Zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen sichere und funktionierende Prozesse ausgestalten, um den rechtskonformen Umgang mit Datenschutzvorfällen und Betroffenenanfragen zu gewährleisten. Dafür kommt es vor allem darauf an, im Vorfeld die richtigen Vorkehrungen zu treffen. Welche das sind und wie Sie nicht nur Bußgelder, sondern darüber hinaus Schäden für Ihr Unternehmen und betroffene Personen vermeiden, zeigen wir Ihnen in diesem Beitrag.
Im Vorfeld: Einen Datenschutzvorfall erkennen
Datenschutzvorfälle können im Unternehmen auf ganz unterschiedliche Weise auftreten. Daher ist es im ersten Schritt wichtig, sie erst einmal als solche zu erkennen. Rechtlich handelt es sich um Sicherheitsverletzungen, die unbeabsichtigt oder unrechtmäßig zu Vernichtung, Verlust oder Veränderung bzw. zur unbefugten Offenlegung personenbezogener Daten führen (Art. 4 Nr. 12 DSGVO). Ein Beispiel ist der Verlust eines Datenträgers, auf dem personenbezogene Daten gespeichert waren. Hier hängt die Bewertung als Datenschutzvorfall auch davon ab, ob und wie sicher die Daten verschlüsselt wurden und um welche Datenkategorien es sich handelt. In jedem Fall sollte man von einem Datenschutzvorfall ausgehen, wenn unverschlüsselte Daten verlorengegangen sind. Auch dann, wenn sie im Unternehmen noch an anderer Stelle gespeichert sind. Selbst ein kurzzeitiger Stromausfall ohne dauerhaften Datenverlust kann einen Datenschutzvorfall darstellen, wenn die Daten nur vorübergehend nicht verfügbar waren. Die Beurteilung, ob ein Datenschutzvorfall vorliegt, hängt also von ganz unterschiedlichen Faktoren ab und muss immer gesondert im konkreten Fall vorgenommen werden. Sobald ein Datenschutzvorfall festgestellt wurde, muss die Meldung an die Behörde innerhalb von 72 Stunden erfolgen und Maßnahmen ergriffen werden, die sich gegen das durch den Vorfall verursachte Schadensrisiko richten.
Wie muss ein Datenschutzvorfall gemeldet werden?
Mit der Meldung an die Behörde wird vor allem die Einhaltung der Transparenz der Datenverarbeitung bezweckt, zu der verantwortliche Unternehmen verpflichtet sind. Daher müssen in der Meldung alle Umstände des Datenschutzvorfalls beschrieben werden. Sie dient darüber hinaus der Prävention von Schäden für die betroffenen Personen, indem Unternehmen angehalten werden, sofort tätig zu werden und in Zusammenarbeit mit der Behörde Abhilfemaßnahmen zu ergreifen. Fast alle Schäden, die betroffene Personen erleiden können, sind hier aus datenschutzrechtlicher Sicht relevant. Darunter fallen materielle als auch immaterielle Nachteile von Diskriminierung bis hin zu wirtschaftlichen Verlusten.
Für die Identifizierung von Datenschutzvorfällen sollten technische und organisatorische Maßnahmen genutzt werden, etwa entsprechende Mitarbeiterschulungen und die regelmäßige Analyse aller Datenverarbeitungsvorgänge im Unternehmen. Von entscheidender Bedeutung sind zudem funktionierende Prozesse für die umgehende Meldung. Die gesetzliche Frist von 72 Stunden gibt keine starre Grenze vor, sondern kann je nach konkreter Situation variieren. Sind Daten an die falsche Person gesendet worden, die sich daraufhin umgehend meldet und das Versehen aufklärt, erfordert die Meldung weniger Zeit als etwa nach einem Hackerangriff, durch den eine große und im Einzelnen unklare Menge an Daten betroffen ist. Unternehmen müssen in solchen Fällen schrittweise melden und der Behörde immer nur die jeweils aktuellen Informationen zur Verfügung stellen. Eine verzögerte Meldung muss allerdings begründet werden. Die Frist beginnt ab Kenntnis des potenziellen Datenschutzvorfalls. Hier sollte berücksichtigt werden, dass es dabei nicht auf erst auf die Kenntnis des Datenschutzkoordinators oder Datenschutzbeauftragten, sondern jeder Stelle im Unternehmen ankommt.
