Bei Vorliegen einer Datenpanne verlangt die EU-Datenschutzgrundverordnung unter bestimmten Voraussetzungen eine Meldung an die Datenschutzaufsichtsbehörde und ggf. auch an die betroffenen Personen.
Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich
Was tun bei einer Datenpanne? Das verlangt die DSGVO
1. RA Michael Rohrlich 02.04.2019
Was tun bei einer Datenpanne?
Das verlangt die DSGVO
2. zugelassen als Rechtsanwalt seit März 2003
TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV)
Mitglied im Fachausschuss IT-Recht und GRUR des Aachener AnwaltVereins
Fachautor & Dozent
Video-Trainer für LinkedIn Learning / Microsoft (ehem. video2brain)
02.04.2019Was tun bei einer Datenpanne? Das verlangt die DSGVO2
Michael Rohrlich
Rechtsanwalt
3. Agenda
02.04.2019Was tun bei einer Datenpanne? Das verlangt die DSGVO3
1. Einführung
2. Was ist eine Datenpanne?
3. Wann muss eine Meldung an die Aufsichtsbehörde erfolgen?
4. Wann muss eine Meldung an die Betroffenen erfolgen?
5. Umsetzung in die Praxis: Was muss in einer Meldung beschrieben werden?
5. 5 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
1. Einführung
zentrales Gesetz seit 25. Mai 2018: EU-Datenschutzgrundverordnung (DSGVO)
ergänzend in Dt.: Bundesdatenschutzgesetz (BDSG) - für Behörden der Länder etc.: Landesdatenschutzgesetze
plus Spezialgesetze, wie z.B.
Telemediengesetz (TMG)
Telekommunikationsgesetz (TKG)
Gesetz gegen den unlauteren Wettbewerb (UWG)
Kunsturheberrechtsgesetz (KUG)
und div. branchenspezifische Gesetze…
Datenschutz:
6. 6 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
1. Einführung
zentrales Schutzgut: personenbezogene Daten
Art. 4 Nr. 1 DSGVO: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person („betroffene Person“) beziehen.
als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt anhand von bestimmten
Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen,
wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind
Was schützen DSGVO & Co.?
sehr weitgehender Begriff, nur reine Statistik- oder Maschinendaten sollen nicht erfasst sein
8. 8 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
1. Einführung
Wichtige „Vokabeln“ des Datenschutzrechts
personenbezogene Daten = s.o.
Betroffener / betroffene Person = Mensch, dessen personenbezogene Daten verarbeitet werden
Verantwortlicher / verantwortliche Stelle = Unternehmen, Behörde oder sonstige Stelle, das / die Daten
verarbeitet
Verarbeitung von personenbezogenen Daten = jede Tätigkeit im Zusammenhang mit personenbezogenen
Daten (Erheben, Speicher, Sortieren, Übertragen, Löschen…)
9. 9 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
1. Einführung
Zielrichtung des Datenschutzrechts / der DSGVO:
Art. 1 Abs. 1 DSGVO: Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der
Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
Art. 1 Abs. 2 DSGVO: Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen
und insbesondere deren Recht auf Schutz personenbezogener Daten.
10. 02.04.2019Was tun bei einer Datenpanne? Das verlangt die DSGVO10
2 Was ist eine Datenpanne?
11. 11 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
2. Was ist eine Datenpanne?
Datenpanne?
geregelt in Art. 33, 34 DSGVO
„Verletzung des Schutzes personenbezogener Daten“
die Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die
zur Vernichtung,
zum Verlust,
zur Veränderung oder
zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt,
die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (Art. 4 Nr. 12 DSGVO)
12. 12 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
2. Was ist eine Datenpanne?
Beispiele typischer Datenpannen:
Hack eines Servers
Virus / Malware im Unternehmensnetzwerk
Verlust eines Schriftstücks, Aktenordners…
Verlust eines ext. Datenträgers
Diebstahl eines Laptops, Tablets, Handys…
Versenden eines Schriftstücks an falschen Empfänger
ggf. E-Mail an mehrere Empfänger, die in „cc“ gesetzt sind (und z.B. nicht in „bcc“)
13. 13 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
2. Was ist eine Datenpanne?
Verpflichtende Maßnahmen?
geeignete technische und organisatorische Maßnahmen (TOMs), um möglichen Datenpannen vorzubeugen bzw.
um solche möglichst zu verhindern
geeignete TOMs, um sofort feststellen zu können, ob eine Datenpanne aufgetreten ist
geeignete TOMs, um nach einer Datenpanne ggf. Maßnahmen zur Schadensminderung etc. ergreifen zu können
aber: es gibt keinen 100%-igen Schutz vor Datenpannen
14. 14 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
2. Was ist eine Datenpanne?
Geeignete TOMs?
