So bestraft die EU
Die Europรคische Union bestraft vor allem Unternehmen, die gegen die DSGVO verstoรen. Getroffen hat es unter anderem bereits Amazon und WhatsApp, mit Strafen in der Hรถhe von mehreren Hundert Millionen Euro. Dass Unternehmen, die zumindest bewusst, also vorsรคtzlich gegen das Datenschutzrecht verstoรen, bestraft werden sollten, ist nur logisch.
Doch auch bei fahrlรคssigen Verstรถรen stellt sich die Frage, inwieweit das Unternehmen dafรผr die Verantwortung tragen muss. Ob und wie sehr ein Unternehmen fรผr eine Datenpanne sanktioniert wird, hรคngt, neben den TOM, vor allem auch davon ab, wie darauf reagiert wurde. Wie ist mit der Datenpanne umgegangen worden und wie stark wurde vor allem gegen die Verletzung von personenbezogenen gearbeitet, auch im Nachhinein. Die DSGVO, beziehungsweise die EU stellt also darauf ab, wie sehr sich der, bei dem sich die Panne zugetragen hat, fรผr die Sicherheit der Daten eingesetzt hat.
Was ist eine Datenpanne?
Zunรคchst stellt sich die Frage, was รผberhaupt eine Daten(schutz)panne ist. Im engeren Sinne ist sie dann gegeben, wenn eine oder mehrere, unberechtigte Person(en) Zugriff auf personenbezogene Daten haben. Im etwas weiteren Sinne fallen auch ungewollte Lรถschungen von Daten darunter. Also entweder wurde gegen eine Pflicht der DSGVO verstoรen und/oder der Schutz personenbezogener Daten wurde verletzt. Meist ist beides zutreffend.
Die DSGVO bezeichnet die Datenpanne als „Verletzung des Schutzes personenbezogener Daten“. Das umgangssprachliche Wort Datenpanne, gibt also viel mehr Aufschluss darauf, womit wir es hier zu tun haben. Im Englischen ist von der wesentlich treffenderen Bezeichnung „Data Breach“ die Rede. Mit dem Hintergrundwissen, wie die DSGVO die Datenpanne bezeichnet, findet sich jedoch eine Definition in Art. 4 Nr. 12 DSGVO:
„… eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtsmรครig, zur Vernichtung, zum Verlust, zur Verรคnderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten fรผhrt, die รผbermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Wie stellt man die Datenpanne fest?
Um auf die Panne reagieren zu kรถnnen, muss einem erst einmal bewusst sein, dass sie existiert. Wie stellt man sie also fest?
In vielen Situationen fรคllt die Datenschutzpanne sehr schnell auf. Wenn ein USB-Stick vergessen wurde oder eine E-Mail mit sensiblen Daten an die falsche Adresse geschickt wurde, so ist einem dies meist schnell bewusst. Mitarbeiter, die in Sachen Datenschutz vorschriftsmรครig geschult sind, geben dann schnell ihrem Vorgesetzten Bescheid.
Auรerdem sollten normalerweise regelmรครige Routine-Kontrollen durchgefรผhrt werden, bei denen dann eine Panne auffรคllt. Hรคufig ist ein Defekt oder dergleichen fรผr eine Offenlegung verantwortlich. Auch wenn Daten verschwunden sind, obwohl sie einer Aufbewahrungspflicht unterliegen, fรคllt dies schnell auf. Wenn man Opfer eines Hackerangriffs wurde, ist dies im Normalfall, mit einer Konsequenz verbunden. Wenn Hacker Zugriff zu den Daten der Kunden haben, so kann es sein, dass sie diesen Phishing-Mails schicken, woraufhin sich der Kunden beim Unternehmen meldet. Dies ist nur ein Beispiel dessen, wie ein Hackerangriff und eine damit verbundene Datenpanne deutlich werden kรถnnen.
Die Meldepflicht
Im Falle einer „Verletzung des Schutzes personenbezogener Daten“, kann es sein, dass diese meldepflichtig ist. Wird gegen die Meldepflicht verstoรen, so ist dies ein Verstoร gegen die DSGVO und wird dementsprechend sanktioniert. Den betreffenden Verantwortlichen sollte also stets bewusst sein, wann sie die Panne melden mรผssen und wann nicht.
Wann ist die Datenpanne meldepflichtig?
Die Datenpanne ist in drei Fรคllen meldepflichtig:
1.Durch die Datenpanne erfolgte ein Datenschutzverstoร.
