Sie arbeiten gerade im Home-Office? Unerlaubte Offenlegung: Wann muss ein Datenschutzvorfall gemeldet werden?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Wann muss ein Datenschutzvorfall gemeldet werden?

Wann muss ein Datenschutzvorfall gemeldet werden?

Seit Inkrafttreten der DSGVO ist die Zahl der gemeldeten Datenschutzvorfälle immens gestiegen. Alleine im Jahr 2019 gab es europaweit mehr als 40.000 Datenpannen, wovon die meisten in Deutschland registriert wurden. Was die Auslöser von Datenschutzvorfällen und die gesetzlichen Anforderungen bei der Meldung sind, lesen Sie hier.

Auslöser eines Vorfalls

Die Pflicht zur Meldung von Datenschutzvorfällen ist in Art. 33 DSGVO geregelt

Demnach ist vonseiten eines Verantwortlichen eine Meldung bei der zuständigen Aufsichtsbehörde durchzuführen, falls eine Verletzung des Schutzes personenbezogener Daten eintritt. Doch was bedeutet eine Verletzung des Schutzes personenbezogener Daten? Hierzu hilft der Definitionskatalog in Art.4 Nr. 12 DSGVO. Eine solche liegt demnach vor bei einer Verletzung der Sicherheit, die zur

  • Vernichtung,
  • Verlust,
  • Veränderung,
  • unbefugten Offenlegung oder
  • zum unbefugten Zugang

von/zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Wann liegt eine Vernichtung und ein Verlust vor?

Nun eine Vernichtung ist anzunehmen, wenn die personenbezogenen Daten der Betroffenen faktisch nicht mehr oder nicht mehr in irgendeiner bekannten Form existieren, die für den Verantwortlichen von Nutzen sind. Ursache dessen kann z.B. das Zerstören einer Festplatte sein.

Beim Verlust von personenbezogenen Daten handelt es sich oftmals um die nicht mehr vorhandene Zugriffsmöglichkeit, beispielsweise ein gestohlener Laptop. Denn faktisch sind die personenbezogenen Daten auf dem Gerät, jedoch besteht keine Zugriffsmöglichkeit mehr für den Mitarbeiter bzw. dem Verantwortlichen.

Eine Verletzung besteht auch dann, wenn der Zustand nicht dauerhaft ist. Beide Begriffe verleiten dazu, dass sie endgültig verstanden werden. An dieser Stelle sollte klar darauf hingewiesen werden, dass die Verletzung auch bei vorübergehenden Einwirkungen besteht. Ein Verlust, sogar in besonderen Fällen eine Vernichtung, kann nämlich auch nur temporär sein.

Veränderung personenbezogener Daten

Diese liegt vor, wenn der Inhalt personenbezogener Daten umgestaltet wird. Ein in der Praxis häufig angewandte Methode ist die SQL-Injection. Dabei erfolgt ein Angriff über eine Web-Anwendung, um auf eine Datenbank zuzugreifen. Damit können Bankkonten, Adressen oder sonstige personenbezogene Daten entwendet werden.

In der EU wurde bislang noch kein bußgeldbewehrter Fall öffentlich – in den USA gibt es bereits Beispielfälle.

Unbefugte Offenlegung

Eine Offenlegung liegt meist vor, wenn Dritten die Möglichkeit zur Kenntnisnahme ermöglicht wird. Ein unbefugter Zugang zu personenbezogenen Daten ist anzunehmen, wenn eine hierzu nicht-autorisierte Person Kenntnis oder den Besitz an einem Gerät, auf dem diese personenbezogenen Daten verarbeitet werden, erlangt hat.

Hierbei wirkt der Dritte immer als Außenstehender bzw. verantwortliche fremde Person. Allerdings kann ebenfalls ein Mitarbeiter innerhalb eines Unternehmen als unbefugte Person qualifiziert werden und personenbezogene Daten offenlegen, indem ihm keine Zugriffsrechte eingeräumt wurden oder keine Autorisierung erfolgte.

In der Praxis wurde ein Großteil der Bußgelder aufgrund der unbefugten Offenlegung erlassen. Prominente Fälle waren Marriot, British Airways und auch deutsche Unternehmen Knuddels.

Rolle der Aufsichtsbehörde

Beim Melden eines Datenschutzvorfalls an die Aufsichtsbehörde nach Art.33 Abs. 1 DSGVO erhält die jeweilige Aufsichtsbehörde eine Doppelstellung. Sie können nämlich sowohl beratend als auch kontrollierend tätig werden.

Sollten in komplexen Situationen sowohl der Verantwortliche als auch der zuständige Datenschutzbeauftragte den potentiellen Datenschutzverstoß nicht einschätzen können, so können sie Beratung der Aufsichtsbehörde einholen. Dazu legitimiert Art. 57 Abs. 1 lit. c DSGVO die Aufsichtsbehörde. Eine Beratung kommt ebenfalls in Betracht, wenn es um die Auswahl und Umsetzung von Abhilfemaßnahmen einer Schutzzielverletzung oder zu Abmilderung der Folgen geht.

In der Regel erfolgt ein Kontrollverfahren der Aufsichtsbehörden nicht unmittelbar nach der Meldung eines Datenschutzvorfalls. Das Kontrollverfahren wird meist erst dann eingeleitet, wenn sich Anhaltspunkte dazu ergeben, dass der Verletzung unzureichende Schutzmaßnahmen nach Art.33 DSGVO zugrunde liegen. Beispielhaft dafür sind unzureichende Abhilfemaßnahmen, eine unzureichende Beschreibung der technisch-organisatorischen Maßnahmen oder das Überschreiten der Meldefrist der Auslöser eines Kontrollverfahrens sein.

Den Überblick behalten

Wichtig ist, dass Sie einen Prozess zur Reaktion auf einen Datenschutzvorfall innerhalb ihres Unternehmens implementiert haben. Dies ist insofern relevant, um die 72-Stunden-Frist einzuhalten. Dafür ist es entscheidend, dass die Mitarbeiter sensibilisiert sind und einen Datenschutzvorfall erkennen. Über eine genaue Beschreibung des Prozesses haben wir bereits in Vergangenheit berichtet.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Wann muss ein Datenschutzvorfall gemeldet werden?.