Art. 32 Abs. 1 DSGVO: „[…] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten […]“, insbesondere z.B. durch
Pseudonymisierung
Verschlüsselung
Vertraulichkeit
Integrität
Verfügbarkeit
Belastbarkeit
rasches Wiederherstellen der Verfügbarkeit von personenbezogenen Daten
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs
15. 15 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
2. Was ist eine Datenpanne?
Beispiele Verschlüsselung
Betriebssystem: z.B. Windows 10 Bitlocker
E-Mail: Inhalts- / Transportverschlüsselung (z.B. S/MIME-Zertifikat, PGP)
Website: SSL- / TLS-Zertifikat
iPhone: vollverschlüsselt durch Aktivierung einer Code- / Fingerabdruck- / Gesichtsscan-Sperre
Fernzugriff: VPN-Verbindung
16. 16 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
2. Was ist eine Datenpanne?
Beispiele Vertraulichkeit
Zutrittskontrolle
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen
personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren
z.B. Alarmanlage, Schließsystem, Bewegungsmelder, Empfang, Sicherheitsausweispflicht…
Zugangskontrolle
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden
können
z.B. Authentifikation mit Benutzername + Passwort, Sperre externer Schnittstellen (USB)…
Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten
ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass
personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert,
verändert oder entfernt werden können
z.B. Berechtigungskonzept, Passwortrichtlinie, Aktenvernichter…
17. 17 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
2. Was ist eine Datenpanne?
Beispiele Vertraulichkeit
Trennungsgebot
• Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
können
• z.B. Datensätze mit Zweckattributen, Trennung von Produktiv- & Testsystem…
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
können
z.B. Datensätze mit Zweckattributen, Trennung von Produktiv- & Testsystem…
Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur
entsprechend den Weisungen des Auftraggebers verarbeitet werden können
z.B. AV-Vertrag…
18. 18 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
2. Was ist eine Datenpanne?
Beispiele Integrität
Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem
personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind
z.B. Protokollierung von Eingabe, Änderung, Löschung von Daten im System, individuelle Benutzernamen…
Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während
ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt
werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung
personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist
z.B. VPN-Verbindungen, Mail-Verschlüsselung, Website-Verschlüsselung, Löschkonzept…
19. 19 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
2. Was ist eine Datenpanne?
Beispiele Verfügbarkeit
Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt
sind
z.B. Sicherung des Servers mittels USV, Brand- / Rauchmelder, Feuerlöscher, Klimaanlage im Serverraum, Server /
Rechner nicht unterhalb von sanitären Anlagen / Wasserleitungen, Backup-Konzept, regelmäßiges Testen der
Wiederherstellbarkeit von Backups…
ausreichende Anzahl von Softwarelizenzen / Lizenzmanagement
20. 20 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
2. Was ist eine Datenpanne?
Beispiele Belastbarkeit der Systeme
Antiviren-Software
Hardware-Firewall
Software-Firewall
Intrusion-Detection-System
sorgfältige Auswahl des externen IT-Dienstleisters
21. 21 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
2. Was ist eine Datenpanne?
Beispiele Wiederherstellung der Verfügbarkeit
sorgfältig ausgewählter System-Administrator
Vorhaltung von Ersatz-Hardware / Server
Vorhaltung von Ersatz-Hardware / Arbeitsplätze
sorgfältig ausgewählter IT-Dienstleister
22. 22 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
2. Was ist eine Datenpanne?
Beispiele Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM
(freiwillige) Benennung eines Datenschutzbeauftragten
Einsatz einer Datenschutz- / Informationssicherheits-Management-Software (DMS / ISMS)
elektronisches Datenschutz-Handbuch u.a. mit Vorgaben zu regelmäßigen Prüfintervallen
23. 23 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
2. Was ist eine Datenpanne?
Umsetzung von TOMs:
eigenes „angemessenes Schutzniveau“ ermitteln
existierende TOMs ermitteln
TOMs dokumentieren (als Teil des Verarbeitungsverzeichnisses)
GAP-Analyse (Ermittlung von TOMs, die aufgrund des eigenen Schutzniveaus vorhanden sein müssten)
Umsetzung der neu ermittelten TOMs in die Praxis
Anpassung der Datenschutzdokumentation an die neuen TOMs
24. 02.04.2019Was tun bei einer Datenpanne? Das verlangt die DSGVO24
3
Meldung an die
Aufsichtsbehörde?
