Datenschutz: Recht und Technik

Datenschutzverletzungen und der Risiko-

Begriff der DSGVO

Susan Gonscherowski

13.01.2010

2

Rechtsauffassungen

sind solche der

jeweiligen Referenten

und Referentinnen

3

Was ist eine Datenschutzverletzung?

● Art. 4 Nr. 12 DSGVO:

„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“

4

Jeder Datenschutzvorfall ist ein

IT-Sicherheitsvorfall, aber nicht

jeder IT-Sicherheitsvorfall ist ein

Datenschutzvorfall .

5

DSGVO-Grundsätze

● Integrität,

● Vertraulichkeit und/oder

● Verfügbarkeit können nicht mehr gewährleistet werden

=> Art. 5 DSGVO verletzt

6

Formen der Verletzung

● Integrität: unbefugte oder unbeabsichtigte Änderung

● Vertraulichkeit: unbefugte oder unbeabsichtigte Preisgabe von oder Einsicht in personenbezogene Daten

● Verfügbarkeit: unbefugter oder unbeabsichtigter Verlust des Zugangs oder auch unbeabsichtigte oder unrechtmäßige Vernichtung

7

Ist der vorübergehende Verlust

der Verfügbarkeit ein

Datenschutzvorfall?

8

Auflösung

● Ja, denn auch ein vorübergehender Verlust der Verfügbarkeit personenbezogener Daten kann sich negativ auf die Betroffenen auswirken.

● Eine geplante, vorübergehende Einschränkung der Verfügbarkeit stellt hingegen keine Verletzung dar.

9

Ein Fall für die Aufsichtsbehörde?

● Art. 33 DSGVO

● Meldung an die Aufsichtsbehörde, wenn die Verletzung voraussichtlich zu einem Risiko oder hohen Risiko für Rechte und Freiheiten der Betroffenen führt

10

Risiko

● Risiko = Schwere möglicher Schäden x Eintrittswahrscheinlichkeit

● Lässt sich nicht völlig quantifizieren

● Objektive Kriterien helfen bei Bestimmung

● Risiken für Rechte müssen mit technischen und organisatorischen Maßnahmen eingedämmt werden (Vgl. Artt. 24, 25, 32, 35 DSGVO)

Quelle: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_18.pdf , Stand 26.04.2019, S. 5.

11

Risikobestimmung

● Art, Umfang, Umstände und Zweck der Verarbeitung

– Besondere Kategorien personenbezogener Daten

– Besonders schutzwürdige Betroffene

– Risikoreiche Verarbeitungszwecke (Scoring,

Persönlichkeitsanalyse, Arbeitsleistung)

– viele Betroffene

– große Menge personenbezogener Daten

12

Eintrittswahrscheinlichkeit

● Bei einem Datenschutzvorfall liegt die Eintrittswahrscheinlichkeit eines Risikos bei

100 %

● Maßnahmen zur Minderung der Eintrittswahrscheinlichkeit des Risikos waren ggf. unzureichend oder unwirksam

● Entscheidend ist nun die Eintrittswahrscheinlichkeit möglicher Schäden

13

Unmittelbarer Schaden

Physischer, materieller oder immaterieller Schaden!

● Diskriminierung

● Identitätsbetrug

● Finanzielle Verluste

● Rufschädigung

● Verlust der Vertraulichkeit von Berufsgeheimnissen

● Unbefugte Aufhebung der Pseudonymisierung

● Anderen erhebliche wirt./gesell. Nachteile

14

Mittelbarer Schaden

Kausaler Zusammenhang mit Datenschutzverletzung

● Identitätsdiebstahl führt zu Warenbetrug, der Betroffenen angelastet wird

● Manipulierter Schufa-Score verhindert Abschluss eines Mobilvertrags

=> Umfangreiche Schadensliste Vgl. ErwG 75

15

Kontext von Datenschutzverletzungen

● Mögliche Schäden müssen im Kontext der Datenschutzverletzung gesehen werden

● Welche Informationen über die Betroffenen lassen sich ableiten?

● Wer könnte auf welche Art und Weise von diesen Informationen profitieren?

16

Wann erfolgt eine Meldung?

● Unverzüglich

● Spätestens 72 Stunden nach bekannt werden der Verletzung

17

Wann ist

Verantwortlichen ein

Vorfall bekannt?

