Datenschutz: Recht und Technik Datenschutzverletzungen und der Risiko- Begriff der DSGVO Susan Gonscherowski 13.01.2010
Datenschutz: Recht und Technik
Datenschutzverletzungen und der Risiko-
Begriff der DSGVO
Susan Gonscherowski
13.01.2010
2
Rechtsauffassungen
sind solche der
jeweiligen Referenten
und Referentinnen
3
Was ist eine Datenschutzverletzung?
● Art. 4 Nr. 12 DSGVO:
„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“
4
Jeder Datenschutzvorfall ist ein
IT-Sicherheitsvorfall, aber nicht
jeder IT-Sicherheitsvorfall ist ein
Datenschutzvorfall .
5
DSGVO-Grundsätze
● Integrität,
● Vertraulichkeit und/oder
● Verfügbarkeit können nicht mehr gewährleistet werden
=> Art. 5 DSGVO verletzt
6
Formen der Verletzung
● Integrität: unbefugte oder unbeabsichtigte Änderung
● Vertraulichkeit: unbefugte oder unbeabsichtigte Preisgabe von oder Einsicht in personenbezogene Daten
● Verfügbarkeit: unbefugter oder unbeabsichtigter Verlust des Zugangs oder auch unbeabsichtigte oder unrechtmäßige Vernichtung
7
Ist der vorübergehende Verlust
der Verfügbarkeit ein
Datenschutzvorfall?
8
Auflösung
● Ja, denn auch ein vorübergehender Verlust der Verfügbarkeit personenbezogener Daten kann sich negativ auf die Betroffenen auswirken.
● Eine geplante, vorübergehende Einschränkung der Verfügbarkeit stellt hingegen keine Verletzung dar.
9
Ein Fall für die Aufsichtsbehörde?
● Art. 33 DSGVO
● Meldung an die Aufsichtsbehörde, wenn die Verletzung voraussichtlich zu einem Risiko oder hohen Risiko für Rechte und Freiheiten der Betroffenen führt
10
Risiko
● Risiko = Schwere möglicher Schäden x Eintrittswahrscheinlichkeit
● Lässt sich nicht völlig quantifizieren
● Objektive Kriterien helfen bei Bestimmung
● Risiken für Rechte müssen mit technischen und organisatorischen Maßnahmen eingedämmt werden (Vgl. Artt. 24, 25, 32, 35 DSGVO)
Quelle: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_18.pdf , Stand 26.04.2019, S. 5.
11
Risikobestimmung
● Art, Umfang, Umstände und Zweck der Verarbeitung
– Besondere Kategorien personenbezogener Daten
– Besonders schutzwürdige Betroffene
– Risikoreiche Verarbeitungszwecke (Scoring,
Persönlichkeitsanalyse, Arbeitsleistung)
– viele Betroffene
– große Menge personenbezogener Daten
12
Eintrittswahrscheinlichkeit
● Bei einem Datenschutzvorfall liegt die Eintrittswahrscheinlichkeit eines Risikos bei
100 %
● Maßnahmen zur Minderung der Eintrittswahrscheinlichkeit des Risikos waren ggf. unzureichend oder unwirksam
● Entscheidend ist nun die Eintrittswahrscheinlichkeit möglicher Schäden
13
Unmittelbarer Schaden
Physischer, materieller oder immaterieller Schaden!
● Diskriminierung
● Identitätsbetrug
● Finanzielle Verluste
● Rufschädigung
● Verlust der Vertraulichkeit von Berufsgeheimnissen
● Unbefugte Aufhebung der Pseudonymisierung
● Anderen erhebliche wirt./gesell. Nachteile
14
Mittelbarer Schaden
Kausaler Zusammenhang mit Datenschutzverletzung
● Identitätsdiebstahl führt zu Warenbetrug, der Betroffenen angelastet wird
● Manipulierter Schufa-Score verhindert Abschluss eines Mobilvertrags
=> Umfangreiche Schadensliste Vgl. ErwG 75
15
Kontext von Datenschutzverletzungen
● Mögliche Schäden müssen im Kontext der Datenschutzverletzung gesehen werden
● Welche Informationen über die Betroffenen lassen sich ableiten?
● Wer könnte auf welche Art und Weise von diesen Informationen profitieren?
16
Wann erfolgt eine Meldung?