25. 25 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
3. Meldung an die Aufsichtsbehörde?
Meldung an Aufsichtsbehörde?
Voraussetzungen in Art. 33 DSGVO:
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche […] diese der […]
zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten
voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“
Frist: unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Panne
26. 26 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
3. Meldung an die Aufsichtsbehörde?
Frist- / Formvorgaben:
Mitteilung an die zuständige Aufsichtsbehörde unter Angabe bestimmter Pflichtangaben (s.u. Punkt 5)
Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die
Verzögerung beizufügen.
Soweit die Pflichtinformationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche
diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.
Der Verantwortliche dokumentiert die Datenpanne einschließl. aller im Zusammenhang damit stehenden Fakten,
deren Auswirkungen und der evtl. ergriffenen Abhilfemaßnahmen (als Nachweis für die Aufsichtsbehörde).
27. 27 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
3. Meldung an die Aufsichtsbehörde?
Zuständige Aufsichtsbehörde?
in Dt. insgesamt 18 Aufsichtsbehörden
1 Bundesdatenschutzbeauftragte(r)
je 1 Landesdatenschutzbeauftragte(r) je Bundesland (außer Bayern)
je 1 Landesdatenschutzaufsichtsbehörden in Bayern für den öffentlichen und für den nicht-öffentlichen Bereich
(Haupt-) Sitz eines Unternehmens = Zuständigkeitsbereich
28. 02.04.2019Was tun bei einer Datenpanne? Das verlangt die DSGVO28
4
Meldung an die betroffenen
Personen?
29. 29 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
4. Meldung an die betroffenen Personen?
Meldung an Betroffene?
Voraussetzungen in Art. 34 DSGVO
„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen
Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person
unverzüglich von der Verletzung.“
Frist: unverzüglich nach Bekanntwerden der Panne
30. 30 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
4. Meldung an die betroffenen Personen?
potentiell hohes Risiko durch…
automatisierte Entscheidung mit rechtlicher Relevanz o.ä. Wirkung für den Betroffenen (Profiling)
systematische Beobachtung von Betroffenen
Verarbeitung besonderer Kategorien personenbezogener Daten
in großem Umfang verarbeitete personenbezogene Daten
Abgleich bzw. Kombination versch. Datensätze
personenbezogene Daten verletzlicher Datensubjekte
Einsatz neuartiger Lösungen / Technologien
Übermittlung personenbezogener Daten in Drittstaaten
je mehr der o.a. Kriterien vorliegen, desto eher ist von einem hohen Risiko auszugehen
31. 31 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
4. Meldung an die betroffenen Personen?
Ausnahmen von der Meldepflicht ggü. Betroffenen
Die Benachrichtigung der betroffenen Personen ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt
ist:
der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen
und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt,
insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang
zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch
Verschlüsselung,
der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die
Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
dies wäre mit einem unverhältnismäßigen Aufwand verbunden; in diesem Fall hat stattdessen eine
öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen
Personen vergleichbar wirksam informiert werden.
32. 02.04.2019Was tun bei einer Datenpanne? Das verlangt die DSGVO32
5 Umsetzung in die Praxis
33. 33 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
5. Umsetzung in die Praxis
Datenpanne
Risiko
hohes Risiko
Information der betroffenen Personen
Meldung an Aufsichtsbehörde
34. 34 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
5. Umsetzung in die Praxis
Beurteilung der Datenpanne / Risikoeinschätzung
1. Bestimmung möglicher Schäden
2. Abschätzung von Eintrittswahrscheinlichkeit und Schwere möglicher Schäden
3. Zuordnung zur Risikoabstufungen
geringes Risiko (kein Risiko?)
