Kategorie: Allgemein
28. Juli 2017
Hackern gelang es durch einen Cyberangriff an Kontodaten von über 400.000 italienischen Kunden der UniCredit-Bank zu kommen. Das Unternehmen bestätigte den Angriff, unterstreicht allerdings auch, dass keine besonders kritischen Daten, wie Passwörter, kopiert wurden, die für einen Zugriff auf Kundenaccounts oder illegale Transaktionen genutzt werden könnten. Sicher ist jedoch, dass persönliche Informationen und die IBAN-Nummern der Kunden abhanden gekommen sind.
Bereits Ende 2016 war die UniCredit-Bank in das Visier von Hackern geraten und erlebt damit nun bereits den zweiten Cyberangriff innerhalb von zehn Monaten. Nach Angaben des Unternehmens soll der Zugriff auf die Daten über einen “unautorisierten Zugang durch einen italienischen Dienstleister” erfolgt sein.
Die UniCredit-Bank will nun 2,3 Milliarden Euro investieren, um die eigene IT-Sicherheit zu stärken. Zu beachten ist hierbei, dass das Unternehmen für die Datensicherheit ihrer Kunden und Partner stets selbst verantwortlich bleibt, auch wenn verschiedene Prozesse – wie hier – durch Outsourcing von anderen Unternehmen im Wege der Auftragsdatenverarbeitung übernommen werden. Das Outsourcing stellt aber oftmals auch ein erhöhtes Sicherheitsrisiko dar, weshalb bei der Auswahl des Dienstleisters und den zu treffenden Sicherheitsvorkehrungen höchste Sorgfalt geboten ist. Erst recht, wenn 2018 die DSGVO in Kraft tritt und solche Datenpannen mit erhöhten Bußgeldern geahndet werden können.
27. Juli 2017
Eine repräsentative Studie des Digitalverbandes Bitkom hat ergeben, dass mehr als die Hälfte (53%) der deutschen Unternehmen in den letzten beiden Jahren in irgendeiner Form Opfer von Wirtschaftsspionage, Datenverlust oder -Diebstahl geworden ist. Entsprechend real sei die Gefahr für Unternehmen aller Branchen und Größen. Häufigstes Vorkommnis sei der Diebstahl von IT- oder Telekommunikationsgeräten. Unklar ist dabei, ob die Täter, die häufig “aus den eigenen Reihen” stammen, dabei auf die Smartphones und Laptops selbst oder auf die hierauf gespeicherten Daten abzielen. Immer häufiger (mind. jedes 5. Unternehmen im Betrachtungszeitraum) sei auch das sog. Social Engineering zu verzeichnen, bei dem Mitarbeiter durch Vortäuschung falscher Tatsachen und Identitäten zur Preisgabe sensibler Informationen verleitet werden sollen.
Bemerkenswert ist, dass Unternehmen entsprechende Vorfälle aus Angst vor Imageschäden vergleichsweise selten (lediglich 31%) an Polizei oder andere Stellen melden. Aus datenschutzrechtlicher Sicht ist zu beachten, dass bei dem Verlust personenbezogener Daten nach geltendem und auch nach künftigem Recht eine Meldepflicht bestehen kann, deren Nichtbeachtung bußgeldbewährt ist. Mit der Anwendung der Datenschutz-Grundverordnung ab dem 25.05.2018 stellt sich in diesem Bereich eine drastische Erhöhung ein: Die – aus welchen Gründen auch immer – unterlassene Meldung eines Datenverlusts an die Aufsichtsbehörde kann dann mit einem Bußgeld von bis zu 10 Mio. Euro oder 2% des weltweiten Konzern-Jahresumsatzes (Art. 83 Abs. 4 DSGVO) belegt werden. Diese potentiell immense zusätzliche Belastung kann durch den verordnungskonformen Umgang mit entsprechenden Situationen durch den Datenschutzbeauftragten verhindert werden.
