf die Schulter zu klopfen oder der … Weiterlesen … Interne Mitteilungen über Beschäftigte Fachnews vom 15. August 2023 Datenschutz EU-US Data Privacy Framework – was lange währt wird endlich gut? Was lange währt wird endlich gut – oder bietet der Angemessenheitsbeschluss doch nur eine neue Rechtsgrundlage auf Zeit? Was der neue Beschluss mit sich bringt und was das für Sie bedeutet finden Sie im folgenden Beitrag. Weiterlesen … EU-US Data Privacy Framework – was lange währt wird endlich gut? Fachnews vom 06. Juli 2023 Datenschutz Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA Mit seinem Urteil vom 16. Juli 2020 hat der EuGH den Nachweis eines angemessenen Datenschutzniveaus durch die Privacy Shield-Zertifizierung aberkannt (Urteil v. 16.07.2020, Az. C‑311/18, Schrems II). Seit diesem Urteil fehlt es für die Übertragung personenbezogener Daten in die USA in vielen Fällen … Weiterlesen … Zum Stand des Angemessenheitsbeschlusses zwischen der EU und den USA < >