Welche Ausnahmen bestehen von der Meldepflicht?
In diesem Zusammenhang ist es wichtig zu beachten, dass nicht jeder Datenschutzvorfall gemeldet werden muss. Ausnahmen sind für die Fälle vorgesehen, in denen der Vorfall „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (Art. 33 Abs. 1 DSGVO). Darunter ist ein niedriges Risiko zu verstehen. Demnach müssen Unternehmen bei einem mindestens mittleren Risiko eine Meldung an die Behörde vornehmen. Nur bei keinem oder einem nur geringfügigen Risiko können Unternehmen die Meldung an die Behörde unterlassen. Dazu sollten eine geringe Schadenswahrscheinlichkeit und gleichzeitig eine geringe erwartete Schadenshöhe angenommen werden können. Dabei sollten alle Umstände berücksichtigt werden, wie etwa die Art der Daten, die Anzahl der betroffenen Personen oder welche Abhilfemaßnahmen im gegebenen Fall zur Verfügung stehen. Ein geringes Risiko kann etwa beim verlorengegangenen Datenträger vorliegen, dessen Daten verschlüsselt sind und der Schlüssel sicher aufbewahrt ist. Dennoch kann im Einzelfall ein höheres Risiko und damit eine Meldepflicht bestehen, etwa wenn ein Datenträger bewusst gestohlen wurde und darauf sensible Daten wie Kundenkontaktdaten enthalten waren. Auch in Zweifelsfällen ist sinnvoll, eine vorsorgliche Meldung vorzunehmen.
Was muss in der Meldung enthalten sein?
Welchen Inhalt die Meldung an die Behörde im Einzelnen haben muss, hängt von den Gegebenheiten des Einzelfalls ab. Art. 33 DSGVO nennt allerdings einige Mindestinformationen, die Unternehmen mit aufnehmen sollten:
- Welche Datenkategorien und welche Personen sind betroffen?
- Wie hoch ist die Anzahl der betroffenen Personen und Datensätze?
- Welche Folgen sind nur durch den Vorfall zu erwarten und welche Maßnahmen werden dagegen eingesetzt?
- An welche Kontaktperson (Datenschutzbeauftragter) können sich betroffene Personen wenden?
In der Regel stellen die Aufsichtsbehörden für die Meldung ein Formular bereit, auf das Unternehmen zurückgreifen können. Des Weiteren sollten alle Umstände der Datenschutzverletzung einschließlich des darauffolgenden Vorgehens dokumentiert werden; selbst dann, wenn keine Meldung erfolgt.
Meldung eines Datenschutzvorfalls – ein Leitfaden
Die Betroffenenrechte nach der DSGVO: Ein Überblick
Wann müssen auch betroffene Personen informiert werden?
Die DSGVO sieht nicht nur eine Meldung an die Behörde vor, sondern es ist auch möglich, dass Unternehmen zur Meldung eines Datenschutzvorfalls an die betroffene Person verpflichtet sind (Art. 34 DSGVO). Sie muss dann erfolgen, wenn nicht nur ein mittleres, sondern voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu erwarten ist. Dafür müssen sich bereits erhebliche Konsequenzen und schwerwiegende Schäden abzeichnen. Solche sind beispielsweise denkbar bei einem Hackerangriff auf einen Online-Händler, bei dem Kreditkartendaten der Kunden abgegriffen wurden. Hier kann es für die Beurteilung des Risikos auch eine Rolle spielen, ob die betroffenen Personen selbst auf die Situation Einfluss nehmen können, etwa indem sie ihre Kreditkarten sperren. Unternehmen sollten ihnen so schnell wie möglich entsprechende Hinweise geben.
Was tun bei einer Betroffenenanfrage?
Auch die Betroffenenanfrage ist als praktische Umsetzung des Rechts auf Auskunft (Art. 15 DSGVO) ein Instrument zur Gewährleistung transparenter Datenverarbeitungen. Es muss kein Datenschutzvorfall vorliegen, sondern Betroffene haben jederzeit und grundsätzlich das Recht auf die umfassende Information über die Verarbeitung ihrer personenbezogenen Daten. Unternehmen sollten daher sorgfältig vorgehen: Jede Person kann sich gleichzeitig an die Aufsichtsbehörde wenden, die daraufhin verpflichtet ist, tätig zu werden und die fraglichen Verarbeitungsvorgänge zu überprüfen. In der Praxis gilt es zu ermitteln, ob die Anfrage tatsächlich berechtigt ist und in welchem Umfang das Auskunftsrecht im Einzelfall besteht. Daher sollte vorab eine Prüfung vorgenommen werden, am besten unter Einschluss des Datenschutzbeauftragten. Zu diesem Zweck sollten Mitarbeiter geschult werden, Anfragen zu erkennen und umgehend an die Anlaufstelle im Unternehmen zu senden. Die Antwort muss unverzüglich, jedenfalls aber innerhalb eines Monats abgegeben werden. Auch bei der Betroffenenanfrage ist eine Verlängerung möglich, mit einer Begründung gegenüber der betroffenen Person um nochmals zwei Monate.
Unternehmen müssen bei Zweifeln überprüfen, ob die Identität des Antragstellers stimmt, ob die tatsächlichen Datenverarbeitungen den in der Anfrage beschriebenen entsprechen und welche anderen Rechte (zum Beispiel auf Löschung oder Berichtigung) die betroffene Person außerdem geltend macht. Das Bestehen dieser Rechte muss gesondert geklärt werden. So können einem Löschungsanspruch gesetzliche Aufbewahrungspflichten oder dem Auskunftsrecht die Rechte Dritter oder ein Geschäftsgeheimnis entgegenstehen. Hier kommt es vorrangig auf umfangreiche und effektive Prozesse und Vorgaben für alle zuständigen Abteilungen und Mitarbeiter an. Auf diese Weise können alle Betroffenenanfragen vollständig, richtig und fristgerecht beantwortet werden. Neben diesen Vorkehrungen, die zu den Organisationspflichten des verantwortlichen Unternehmens gehören, müssen auch die technischen Voraussetzungen geschaffen werden, um zum Beispiel Daten nachhaltig löschen und Informationen sicher übermitteln zu können. Dafür kann eine rechtliche Beratung sinnvoll sein, um rechtskonforme Prozesse, die alle Vorgaben mitberücksichtigen, zu erarbeiten und umzusetzen.
Fazit
Die Umsetzung der datenschutzrechtlichen Grundsätze sowie die Gewährleistung der Betroffenenrechte sind zentrale Bestandteile für die Einhaltung der DSGVO. Praktisch realisiert wird das nicht zuletzt durch den richtigen Umgang mit Datenschutzvorfällen und Betroffenenanfragen. Unternehmen sollten daher sicherstellen, dass beides schnell erfasst und überprüft wird. Ganz entscheidend ist erstens die Implementierung eindeutiger Prozesse, die regelmäßig überprüft werden sollten. Zweitens sollten Mitarbeiter für die Problemstellungen sensibilisiert werden, indem Unternehmen regelmäßig entsprechende Schulungen durchführen. Auf diese Weise lässt sich ein rechtskonformer Umgang mit Datenschutzverletzungen und Anfragen sicherstellen.
-
Digital Operational Resilience Act (DORA): Umsetzung der Anforderungen durch professionelle Beratung
In einer Welt, in der Cyber-Attacken und IT-Pannen zu den größten Bedrohungen für den Finanzsektor geworden sind, ist proaktives Handeln keine Option mehr, sondern eine Notwendigkeit. Der europäische Gesetzgeber hat dies mit der Einführung des Digital Operational Resilience Act (DORA) klar zum Ausdruck gebracht. Wir unterstützen Sie bei der Umsetzung.
-
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Checkliste zum Download
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
-
Effektive Datenschutz-Risikoanalysen: Anwendungsbereiche und Vorteile des Threat Modeling
In Zeiten zunehmender Cyberbedrohungen können Unternehmen durch die Mitigation von Datenschutzrisiken nicht nur sich selbst und ihre Beschäftigten vor Bedrohungen bewahren, sondern vor allem auch den Schutz ihrer Kund:innen effektiver gewährleisten. Ein Schlüsselelement der Risikoanalyse ist das sogenannte Threat Modeling. Wir erläutern, was Threat Modeling beinhaltet und wie es speziell in der Datenschutzberatung eingesetzt wird.