Was tun bei einer Datenschutzpanne?

Vorsicht, sensible Kundendaten!

| Autor / Redakteur: Wolf-Henning Hammer / Stephan Maderner

Recht rund ums Thema motorisiertes Zweirad oder Dreirad.
Recht rund ums Thema motorisiertes Zweirad oder Dreirad. (Bild: Vogel Business Media)

Am 25. Mai 2018 wird in Deutschland die Datenschutzverordnung (DSGVO) wirksam und zeitgleich tritt das neue Datenschutzgesetz (BDSG-neu) in Kraft. Was bedeutet das für den Motorradhandel? Teil 5 der Serie und Schluss: Die datenschutztechnische Panne.

Wenn es trotz aller Sorgfalt bei den Vorbereitungen und der Pflege der Systeme und Verzeichnisse dennoch zu einer datenschutztechnischen Panne kommen sollte, lautet das oberste Gebot „Ruhe bewahren.“ Die Vorgehensweise kann mit derjenigen bei einem leckgeschlagenen Schiff verglichen werden. Bevor es an die Analyse des Schadens geht, gilt es zunächst gilt es das Leck zu finden und abzudichten. Wer jetzt über einen genauen Konstruktionsplan, d.h. ein sauber erstelltes Verzeichnis der Verfahrenstätigkeiten und eine Risikoanalyse verfügt, kommt sicher schneller zum Ziel als derjenige, der dies erst jetzt mühsam nachholen muss.

Welche Verletzungen sind zu melden?

Dem aktuell noch geltenden § 42a BDSG zufolge, sind ist eine Meldung nur dann erforderlich, wenn sensible Daten betroffen sind und „schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen“ drohen. Als Beispiel wird immer wieder der Diebstahl von Bank- oder Kontodaten genannt.

Gemäß Art. 33 Abs. 1 DSGVO ist künftig, unabhängig von der Schwere des Risikos, jede Verletzung des Schutzes personenbezogener Daten, meldepflichtig. Von der Meldung kann nur dann abgesehen werden, wenn die „Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Zunächst sollte also festgestellt werden,

- ob die Verletzung personenbezogene Daten betroffen hat und

- ob die Verletzung zu einem Risiko für die Rechte und Freiheiten der Betroffenen (natürlichen Personen) führt.

Sollte die Verletzung die Rechte der Betroffenen voraussichtlich nicht beeinträchtigen, sind keine weiteren Maßnahmen erforderlich. Bei der Einschätzung der Beeinträchtigung

Sollte dem allerdings nicht so sein, ist die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Verletzung zu informieren. Sollte die Meldung erst danach erfolgen, ist dies der Behörde gegenüber schriftlich zu begründen. Wer gut vorbereitet ist, wird in der Regel allerdings keine Begründung brauchen.

Was ist mit „Risiko für die Rechte und Freiheiten natürlicher Personen“ gemeint?

Gemäß Erwägungsgrund 75 ist entscheidend, dass die Verletzung bei den Betroffenen zu einem physischen, materiellen oder immateriellen Schaden führen kann.

Namentlich nennt der Erwägungsgrund die Gefahren der Diskriminierung, des Identitätsdiebstahls oder -betrugs, den finanziellen Verlust, die Rufschädigung, den Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen.

Besondere Aufmerksamkeit ist geboten, wenn die wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen. Besondere Aufmerksamkeit ist geboten, wenn die Verletzung die Daten schutzbedürftiger Personen, Kinder oder eine große Anzahl von Personen betrifft.

Was muss in der Meldung stehen?

Der Inhalt der Meldung ist in Art. 33 Abs. 3 DSGVO vorgegeben. Folgende Informationen müssen mindestens enthalten sein:

1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten

4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die ergriffenen Schritte sind zu dokumentieren!

Art. 33 Abs. 5 DSGVO verpflichtet den Verantwortlichen übrigens dazu „Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen“...zu dokumentieren.

Diese Dokumentation dient der Aufsichtsbehörde dazu, die Überprüfung der Einhaltung der Bestimmungen des Art. 33 DSGVO überprüfen zu können. Der Wert einer guten Vorbereitung bestätigt sich auch hier.