Die Bitkom-Studie verdeutlicht die Notwendigkeit präventiver Maßnahmen wie z.B. die flächendeckende Verschlüsselung von Datenträgern, Installation aktueller Virenscanner-Software sowie regelmäßige Anfertigung von Backups. Neben der “technischen Sicherheit” sind auch organisatorische Maßnahmen, z.B. die regelmäßige Sensibilisierung der Mitarbeiter, äußerst ratsam. Zwar kann auch hierdurch keine 100-prozentige Sicherheit gewährleistet werden. Dem verhältnismäßig geringen Aufwand stehe allerdings eine signifikante Verbesserung gegenüber der Risikolage ohne entsprechende Maßnahmen gegenüber.
25. Juli 2017
Zurzeit befasst sich der Europäische Gerichtshof (EuGH) erneut mit dem sogenannten „Recht auf Vergessenwerden“, wie heise berichtet. Hintergrund hierfür ist ein Rechtsstreit zwischen dem US-amerikanischen Suchmaschinenbetreiber Google und der französischen Datenschutzaufsichtsbehörde CNIL. CNIL hatte Google zuvor eine Strafe von € 100.000 auferlegt, da Links aus den Suchmaschinenergebnissen nicht weltweit gelöscht wurden. Um die Strafe gerichtlich prüfen zu lassen, zog Google vor das französische Verwaltungsgericht. Dieses legte die Frage, ob sich der Löschungsanspruch auf weltweite Suchergebnisse erstreckt, nun dem EuGH zur Entscheidung vor.
Vor drei Jahren hatte der EuGH das Recht auf Vergessenwerden in seinem Urteil manifestiert. Das Recht auf Vergessenwerden berechtigt Individuen von Suchmaschinenbetreibern die Löschung von Links zu Informationen zu verlangen, die veraltet sind oder ihre Privatsphäre verletzen. Seit Mai 2014 erhielt Google mehr als 2 Millionen dieser Aufforderungen. Sofern nach der Ansicht von Google die Voraussetzungen für die Löschung vorliegen, wird der beanstandete Link aus den Suchmaschinenergebnissen entfernt. Die Löschung findet jedoch nur auf den europäischen Versionen von Google statt. CNIL geht dies jedoch nicht weit genug und fordert eine weltweite Löschung, damit dem Recht auf Vergessen umfassend entsprochen wird. Google hält diese Forderung für absurd. Zum einen werde die Freiheit des Internets beschränkt. Außerdem könnte Google nationales Recht nicht weltweit umsetzen.
Mit Spannung wird deswegen nun die Entscheidung des EuGH erwartet.
21. Juli 2017
Für die Erhebung der Lkw-Maut sammelt das vom Verkehrsministerium beauftragte Unternehmen Toll Collect zahlreiche Daten. Dabei handelt es sich unter anderem um Fotos der Lkw’s und der Nummernschilder, den Namen des Fahrers oder um Ort und Zeit der Autobahnnutzung. Die Rechtsgrundlage für das Erheben und Verarbeiten dieser Daten findet sich in § 4j des Gesetzes über die Erhebung von streckenbezogenen Gebühren für die Benutzung von Bundesautobahnen und Bundesstraßen (BFStrMG).
Der nordrhein-westfälische Justizminister Peter Biesenbach hat nun gefordert, dass die erhobenen Lkw-Mautdaten auch für die Aufklärung schwerer Straftaten genutzt werden sollten. Den Anlass für diese Forderung bildete die Ermordung einer Joggerin in Baden-Württemberg. Unter anderem aufgrund von Mautdaten aus Österreich hat die Polizei dabei in diesem Fall Hinweise auf einen möglichen Tatverdächtigen erhalten.