● Unverzüglich
● Spätestens 72 Stunden nach bekannt werden der Verletzung
17
Wann ist
Verantwortlichen ein
Vorfall bekannt?
18
„Bekannt“ werden
● Abhängig von den konkreten Umständen des Vorfalls
● Eigene Entdeckung durch TOM
● Hinweis von Einzelpersonen, AuMragsverarbeitern Medienunternehmen, andere Stellen (BSI, Aufsichtsbehörde, Polizei)
● Lösegeldforderung
● ...
19
Informationen an die Aufsichtsbehörde
● Beschreibung des Vorfalls:
– Kategorien und Anzahl der Betroffenen
– Betroffene Datenkategorien
– Anzahl der betroffenen Datensätz
● Name und Kontaktdaten des DatenschutzbeauMragten oder einer sonstigen Anlaufstelle für weitere Informationen
20
Informationen an die Aufsichtsbehörde
● Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung
● Beschreibung der ergriffenen Maßnahmen
● Beschreibung der vorgeschlagenen Maßnahmen zur Behebung der Verletzung sowie Maßnahmen zur Abmilderung der Folgeschäden
● Weitere relevante Informationen
21
Ausnahme von der Meldepflicht
● Voraussichtlich kein Risiko für die Rechte und Freiheiten von natürlichen Personen
=> Achtung das Risiko kann sich unvorhergesehen ändern!
● innerhalb von 72 h wird Fehlalarm ermittelt
=> aber Dokumentation des Vorfalls und der Risikobetrachtung sowie Unterrichtung der entsprechenden Managementebenen
22
Was, wenn nicht alle
Informationen nach 72
Stunden bekannt
sind?
23
Auslösung
● Informationen können nachgereicht werden
● Ziel ist die Eindämmung von Auswirkungen auf die Betroffenen, nicht die Lieferung genauer Statistiken
● Ergebnisse von Untersuchungen werden nachgereicht, sobald diese vorliegen
● Mehrere gleichartige Verletzungen werden zu einer Meldung gebündelt
=> die Verzögerung ist zu begründen!
24
Welche Behörde ist zuständig?
● Sitz des Verantwortlichen
● Sitz des Verantwortlichen, der gemäß Vereinbarung zur gemeinsamen Verarbeitung für die Meldung zuständig ist
● Sitz des Vertreters in der EU
25
Benachrichtigung der Betroffenen
● Art. 34 DSGVO
● „Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“
● Oder die Aufsichtsbehörde verlangt es
26
Informationen
● eine Beschreibung der Art der Datenschutzverletzung
● den Namen und die Kontaktdaten des DatenschutzbeauMragten oder einer sonstigen Anlaufstelle
● eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung
● eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung, gegebenenfalls einschließlich der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
● Weitere relevante Informationen
27
Kontaktaufnahme
● Direkt
● Nicht zusammen mit anderen Informationen
● Klare und einfache Sprache
● Öffentliche Bekanntmachung oder gleich wirksame Maßnahme, wenn keine direkte Kontaktaufnahme möglich ist
28
Welcher
Kommunikationskanal
ist sinnvoll?
29
Auflösung
● Kommunikationskanäle, die:
– regelmäßig in der Interaktion mit Betroffenen verwendet
werden
– nicht durch die Datenschutzverletzung beeinträchtigt
sind
– sehr wahrscheinlich von den Betroffenen konsumiert
werden (Zielgruppenabhängig)
– Login-Screen
– ...
30
Ausnahme von der Benachrichtigungspflicht
● Präventionsmaßnahmen greifen
● Abhilfemaßnahmen senken das Risiko
● Es gibt nur die Möglichkeit der öffentlichen Bekanntmachung
31
Warum das Ganze?
32
Warum das Ganze?
● Tätigwerden der Verantwortlichen
● Schadensbegrenzung
● Transparenz über Vorfälle für Behörden und Betroffene
● Beratung durch die Aufsichtsbehörde
● Vorausschauende Planung und Einführung von Verarbeitungsverfahren
● TOM zur Erkennung und Eindämmung von Vorfällen fördern
● Lernen aus Erfahrung (PDCA-Kreislauf)
● Instrument zur Einhaltung von DS-Recht
● Bußgeld bis zu 2% des Jahresumsatz oder bis zu 10 Mio €
33
Fragen?
34
Ende
Danke