Datenschutzvorfall und Vorgehen einer Aufsichtsbehörde am aktuellen Beispiel
- von Thilo Noack
- •
- 07 Juli, 2019
Warum vollständige Dokumentation schützt.
Im Rahmen einer "Datenschutzpanne", also eine Verletzung des Schutzes personenbezogener Daten nach Art. 4 Abs. 12 und Artikel 33 und 34 sowie Erwägungsgründe 85 bis 88 der Datenschutz-Grundverordnung DSGVO, eines Hamburger Krankenhauses, wurde dieser Vorfall an die Behörde (HmbBfDI) gemeldet.
- anzuweisen, alle Informationen bereit zu stellen, die für die Untersuchung notwendig sind. Damit auch Dienstleister (AVV) einzubeziehen,
- Zugang zu personenbezogenen Daten zu erhalten
- und die Verarbeitung gänzlich einzustellen, bis die Verarbeitung entsprechend korrigiert wurde - also mithin rechtskonform ist.
In vorliegendem Fall hat sich die Behörde im Sinne von Artikel 58 DSGVO entsprechend um Klärung bemüht und Informationen erhalten, womit dann im weiteren jeweils über ein Bußgeld zu entscheiden ist.
Hinweis für Unternehmen bleibt an dieser Stelle, die Überprüfung der Dokumentation und der Verarbeitung nach heutigem datenschutzrechtlichen, belastbarem Standard. Dies bezieht auch eine IT-Sicherheitskultur mit ein, die nicht bei Virenscannern und Firewalls endet, sondern vielmehr den Mitarbeiter als um die Risiken wissenden Beschützer der Daten nachweislich mit einbezieht.
Ein Risiko-Assessment ist also obligatorisch.
Die Behördliche Untersuchung eines tatsächlichen Datenschutzvorfalls muss also keineswegs in einer Sanktion enden, die dann mutmaßlich auch einen zivilrechtlichen Schadensausgleich begünstigt, sondern es kann mit fundierter Umsetzung der Basics bereits Schutz für Unternehmen geschaffen werden. Gleichzeitig erfahren Daten im Unternehmen eine Aufwertung, da deren Qualität mit Umsetzung von Basics steigt, denn der Wert der Daten dürfte weitestgehend mit der Rechtskonformität der Verarbeitung verknüpft sein.
Dies geschieht aufgrund der Meldepflicht. Art 33 DSGVO sieht vor, dass innerhalb 72 h gemeldet werden muss, wenn voraussichtlich ein Risiko für die Rechte und Freiheiten betroffener Personen besteht. Wie und wann sollte nun in der Praxis tatsächlich gemeldet werden? Im Idealfall immer dann, wenn personenbezogene Daten in falschen Händen für die betroffenen Personen empfindliche Ausmaße haben, also im Zweifelsfall eher melden, statt nicht melden.
Wie? Die Empfehlung aus der Praxis
ist hier zunächst, den Datenschutzbeauftragten gegenüber der Behörde ohne Nennung des Unternehmens in der Sache vorstellig zu werden, um eine erste behördliche Einschätzung zu erhalten.
Die Behörde untersuchte im Folgenden, wie wir übrigens auch regelmäßig beobachten, zunächst durch Einholen schriftlicher Informationen über den jeweiligen Hergang und die Umstände des Falles. Hier kommt es nun nach vielerlei Erfahrung aus Fällen, in denen ich beteiligt war darauf an, der Behörde zu signalisieren, dass
Die Behörde untersuchte im Folgenden, wie wir übrigens auch regelmäßig beobachten, zunächst durch Einholen schriftlicher Informationen über den jeweiligen Hergang und die Umstände des Falles. Hier kommt es nun nach vielerlei Erfahrung aus Fällen, in denen ich beteiligt war darauf an, der Behörde zu signalisieren, dass
a) alle wesentlichen Punkte der datenschutzrechtlichen Notwendigkeiten - also DSGVO, BDSG (SGB usw.) erfüllt wurden
b) die Datenverarbeitung auf dem IT-Sicherheitsniveau liegt, welches allgemein anerkannt ist (ISO27001 / BSI Grundschutz).
Hier geht es also ganz entscheidend darum, die ohnehin notwendige Dokumentation der beiden Punkte unverzüglich vorzulegen. Die DSGVO verlangt in Artikel 5, welcher die Grundsätzlichen Bestimmungen enthält, eine proaktive Rechenschaftspflicht - also eine Pflicht, die Dokumentation bereits jederzeit zur Verfügung stellen zu können. Dies nicht zu können, stellt einen weiteren bußgeldbewehrten Verstoß am Ende dar.
b) die Datenverarbeitung auf dem IT-Sicherheitsniveau liegt, welches allgemein anerkannt ist (ISO27001 / BSI Grundschutz).