„normales“ Risiko
hohes Risiko
35. 35 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
5. Umsetzung in die Praxis
Natur
Hochwasser,
Erdbeben,
Blitzschlag,
Feuer etc.
Menschen
intern
(Mitarbeiter…)
absichtlich aus Versehen
extern
(Dienstleister…)
absichtlich aus Versehen
Potentielle Risikofaktoren
36. 36 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
5. Umsetzung in die Praxis
Potentielle Schäden durch eine Datenpanne
Physischer, materieller oder immaterieller Schaden, z.B.
Verlust der Kontrolle der eigener Daten
Einschränkung der Betroffenenrechte
Diskriminierung
Identitätsdiebstahl oder –betrug
finanzielle Verluste
unbefugte Aufhebung einer Pseudonymisierung
Rufschädigung
Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten
andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile
37. 37 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
5. Umsetzung in die Praxis
Risikoeinstufung
keine einheitlichen Vorgaben, unterschiedliche Methoden möglich
z.B. anhand von
ISO 270001
Standard-Datenschutzmodell (SDM)
VdS 10010
…
38. 38 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
5. Umsetzung in die Praxis
„VKKT-Modell“
Vogel: Schutzgut
Käfig: Schutzmaßnahme
Katze: Bedrohung
Tür: Schwachstelle
Quelle: Pixabay
39. 39 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
5. Umsetzung in die Praxis
Mindestinhalt Meldung Datenpanne (Aufsichtsbehörde)
Name und Kontaktdaten der verantwortlichen Stelle
Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und ungefähren Zahl der
Betroffenen, der betroffenen Datenkategorien und der ungefähren Zahl der betroffenen Datensätze
Namen und Kontaktdaten des evtl. Datenschutzbeauftragten oder einer sonst. Anlaufstelle für weitere
Informationen
Beschreibung der wahrscheinlichen Folgen der Verletzung
Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der
Verletzung und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
Aufsichtsbehörden stellen Online- / PDF-Formulare zur Meldung von Datenpannen bereit
40. 40 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
5. Umsetzung in die Praxis
Mindestinhalt Meldung Datenpanne (Betroffene)
Name und Kontaktdaten der verantwortlichen Stelle
Namen und Kontaktdaten des evtl. Datenschutzbeauftragten oder einer sonst. Anlaufstelle für weitere
Informationen
Beschreibung der wahrscheinlichen Folgen der Verletzung
Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der
Verletzung und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
in klarer und einfacher Sprache
41. 41 Was tun bei einer Datenpanne? Das verlangt die DSGVO 02.04.2019
5. Umsetzung in die Praxis
noch Fragen? Gleich geht’s weiter…
42. Vielen Dank
In Kürze in Ihrer Mediathek
▪ Video-Aufzeichnung der Online-Schulung
▪ Fragen- & Antworten-Dokument
02.04.2019Was tun bei einer Datenpanne? Das verlangt die DSGVO42
Klicken Sie hier, um Ihre Teilnahmebestätigung anzufordern.
43. Falls Sie keine Zeit haben weiter zuzuhören, dann verpassen Sie trotzdem nichts:
In Ihrer Mediathek finden Sie eine Zusammenstellung aller Fragen und Antworten.
Zeit für Ihre Fragen
02.04.2019Was tun bei einer Datenpanne? Das verlangt die DSGVO43
44. Weitere Online-Schulungen,
die Sie interessieren könnten
Mehr Netto vom
Brutto:
Lohnzusatzleistungen
Teil 2 (Fortgeschrittene)
Urlaub: Rechtliche
Grundlagen und
praktische Umsetzung
Excel Basiskurs –
wichtige Grundlagen
einfach erklärt!
Arbeitszeitmodelle
flexibel und
rechtssicher umsetzen
Mi, 27.03.2019, 09:00 Uhr Do, 04.04.2019, 09:00 Uhr Mo, 15.04.2019, 09:00 Uhr Di, 14.05.2019, 09:00 Uhr
ca. 80 Min. ca. 80 Min. ca. 80 Min. ca. 80 Min.
49,95 € 49,95 € 49,95 € 49,95 €
59,44 € inkl. MwSt. 59,44 € inkl. MwSt. 59,44 € inkl. MwSt. 59,44 € inkl. MwSt.
Zur Schulung Zur Schulung Zur Schulung Zur Schulung