Szenario

Was muss uns beschäftigen?

  • Melde- und Benachrichtigungspflichten (Art. 33 Abs. 1 bis 4 DSGVO)
  • Dokumentationspflicht (Art. 33. Abs. 5 DSGVO)
  • Beseitigungspflicht (immanent aus Art. 32 DSGVO)
  • Bußgelder
  • Haftung gegenüber den Betroffenen
  • alles mit Augenmaß

Definition Datenschutzverletzung

  • Art. 4 DSGVO Nr. 12: Verletzung der Sicherheit, die unbeabsichtigt oder unrechtmäßig
    • zur Vernichtung oder
      • Daten wurden ungewollt gelöscht
    • zum Verlust (auch im Sinne von Kontrollverlust) führt
      • Stromausfall, Systemausfälle (Down time); NICHT: geplante Systemwartung
      • Denial-of-Service-Angriffe
      • Ransomware
  • Art. 4 DSGVO Nr. 12: Verletzung der Sicherheit, die unbeabsichtigt oder unrechtmäßig
    • zur Veränderung,
      • Hacker verändert Daten
    • oder zur Offenlegung oder zum Zugang führt;
      • fehlerhafter Email-Verteiler
      • Passwort gehackt -> unbef. Zugang zum eigenen System -> unbef. Zugang zu Online-Services bspw. Email Account
      • Daten bei Phishing Attacke im Internet geleakt
      • Daten entwendet

Was tun?

Erste Schritte

  • Ermittlung des Sachverhalts
    • Beispiel: Kunden berichten von merkwürdigen Emails aus der eigenen Firma
  • Befragung der zuständigen Personen, wie bspw. IT-Abteilung, betroffene Mitarbeiter, Dienstleister
  • Information der Vorgesetzten und des Datenschutzbeauftragten -> Achtung, Fristen laufen
  • Abstellen der Verletzung
  • Stichwort Eskalationsplan

Meldepflichten

  • Regel-Ausnahme (Art. 33 Abs. 1 DSGVO): „es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (Art. 33 Abs. 1 2. HS DSGVO)
  • Beweislast liegt beim Verantwortlichen -> Beratung einholen durch Datenschutzbeauftragen oder Anwalt
  • -> besser einmal mehr als einmal zu wenig
  • Beispiele für die Unwahrscheinlichkeit einer Verletzung:
    • Daten, die mit einem dem Stand der Technik entsprechenden Algorithmus verschlüsselt wurden
    • Passwörter, die sicher gehasht und salted wurden
    • Daten, die bereits legal öffentlich zugänglich sind

Fristen

  • Verantwortlicher hat unverzüglich, spätestens binnen 72 Stunden an die Aufsichtsbehörde zu melden (Art. 33 Abs. 1 Satz 1 DSGVO).
  • Auftragsverarbeiter hat unverzüglich an den Verantwortlichen (Art. 33 Abs. 2 DSGVO) zu melden.
  • schrittweise Meldung möglich – aber am Ende immer vollständige Meldung nötig
  • Meldungen sind idR online durchzuführen -> Tool führt durch die Meldung
  • Beginn der Fristen: „nachdem … die Verletzung bekannt wurde“; englisches „Original“: „becomes aware“ – gesicherte Kenntnis

Inhalt der Meldung

  • folgende Informationen (Art. 33 Abs. 3 a)-d) DSGVO):
    • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
    • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
    • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
    • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Benachrichtigung der Betroffenen

  • nicht bei jeder Verletzung, sondern
  • voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen…, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“ (Art. 34 Abs. 1 DSGVO)
  • an jeden Betroffenen
  • Beispiele:
    • E-Mail-Adressen in Verbindung mit Passörtern geleakt
    • Kreditkartendaten geleakt

Angaben gegenüber Aufsicht

  • Der Verantwortliche muss Aufsichtsbehörde über seine Entscheidung, ob die Betroffenen informiert werden, unterrichten.
  • Die Aufsichtsbehörde kann die Entscheidung anstelle des Verantwortlichen treffen (Art. 34 Abs.4 DSGVO).