Dieser Forderung steht jedoch entgegen, dass in § 4j Abs. 3 BFStrMG eindeutig festgelegt ist, dass die durch die Mautstellen erhobenen Daten ausschließlich zur Wahrnehmung der hoheitlichen Aufgaben im Rahmen der Kontrolle der Einhaltung der Mautpflicht und Ahndung von Verstößen verwendet werden dürfen. Hierdurch wird eine eindeutige Zweckbindung im datenschutzrechtlichen Sinne normiert, die einer Übermittlung zu anderen Zwecken entgegensteht. Hiervon ist auch die Übermittlung zum Zwecke der Strafverfolgung umfasst. Demnach wäre auch die von Peter Biesenbach geforderte Übermittlung zur Aufklärung schwerer Straftaten erst nach einer entsprechenden Gesetzesänderung möglich und bis zu einer solchen Änderung als nicht rechtmäßig anzusehen.
20. Juli 2017
Aufsichtsbehörde, Art. 51 ff. DSGVO
Art. 51 DSGVO enthält die Vorgabe für die Mitgliedstaaten, unabhängige Aufsichtsbehörden einzurichten. Aufgabe dieser Behörden soll einerseits der Schutz der Grundrechte und Grundfreiheiten sein, andererseits aber auch die Erleichterung des freien Verkehrs von personenbezogenen Daten innerhalb der Union. Diese doppelte Aufgabe wird als vorrangiges Ziel der Aufsichtsbehörde verstanden und soll bei Entscheidungen einen gerechten Ausgleich zwischen die Interessen der Verantwortlichen und der Betroffenen bringen.
Darüber hinaus schreibt Art. 51 Abs. 2 DSGVO die kohärente Anwendung der Vorschriften der DSGVO durch die Aufsichtsbehörden vor. Hierzu sollen die Aufsichtsbehörden sowohl untereinander als auch mit der Kommission eng zusammenarbeiten, eine nähere Ausgestaltung dieser Zusammenarbeit findet sich in Kapitel VII der DSGVO. Insbesondere soll die Zuständigkeit genauer geregelt werden, um zukünftig ein forum shopping zu verhindern.
Die Zuständigkeit der Aufsichtsbehörden beschränkt sich grundsätzlich gem. Art. 55 Abs. 1 DSGVO auf das Hoheitsgebiet des eigenen Mitgliedsstaates.
Die Art. 55 und 56 DSGVO regeln Fälle der grenzüberschreitenden Datenverarbeitung, in denen die Zuständigkeit bei einer federführenden Aufsichtsbehörde liegen soll. Daneben wird den übrigen Behörden ein Mitspracherecht und ein eigener Entscheidungsspielraum für die Fälle eingeräumt, in denen die federführende Behörde keine vorrangige Zuständigkeit hat.
Für den Fall, dass von einem Sachverhalt mehrere Aufsichtsbehörden nach Art. 4 Nr. 22 DSGVO betroffen sind, bestimmt Art. 56 eine federführende Behörde. Diese ist dann nach dem in Art. 60 DSGVO beschriebenen Verfahren für die Zusammenarbeit mit den anderen Aufsichtsbehörden zuständig. Nach Art. 56 Abs. 1 DSGVO bestimmt sich die federführende Behörde danach, wo sich der Hauptsitz des Unternehmens des Datenverarbeiters oder seine einzige Niederlassung befindet.
One-Stop-Shop, Art. 56 Abs. 6 DSGVO
Die Regelung des Art. 56 Abs. 6 DSGVO bewirkt, dass sich der Verantwortliche oder Auftragsverarbeiter in Fällen der grenzüberschreitenden Datenverarbeitung ausschließlich an die für ihn zuständige federführende Aufsichtsbehörde wenden kann. Dieses Prinzip des One-Stop-Shop soll dazu dienen, dass in Zukunft auch bei grenzüberschreitenden Sachverhalten, die Kommunikation und Abstimmung der Vorgehensweisen durch die Einbeziehung nur einer Aufsichtsbehörde erleichtert werden.