Hier geht es also ganz entscheidend darum, die ohnehin notwendige Dokumentation der beiden Punkte unverzüglich vorzulegen. Die DSGVO verlangt in Artikel 5, welcher die Grundsätzlichen Bestimmungen enthält, eine proaktive Rechenschaftspflicht - also eine Pflicht, die Dokumentation bereits jederzeit zur Verfügung stellen zu können. Dies nicht zu können, stellt einen weiteren bußgeldbewehrten Verstoß am Ende dar.
Das Unternehmen hatte nun aus eigenen Anstrengungen recherchiert und befunden, dass der Fall aufgeklärt sei, bzw. nicht aufzuklären sei und dementsprechend interne Ermittlungen und Untersuchungen eingestellt. Damit wäre dementsprechend auch kein konkretes Risiko für Betroffene auszumachen, reine Vermutungen stellen keine Datenschutz-Verletzungen dar, es geht hier um konkrete Verletzungen.
An dieser Stelle wurde nun aber der Fall ohne weitere dokumentierte Analyse intern seitens des Unternehmens eingestellt, so dass sich die Aufsichtsbehörde hier in der Pflicht sah, die Befugnisse aus Art. 58 DSGVO
zu nutzen.
Artikel 58 DSGVO stellt die Befugnisse zur Untersuchung durch Behörden dar, unter anderem
Artikel 58 DSGVO stellt die Befugnisse zur Untersuchung durch Behörden dar, unter anderem
- anzuweisen, alle Informationen bereit zu stellen, die für die Untersuchung notwendig sind. Damit auch Dienstleister (AVV) einzubeziehen,
- Zugang zu personenbezogenen Daten zu erhalten
- und die Verarbeitung gänzlich einzustellen, bis die Verarbeitung entsprechend korrigiert wurde - also mithin rechtskonform ist.
In vorliegendem Fall hat sich die Behörde im Sinne von Artikel 58 DSGVO entsprechend um Klärung bemüht und Informationen erhalten, womit dann im weiteren jeweils über ein Bußgeld zu entscheiden ist.
Hinweis für Unternehmen bleibt an dieser Stelle, die Überprüfung der Dokumentation und der Verarbeitung nach heutigem datenschutzrechtlichen, belastbarem Standard. Dies bezieht auch eine IT-Sicherheitskultur mit ein, die nicht bei Virenscannern und Firewalls endet, sondern vielmehr den Mitarbeiter als um die Risiken wissenden Beschützer der Daten nachweislich mit einbezieht.
Ein Risiko-Assessment ist also obligatorisch.
Die Behördliche Untersuchung eines tatsächlichen Datenschutzvorfalls muss also keineswegs in einer Sanktion enden, die dann mutmaßlich auch einen zivilrechtlichen Schadensausgleich begünstigt, sondern es kann mit fundierter Umsetzung der Basics bereits Schutz für Unternehmen geschaffen werden. Gleichzeitig erfahren Daten im Unternehmen eine Aufwertung, da deren Qualität mit Umsetzung von Basics steigt, denn der Wert der Daten dürfte weitestgehend mit der Rechtskonformität der Verarbeitung verknüpft sein.
Wie schreibe ich Weihnachtsgrüße nach DSGVO richtig und beachte den Datenschutz
Google Analytics nur nach Einwilligung " Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann."
Bonn/Berlin, 14. November 2019, bfdi.
Dieses klare Statement dürfte nun im Nachgang an meine Vorherigen Veröffentlichungen - seit April 2019 - ebenso klar für Anpassungsnotwendigkeit der Webseiten von Unternehmen sorgen. Entscheidend dabei ist die Art und Weise der Einwilligung. Wie? =>> Sie muss freiwillig, konkret, informiert und vor dem Aktivieren der Seite "über die Bühne" gehen. Nennen Sie also Zwecke der Verarbeitung, Umfang, sowie Speicherdauer und Empfänger der Daten, sowie Hintergründe zu dem Prozess. Genauere Hinweise gern: thilo.noack@shared-it.de
Dieses klare Statement dürfte nun im Nachgang an meine Vorherigen Veröffentlichungen - seit April 2019 - ebenso klar für Anpassungsnotwendigkeit der Webseiten von Unternehmen sorgen. Entscheidend dabei ist die Art und Weise der Einwilligung. Wie? =>> Sie muss freiwillig, konkret, informiert und vor dem Aktivieren der Seite "über die Bühne" gehen. Nennen Sie also Zwecke der Verarbeitung, Umfang, sowie Speicherdauer und Empfänger der Daten, sowie Hintergründe zu dem Prozess. Genauere Hinweise gern: thilo.noack@shared-it.de
Derzeit äussern sich gleich mehrere Aufsichtsbehörden in der gleichen Tonart zu dem Thema und es gibt bereits eine 6-stellige Zahl an Seiten, die einer Behörde beschwerdetechnisch vorliegen.
ZDNET ( https://www.zdnet.de/88364323/dsgvo-british-airways-droht-eine-rekordstrafe-von-183-millionen-pfund/
)
DSGVO: British Airways droht eine Rekordstrafe von 183 Millionen Pfund
Die Geldbuße bezieht sich auf einen Sicherheitsvorfall, der sich von Ende August bis Anfang September 2018 ereignete. British Airways hatte damals eingeräumt, dass bei einem Hackerangriff die Adress- und Kreditkartendaten von 380.000 Kunden kompromittiert wurden.
Direkte Worte findet die zuständige Informationskommissarin des ICO Elizabeth Denham, sie sagt dazu: „ Die persönlichen Daten der Menschen sind genau das – persönlich. Wenn ein Unternehmen es nicht schafft, diese vor Verlust, Beschädigung oder Diebstahl zu schützen, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar – wenn Sie mit personenbezogenen Daten betraut werden, müssen Sie sich darum kümmern. Diejenigen, die es nicht tun, werden von meinem Büro aus kontrolliert, um zu überprüfen, ob sie geeignete Maßnahmen zum Schutz der Grundrechte auf Privatsphäre ergriffen haben.“
Damit drückt sie prinzipiell das aus, was aus unserer Praxiserfahrung die allermeisten Unternehmen eben nicht direkt erkannt haben, die DSGVO führt in Form des Artikels 24 und 32 eine (längst notwendige) normierte Verpflichtung auf IT-Sicherheit ein, die aufgrund des Art.5 Abs.2 DSGVO dokumentiert sein muss. Ist die Belastbarkeit der getroffenen IT-Sicherheitsmaßnahmen nicht anhand anerkannten Sicherheitsstandards (ISO27001/2 z.B.) belegt und damit nach Art. 32 DSGVO nicht umgesetzt, kommt es zu einem ein Bußgeldrisiko (2% / 10 Mio).
Alleine die regelmäßige Umsetzung eines Angriffstests und das Schließen damit erkannter Sicherheitslücken dürfte immens vorteilhaft im Sinne der Enthaftung in einem solchen Fall sein.
Spannend daran ist für viele Unternehmen in dem Zusammenhang vielleicht auch, dass ein Verstoß meldepflichtig ist (Art. 33 DSGVO) und dass die Behörde dann alle Tatsachen, die zu dem Fall geführt haben einsehen kann, siehe hierzu auch Blogbeitrag vom 7.7.2019.
Es ist für jedes Unternehmen, gleich welcher Größe, greifbar . Der nächste IT-Vorfall im Unternehmen wird kommen, definitiv. Es gibt eine Meldepflicht bei einer Aufsichtsbehörde. Eine Unterlassene Meldung ist auch ein Bußgeldrisiko. Eine Meldung führt zur Untersuchung.
Es zeigt sich hier wieder unmissverständlich unser Leitbild "Datenschutz ist Unternehmensschutz" - der Grundsatz unserer Beratung. Und... das hier zu erwähnen drängte sich nun ja förmlich auf, denn wo wird es denn noch treffender verdeutlicht als in solch einem Fall.
Die Geldbuße bezieht sich auf einen Sicherheitsvorfall, der sich von Ende August bis Anfang September 2018 ereignete. British Airways hatte damals eingeräumt, dass bei einem Hackerangriff die Adress- und Kreditkartendaten von 380.000 Kunden kompromittiert wurden.
Direkte Worte findet die zuständige Informationskommissarin des ICO Elizabeth Denham, sie sagt dazu: „ Die persönlichen Daten der Menschen sind genau das – persönlich. Wenn ein Unternehmen es nicht schafft, diese vor Verlust, Beschädigung oder Diebstahl zu schützen, ist das mehr als eine Unannehmlichkeit. Deshalb ist das Gesetz klar – wenn Sie mit personenbezogenen Daten betraut werden, müssen Sie sich darum kümmern. Diejenigen, die es nicht tun, werden von meinem Büro aus kontrolliert, um zu überprüfen, ob sie geeignete Maßnahmen zum Schutz der Grundrechte auf Privatsphäre ergriffen haben.“
Damit drückt sie prinzipiell das aus, was aus unserer Praxiserfahrung die allermeisten Unternehmen eben nicht direkt erkannt haben, die DSGVO führt in Form des Artikels 24 und 32 eine (längst notwendige) normierte Verpflichtung auf IT-Sicherheit ein, die aufgrund des Art.5 Abs.2 DSGVO dokumentiert sein muss. Ist die Belastbarkeit der getroffenen IT-Sicherheitsmaßnahmen nicht anhand anerkannten Sicherheitsstandards (ISO27001/2 z.B.) belegt und damit nach Art. 32 DSGVO nicht umgesetzt, kommt es zu einem ein Bußgeldrisiko (2% / 10 Mio).
Alleine die regelmäßige Umsetzung eines Angriffstests und das Schließen damit erkannter Sicherheitslücken dürfte immens vorteilhaft im Sinne der Enthaftung in einem solchen Fall sein.
Spannend daran ist für viele Unternehmen in dem Zusammenhang vielleicht auch, dass ein Verstoß meldepflichtig ist (Art. 33 DSGVO) und dass die Behörde dann alle Tatsachen, die zu dem Fall geführt haben einsehen kann, siehe hierzu auch Blogbeitrag vom 7.7.2019.
Es ist für jedes Unternehmen, gleich welcher Größe, greifbar . Der nächste IT-Vorfall im Unternehmen wird kommen, definitiv. Es gibt eine Meldepflicht bei einer Aufsichtsbehörde. Eine Unterlassene Meldung ist auch ein Bußgeldrisiko. Eine Meldung führt zur Untersuchung.
Es zeigt sich hier wieder unmissverständlich unser Leitbild "Datenschutz ist Unternehmensschutz" - der Grundsatz unserer Beratung. Und... das hier zu erwähnen drängte sich nun ja förmlich auf, denn wo wird es denn noch treffender verdeutlicht als in solch einem Fall.
Die Wertschöpfung im Zeitalter nahezu 100%-iger Digitalisierung steht in unmittelbarer Verbindung mit Daten. Ein Großteil dieser Daten sind personenbezogene Daten, bei denen es in erheblichem Maße auf deren Rechtmäßigkeit im Rahmen derer Verarbeitung ankommt. Die Aufgabe von Datenschutzexperten besteht in eben dieser Kontrolle und Prüfung. Aber auch Mitarbeiterdaten sind Teil dieser Verarbeitung und ein ebenso wichtiger Teil eines fundierten Datenschutz-Managements.
Stellen Sie Ihre Daten auf die Probe. Kontrollieren Sie die Datenverarbeitung aus den Augen derer, die Risiken für Ihr Unternehmen bedeuten können:
- sind Betroffenenrechte rechtssicher umgesetzt
- sind Dokumentationen aus Sicht einer Behörde unangreifbar
- sind IT-Sicherheitsmechanismen auf Belastbarkeit vor Angriffen geprüft
- sind Marketingmaßnahmen aus wettbewerbsrechtlicher Sicht risikoreich.
Sie erhalten von Ihrem Datenschutzbeauftragten einen Jahresbericht, prüfen Sie hier auf diese Merkmale. Diese definieren die entscheidenden Wertschöpfungen und die Qualität Ihrer Daten und damit letztendlich den Unternehmenswert. Die Jahresberichte des Datenschutzbeauftragten sind Aussage über den Stand der Angreifbarkeit.
- sind Dokumentationen aus Sicht einer Behörde unangreifbar
- sind IT-Sicherheitsmechanismen auf Belastbarkeit vor Angriffen geprüft
- sind Marketingmaßnahmen aus wettbewerbsrechtlicher Sicht risikoreich.
Sie erhalten von Ihrem Datenschutzbeauftragten einen Jahresbericht, prüfen Sie hier auf diese Merkmale. Diese definieren die entscheidenden Wertschöpfungen und die Qualität Ihrer Daten und damit letztendlich den Unternehmenswert. Die Jahresberichte des Datenschutzbeauftragten sind Aussage über den Stand der Angreifbarkeit.