Ausnahmen

  • „geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat, …. etwa durch Verschlüsselung“ (Art. 34 Abs. 3 a) DSGVO) Beispiel: Handy mit Verschlüsselung
  • „durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht“ (Art. 34 Abs. 3 b) DSGVO) Beispiel: Fernlöschung von Daten; vertrauenswürdiger Empfänger bestätigt die Löschung;
  • „dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall … öffentliche Bekanntmachung oder eine ähnliche Maßnahme“ (Art. 34 Abs. 3 c) DSGVO) Beispiel: großer Datenleak mit Millionen von Betroffenen

Inhalt

  • Informationen zur Art der Verletzung und die in Art. 33 Absatz 3 Buchstaben b, c und d genannten Informationen (Art. 34 Abs. 2 DSGVO), wie bei der Meldepflicht, also:
    • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
    • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
    • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Weitere Pflichten

Dokumentationspflicht

  • Verantwortlicher muss dokumentieren (Art. 33 Abs. 3 Satz 1 DSGVO):
    • Verletzungen
    • Auswirkungen
    • ergriffene Abhilfemaßnahmen
  • Zweck: Die Aufsichtsbehörde prüft anhand der Dokumentation (Art. 33 Abs. 3 Satz 2 DSGVO)
  • Bei Unterlassung der Dokumentation drohen Sanktionen allein dafür

Bußgelder

  • Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (Art. 83 Abs. 4 a), Art. 33 DSGVO)
  • Rechtsmittel: Es muss innerhalb von zwei Wochen nach Zustellung des Bußgeldbescheids Einspruch bei der zust. Aufsichtsbehörde eingelegt werden.
  • Hilft diese nicht ab, findet nach § 41 BDSG iVm. § 68 OWiG das gerichtliche Verfahren entweder vor den Amts- oder den Landgerichten (ab 100.000,- EUR) statt.
  • Adressat ist der Verantwortliche, also bei Kapitalgesellschaften die Gesellschaft, nicht der Geschäftsführer und nicht der Datenschutzbeauftragte.
  • Aber: Persönliche Haftung der Geschäftsleitung oder des Datenschutzbeauftragten im Innenverhältnis möglich

Untersuchungen der Aufsichtsbehörde

  • Aufsichtsbehörde darf von Amts wegen ermitteln
    • Dokumentation wird geprüft
    • Abläufe können geprüft werden
    • Mitarbeiter und Betroffene können befragt werden
  • Aufsichtsbehörden können auch aufgrund von Anzeigen Betroffener tätig werden

Haftung gegenüber den Betroffenen

  • Der Betroffene hat Anspruch auf Ersatz des materiellen und immateriellen Schadens (Art. 82 Abs. 1 DSGVO)

Rolle des Datenschutzbeauftragten

  • Schlüsselrolle bei der Verhinderung oder Vorbereitung einer Datenschutzverletzung
  • Beratung bei den Meldepflichten
  • Begleitung einer anschließenden Untersuchung durch die Aufsichtsbehörde
  • die Daten des DSB sind der Aufsichtsbehörde im Falle einer Meldung mitzuteilen
  • Aber: Die DSGVO verlangt weder, den DSB bei einer Verletzung einzubeziehen, noch trifft den DSB im Regelfall eine Haftung für die Verletzung gegenüber der Aufsichtsbehörde oder Dritten gegenüber.

Folgenabwägung

  • „es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt„ (Art. 33 Abs. 1 2. HS DSGVO)
  • „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen…, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“ (Art. 34 Abs. 1 DSGVO)

Art und Anzahl der verletzten Daten

  • Qualität der Daten: beispielsweise medizinischen Daten oder „nur“ geschäftliche Daten
  • Menge, bspw. Millionen user accounts anders als einzelne Emails

Möglichkeit der Identifikation von Personen

  • einfache Identifizierung von Personen: ist es möglich, die Daten mit anderen Informationen abzugleichen, um Einzelpersonen zu identifizieren?
  • Ein angemessener Verschlüsselungsgrad macht die Daten für Unbefugte ohne den Entschlüsselungscode unverständlich.
  • eine angemessen umgesetzte Pseudonymisierung kann die Wahrscheinlichkeit der Identifizierung von Personen ebenfalls verringern
  • Hinweis: Pseudonymisierungstechniken allein können nicht als Unkenntlichmachung der Daten angesehen werden

Folgen für die Betroffenen

  • Identitätsdiebstahl oder Betrug
  • körperlicher Schaden
  • psychische Belastung
  • öffentliche Demütigung
  • Rufschädigung

besondere Kategorien von Betroffenen

  • personenbezogene Daten über schutzbedürftige Personen, die einem größeren Risiko ausgesetzt sein können.
  • besondere Datenkategorien, insb. bei Kindern und Jugendlichen

Folgenabwägung

  • Kriterien nochmal im Überblick
    • Art der Verletzung
    • Art, Sensibilität und Umfang der personenbezogenen Daten
    • leichte Identifizierbarkeit von Personen
    • Schwere der Folgen für den Einzelnen
    • besondere Merkmale der Person
    • besondere Eigenschaften des Datenverantwortlichen
    • die Anzahl der betroffenen Personen
Was tun bei Datenschutzverletzungen?
Markiert in: