vectorfusionart - stock.adobe.co
DSGVO: Die Meldepflichten bei Datenpannen richtig einhalten
Der Europäische Datenschutzausschuss hat eine Leitlinie zur Meldung von Datenschutzverletzungen nach DSGVO verabschiedet. Sie hilft bei der Umsetzung der Meldepflichten.
In den vergangenen Jahren haben die Probleme bei der DSGVO-Umsetzung deutlich zugenommen, so eine Umfrage des Digitalverbands Bitkom. So sagen inzwischen mehr als drei Viertel (78 Prozent) der Unternehmen, dass Rechtsunsicherheit die größte Herausforderung sei, vor zwei Jahren waren es erst 68 Prozent.
Parallel wächst die Unzufriedenheit mit den Aufsichtsbehörden. So kritisieren zwei Drittel (66 Prozent) mangelnde Umsetzungshilfen durch die Aufsicht, vor zwei Jahren lag der Anteil nur bei 53 Prozent.
Umso wichtiger erscheint es, dass Unternehmen die Leitlinien und Hinweise zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) nutzen, die die Aufsichtsbehörden bieten.
Ein aktuelles, wichtiges Beispiel: Im Anschluss an eine öffentliche Konsultation verabschiedete der Europäische Datenschutzausschuss (EDSA) eine endgültige Fassung der Leitlinien zu Beispielen für Meldungen von Datenschutzverletzungen.
Diese Leitlinien ergänzen die Leitlinien der Artikel-29-Datenschutzgruppe zur Meldung von Datenschutzverletzungen durch die Einführung praxisorientierterer Leitlinien und Empfehlungen. Sie sollen Datenverantwortlichen bei der Entscheidung helfen, wie mit Datenschutzverletzungen umzugehen ist und welche Faktoren bei der Risikobewertung zu berücksichtigen sind. Nach der öffentlichen Konsultation wurden die Leitlinien aktualisiert, um die eingegangenen Kommentare widerzuspiegeln.
Leitlinien zur Meldung von Datenpannen nach DSGVO
In den Leitlinien des Europäischen Datenschutzausschusses findet man neben Beispielfällen auch Hinweise zu dem Vorgehen, wie man prüfen kann, ob eine Meldepflicht besteht oder nicht. Zuerst sollte man natürlich wissen, was unter einer Datenschutzverletzung zu verstehen ist.
Die DSGVO definiert eine „Verletzung des Schutzes personenbezogener Daten“ als eine „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Der Vorläufer des EDSA, die Artikel-29-Datenschutzgruppe, hatte zudem erklärt, Verstöße gegen die DSGVO könnten nach den folgenden drei bekannten Grundsätzen der Informationssicherheit kategorisiert werden:
- „Vertraulichkeitsverletzung“ – bei unbefugter oder versehentlicher Offenlegung oder Zugriff auf persönliche Daten
- „Integritätsverletzung“ – bei einer unbefugten oder versehentlichen Änderung personenbezogener Daten
- „Verfügbarkeitsverletzung“ – bei versehentlichem oder unbefugtem Verlust des Zugriffs oder Zerstörung von personenbezogenen Daten.
Bedeutung von Datenschutzverletzung und mögliche Folgen kennen
Zudem sollten Unternehmen verstehen, welche Folgen eine Datenschutzverletzung für die Betroffenen haben kann, auch um die mit einer Datenpanne verbundenen Risiken besser bewerten zu können.
So kann ein Verstoß potenziell eine Reihe erheblicher nachteiliger Auswirkungen auf Einzelpersonen haben, die zu schwerwiegenden Schäden führen können, darunter körperliche, materielle oder immaterielle Schäden.
Die DSGVO erklärt, dass ein Verstoß für Betroffene insbesondere den Kontrollverlust über ihre personenbezogenen Daten, Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzieller Verlust, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung und Verlust der Vertraulichkeit personenbezogener, durch das Berufsgeheimnis geschützter Daten nach sich ziehen kann.
Entscheidend ist die umgehende Risikoanalyse
Bevor ein für die Verarbeitung Verantwortlicher das Risiko einer Datenschutzverletzung vollständig einschätzen kann, sollte die Ursache des Problems identifiziert werden, um festzustellen, ob Schwachstellen, die zu dem Vorfall geführt haben, weiterhin vorhanden sind und daher ausgenutzt werden können.
Der Verstoß sollte gemeldet werden, wenn der für die Verarbeitung Verantwortliche der Ansicht ist, dass er voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führt.
Verantwortliche sollten diese Bewertung zu dem Zeitpunkt vornehmen, an dem sie sich des Verstoßes bewusst sind, so die Aufsichtsbehörden. Der Verantwortliche sollte nicht auf eine eingehende forensische Untersuchung warten, bevor beurteilt wird, ob die Datenschutzverletzung wahrscheinlich zu einem Risiko führt.
Die interne Dokumentation eines Verstoßes muss in jedem Fall durchgeführt werden, ob es zu einer Meldung kommen muss oder nicht, im Sinne der Rechenschaftspflicht. Zudem kann die Dokumentation dabei helfen, aus den Fehlern zu lernen, zumal es das Ziel sein muss, Datenschutzverletzungen zu vermeiden und nicht nur, die Meldepflichten umfassend einzuhalten.
Auch an Dokumentation und Schulungen denken
Jeder Verantwortliche und Auftragsverarbeiter sollte über Pläne und Verfahren für den Umgang mit möglichen Datenschutzverletzungen verfügen, erklären die Aufsichtsbehörden.
Auch die Schulung und Sensibilisierung für die Beschäftigten des Verantwortlichen oder des Auftragsverarbeiters in Datenschutzfragen sollten nicht fehlen, mit Schwerpunkt auf das Management von Verletzungen des Schutzes personenbezogener Daten (Identifizierung eines Vorfalls von Verletzungen des Schutzes personenbezogener Daten und weitere Maßnahmen). Dieses Training sollte regelmäßig wiederholt werden, je nach Art der Verarbeitungstätigkeit und unter Berücksichtigung der neuesten Trends und Warnungen aufgrund von Cyberangriffen oder anderen Sicherheitsvorfällen.
Ein internes „Handbuch zum Umgang mit Datenschutzverletzungen“ würde eine wichtige Informationsquelle bieten, um die Risiken einer Datenpanne zu mindern und die Verpflichtungen zur Meldung unverzüglich zu erfüllen, so die Aufsichtsbehörden. Es würde sicherstellen, dass die Beschäftigten in der Organisation im Falle einer Verletzung des Schutzes personenbezogener Daten wissen, was zu tun ist. Der Vorfall würde höchstwahrscheinlich schneller behandelt, als wenn es keine Pläne gäbe, und bekanntlich sieht die DSGVO klare und kurze Fristen für die Meldung vor.
Die Fallsammlungen der Aufsichtsbehörden und die Beispiele in den Leitlinien des EDSA können dabei helfen, sich auf die Beurteilung einer Datenpanne besser vorzubereiten. Ebenso können sie bei der Schulungen der Beschäftigten helfen. Jedoch können die Beispiele der Aufsichtsbehörden die eigene Risikoanalyse bei einer Datenpanne nicht ersetzen, jeder Vorfall muss individuell von der verantwortlichen Stelle untersucht und bewertet werden.