Falls dies nicht sicher ist, sollten seitens der Verantwortlichen genaue Untersuchungen durchgefรผhrt werden. Wenn der Verstoร dann zweifelsfrei ausgeschlossen ist, so muss die Panne nicht gemeldet werden.
2.Die Panne fรผhrte zu einem unberechtigten Zugriff auf personenbezogene Daten.
Auf jeden Fall muss die Datenschutzpanne gemeldet werden, wenn dadurch ein unberechtigter Zugriff auf personenbezogene Daten erhalten hat.
3.Ein Zugriff auf die Daten fรผhrte zu Schรคden oder Risiken fรผr Betroffene.
Ebenfalls meldepflichtig sind Fรคlle, in denen ein Zugriff auf die Daten zu Risiken fรผr die Rechte und Freiheiten der Personen fรผhrten, deren Daten betroffen sind. Gleiches gilt, wenn fรผr diese Personen Schรคden durch die Panne entstanden sind.
Wie sieht eine Meldung aus?
Ist einer dieser Fรคlle einschlรคgig, so muss dies der zustรคndigen Aufsichtsbehรถrde mitgeteilt werden. Doch was gilt es dabei zu beachten, beziehungsweise, wie handeln Unternehmen hier, bei einer Datenschutzpanne, richtig?
Zunรคchst gilt es, eine Frist einzuhalten. Die Panne muss nรคmlich innerhalb von 72 Stunden gemeldet werden.
Art. 33 DSGVO normiert, was der Behรถrde alles mitzuteilen ist. Die Behรถrde benรถtigt die Kontaktdaten des zustรคndigen Datenschutzbeauftragten. Zudem muss die Panne genau eingeordnet werden. Damit ist gemeint, dass genau erklรคrt werden muss, wie verstoรen wurde, wie viele Personen betroffen sind und um was fรผr Daten es sich handelt. Auch mรผssen die Folgen fรผr die Betroffenen eingeordnet werden. Die Aufsichtsbehรถrde muss auch darรผber aufgeklรคrt werden, welche Maรnahmen seitens des Unternehmens ergriffen werden, um personenbezogene Daten bestmรถglich zu schรผtzen.
Daneben sollten der gesamte Vorgang und alle ergriffenen Maรnahmen dokumentiert werden. Dies dient der Behรถrde zur Einordnung der Situation und dient vor allem auch dem Unternehmen, sich im Falle einer mรถglichen Sanktion rechtlich abzusichern. Auรerdem kann so der Schaden fรผr sich und die betroffenen Personen minimiert werden.
Fazit
Die EU bestraft Datenschutzverstรถรe. Im Falle einer Datenpanne gilt es, fรผr Unternehmen, richtig zu handeln. Zunรคchst muss die Datenpanne erst einmal erkannt werden und richtig eingeordnet werden. Ist dies geschehen, so muss differenziert werden, ob sie der Aufsichtsbehรถrde zu melden ist oder nicht.
Ist die Verletzung des Schutzes personenbezogener Daten meldepflichtig, so ist es wichtig, ruhig und รผberlegt zu handeln und vor allem alles zu dokumentieren. Der Aufsichtsbehรถrde muss innerhalb von 72 Stunden alles Relevante gemeldet werden.
Empfehlenswert ist es generell, einen externen DSB heranzuziehen, der auch in so einer Krisenzeit sinnvoll und verantwortungsbewusst mit der Situation umzugehen weiร.
Die Folgen einer nicht ordnungsgemรครen Reaktion auf eine Daten(schutz)panne, kรถnnen so bestmรถglich abgewendet werden.
Die Immerce GmbH ist Ihre/eine Internet Agentur im Allgรคu und programmiert seit รผber 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt fรผr Ihre Kunden Suchmaschinenoptimierung. Seit 2018 mit der Einfรผhrung der DSGVO betreut die Immerce GmbH Ihre Kunden erfolgreich in Datenschutz & IT-Sicherheit mit TรV geprรผften Datenschutzauditoren und Informationssicherheitsbeauftragten nach ISO 27001.
Firmenkontakt
Immerce GmbH
Frank Mรผns
Kemptener Straรe 9
87509 Immenstadt
+49 (0) 8323 โ 209 99 40
info@immerce.de
https://www.immerce-consulting.de/
Pressekontakt
Immerce GmbH
Carvin Mรผns
Kemptener Straรe 9
87509 Immenstadt
+49 (0)8323 โ 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/
Die Bildrechte liegen bei dem Verfasser der Mitteilung.