Auch die Betroffenen sind zu benachrichtigen

Die Antwort lautet „Nein“. Neben der Behörde müssen auch die Betroffenen benachrichtigt werden. Wie dies genau zu erfolgen hat, ist in Art. 34 DSGVO beschrieben. Der Inhalt der Meldung muss auch hier

1. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

2. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten

3. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

enthalten (Art. 34 Abs. 2 DSGVO).

Die Erforderlichkeit der Benachrichtigung der Betroffenen ist nach Art. 34 Abs. 3 DSGVO dann nicht gegeben, wenn

a) der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,

b) der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht.

Dasselbe gilt für den Fall, dass sie gemäß Art. 34 lit. c) DSGVO „mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.“

Wer gegen die Meldepflicht verstößt, riskiert übrigens ein Bußgeld in Höhe von bis zu 10 Millionen Euro oder 2 Prozent des „gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.“ (Art. 83 Abs. 4 DSGVO)

Zusammenfassung und Abschluss

Dort wo der Datenschutz bisher ein Schattendasein geführt hat, sollte dies zeitnah, aber auf jeden Fall vor dem 28.05.2018 geändert werden. Schon die Rechte der Betroffenen auf Auskunft, Berichtigung, Löschung oder die Herausforderung der über sie gespeicherten Daten dürften manche Betriebe vor Herausforderungen stellen. Dasselbe gilt für die in vielen Fällen erforderliche Erneuerung der Einwilligung oder die Änderungen von Webseiten und Apps in Hinblick auf die datenschutzfreundlichen Voreinstellungen, um ein paar prominente Beispiele zu nennen.

Wer bisher noch nicht mit der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten begonnen hat, der sollte dies spätestens jetzt tun. Und da die DSGVO „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten ... gilt..., die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“, genügt es nicht, das Verzeichnis auf die elektronische Datenverarbeitung zu beschränken. Auch die Papierakte in der Kundendatei muss beachtet werden.

Mit der einmaligen Erstellung des Verzeichnisses oder der Durchführung der Risikoabschätzung ist es übrigens nicht getan. Sowohl das Verfahren als auch die übrigen Schritte sind zu wiederholen, um die Aktualität zu gewährleisten und die Reaktionsfähigkeit sicher zu stellen, wenn es zu einer Panne kommen sollte.

Unser Autor ist Rechtsanwalt Dr. Wolf-Henning Hammer, Kanzlei Voigt Rechtsanwalts GmbH, Dortmund.

Hier nochmal alle erschienenen Teile der Serie über das neue Datenschutzrecht.

Das Datenschutzrecht ändert sich: Noch ein Paragrafen-Wortmonster

Das Datenschutzrecht ändert sich: Noch ein Paragrafen-Wortmonster

02.02.18 - Am 25. Mai 2018 wird in Deutschland die Datenschutzverordnung (DSGVO) wirksam und zeitgleich tritt das neue Datenschutzgesetz (BDSG-neu) in Kraft. Was bedeutet das für den Motorradhandel? Teil 4: Die Datenschutzfolgeabschätzung. lesen

Das Datenschutzrecht ändert sich: Risikoanalyse unverzichtbar

Das Datenschutzrecht ändert sich: Risikoanalyse unverzichtbar

25.01.18 - Am 25. Mai 2018 wird in Deutschland die Datenschutzverordnung (DSGVO) wirksam und zeitgleich tritt das neue Datenschutzgesetz (BDSG-neu) in Kraft. Was bedeutet das für den Motorradhandel? Teil 3. lesen

Das Datenschutzrecht ändert sich

Das Datenschutzrecht ändert sich

15.12.17 - Am 25. Mai 2018 wird in Deutschland die Datenschutzverordnung (DSGVO) wirksam und zeitgleich tritt das neue Datenschutzgesetz (BDSG-neu) in Kraft. Was bedeutet das für den Motorradhandel? Teil 2 lesen

Das Datenschutzrecht ändert sich

Das Datenschutzrecht ändert sich

12.12.17 - Am 25. Mai 2018 wird in Deutschland die Datenschutzverordnung (DSGVO) wirksam und zeitgleich tritt das neue Datenschutzgesetz (BDSG-neu) in Kraft. Was bedeutet das für den Motorradhandel? Teil 1 lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45145950 / Recht)