18

„Bekannt“ werden

● Abhängig von den konkreten Umständen des Vorfalls

● Eigene Entdeckung durch TOM

● Hinweis von Einzelpersonen, AuMragsverarbeitern Medienunternehmen, andere Stellen (BSI, Aufsichtsbehörde, Polizei)

● Lösegeldforderung

● ...

19

Informationen an die Aufsichtsbehörde

● Beschreibung des Vorfalls:

– Kategorien und Anzahl der Betroffenen

– Betroffene Datenkategorien

– Anzahl der betroffenen Datensätz

● Name und Kontaktdaten des DatenschutzbeauMragten oder einer sonstigen Anlaufstelle für weitere Informationen

20

Informationen an die Aufsichtsbehörde

● Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung

● Beschreibung der ergriffenen Maßnahmen

● Beschreibung der vorgeschlagenen Maßnahmen zur Behebung der Verletzung sowie Maßnahmen zur Abmilderung der Folgeschäden

● Weitere relevante Informationen

21

Ausnahme von der Meldepflicht

● Voraussichtlich kein Risiko für die Rechte und Freiheiten von natürlichen Personen

=> Achtung das Risiko kann sich unvorhergesehen ändern!

● innerhalb von 72 h wird Fehlalarm ermittelt

=> aber Dokumentation des Vorfalls und der Risikobetrachtung sowie Unterrichtung der entsprechenden Managementebenen

22

Was, wenn nicht alle

Informationen nach 72

Stunden bekannt

sind?

23

Auslösung

● Informationen können nachgereicht werden

● Ziel ist die Eindämmung von Auswirkungen auf die Betroffenen, nicht die Lieferung genauer Statistiken

● Ergebnisse von Untersuchungen werden nachgereicht, sobald diese vorliegen

● Mehrere gleichartige Verletzungen werden zu einer Meldung gebündelt

=> die Verzögerung ist zu begründen!

24

Welche Behörde ist zuständig?

● Sitz des Verantwortlichen

● Sitz des Verantwortlichen, der gemäß Vereinbarung zur gemeinsamen Verarbeitung für die Meldung zuständig ist

● Sitz des Vertreters in der EU

25

Benachrichtigung der Betroffenen

● Art. 34 DSGVO

● „Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“

● Oder die Aufsichtsbehörde verlangt es

26

Informationen

● eine Beschreibung der Art der Datenschutzverletzung

● den Namen und die Kontaktdaten des DatenschutzbeauMragten oder einer sonstigen Anlaufstelle

● eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung

● eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung, gegebenenfalls einschließlich der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

● Weitere relevante Informationen

27

Kontaktaufnahme

● Direkt

● Nicht zusammen mit anderen Informationen

● Klare und einfache Sprache

● Öffentliche Bekanntmachung oder gleich wirksame Maßnahme, wenn keine direkte Kontaktaufnahme möglich ist

28

Welcher

Kommunikationskanal

ist sinnvoll?

29

Auflösung

● Kommunikationskanäle, die:

– regelmäßig in der Interaktion mit Betroffenen verwendet

werden

– nicht durch die Datenschutzverletzung beeinträchtigt

sind

– sehr wahrscheinlich von den Betroffenen konsumiert

werden (Zielgruppenabhängig)

– Login-Screen

– ...

30

Ausnahme von der Benachrichtigungspflicht

● Präventionsmaßnahmen greifen

● Abhilfemaßnahmen senken das Risiko

● Es gibt nur die Möglichkeit der öffentlichen Bekanntmachung

31

Warum das Ganze?

32

Warum das Ganze?

● Tätigwerden der Verantwortlichen

● Schadensbegrenzung

● Transparenz über Vorfälle für Behörden und Betroffene

● Beratung durch die Aufsichtsbehörde

● Vorausschauende Planung und Einführung von Verarbeitungsverfahren

● TOM zur Erkennung und Eindämmung von Vorfällen fördern

● Lernen aus Erfahrung (PDCA-Kreislauf)

● Instrument zur Einhaltung von DS-Recht

● Bußgeld bis zu 2% des Jahresumsatz oder bis zu 10 Mio €

33

Fragen?

34

Ende

Danke