Bestellung eines DSB, Art. 35 ff. DSGVO
Art. 37 DSGVO schreibt die Bestellung eines Datenschutzbeauftragten (DSB) in den in Absatz 1 aufgelisteten Fällen vor. Damit muss ab 2018 jedes Unternehmen, das aus datenschutzrechtlicher Sicht einer Kontrolle bedarf einen DSB benennen.
Deutschland hat bereits die in der DSRL vorgesehene Öffnungsklausel genutzt und in § 4f BDSG die Bestellung des DSB geregelt, sodass hier voraussichtlich keine Änderungen zu erwarten sind.
Nach Art. 37 Abs. 1 lit. b) und lit. c) DSGVO muss ein DSB bestellt werden, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche einer Überwachung bedürfen oder wenn die Kerntätigkeit in der Verarbeitung besonderer Kategorien von Daten gem. Art. 9 oder Art. 10 besteht.
Unter dem Begriff der Kerntätigkeit ist jede Tätigkeit zu verstehen, die essentiell für die Erreichung der Ziele des Unternehmens sind.
Der Pflichtenkreis des DSB wird durch Art. 39 DSGVO erweitert. Während der DSB bisher nur auf die Einhaltung des BDSG „hinwirken“ sollte, sieht die DSGVO künftig eine Überwachungspflicht hinsichtlich der Einhaltung des gesamten anwendbaren Datenschutzrechts sowie der Einhaltung der Datenschutzstrategien vor. Es bleibt dabei, dass der DSB keine Weisungs- oder Entscheidungsbefugnis hinsichtlich der Datenverarbeitung hat, solange er den ihm zugewiesenen Aufgaben ordnungsgemäß nachkommt.
Des Weiteren ergibt sich aus Art. 38 Abs. 4 DSGVO die Pflicht des DSB, gegenüber betroffenen Personen Anfragen, Hinweisen und Beschwerden nachzugehen und die betroffenen Personen dahingehend zu beraten. Art. 39 DSGVO bringt auch den risikobasierten Ansatz der DSGVO zum Ausdruck: je sensibler die Art der verarbeiteten Daten und je größer der Umfang, desto sorgfältiger und umfangreicher muss der DSB arbeiten.
Die DSGVO lässt die Haftungsfragen des DSB weitgehend unbeantwortet. Jedenfalls sind gem. Art. 83 Abs. 4 und Abs. 5 DSGVO keine Geldbußen gegenüber DSB vorgesehen. Eine Regelung bzgl. einer zivilrechtlichen sowie straf- und ordnungswidrigkeitenrechtliche Haftung des DSB sieht die DSGVO nicht vor. Insgesamt bleibt abzuwarten, wie die Gerichte und Aufsichtsbehörden die Regelungen auslegen. Der DSB sollte solange die Erfüllung seiner Aufgaben und Pflichten ausführlich dokumentieren, um nachweisen zu können, dass er das seinerseits Erforderliche hinsichtlich der Einhaltung des Datenschutzes im Unternehmen getan hat.
Sanktionen, Art. 83 DSGVO
Bei Verstößen von Verantwortlichen oder Auftragsverarbeitern gegen die DSGVO, haben die Aufsichtsbehörden nach Art. 58 Abs. 1 und Abs. 2 DSGVO die Möglichkeit, Sanktionen zu verhängen. Vorrangiges Ziel der Verhängung von Bußgeldern soll die Abschreckung von Unternehmen sein. Diese soll unter der Berücksichtigung der Umstände des Einzelfalls wirksam und verhältnismäßig sein.
Art. 83 Abs. 2 DSGVO stellt der Aufsichtsbehörde Ermessenskriterien bei der Verhängung von Geldbußen zur Verfügung, die sich insbesondere an der Art, Schwere und dem Umfang des Verstoßes orientieren. Daneben ist unter anderem zu berücksichtigen, ob der Verstoß fahrlässig oder vorsätzlich begangen wurde und welche Maßnahmen zur Schadensminimierung ergriffen wurden.
In der nächsten Woche folgt noch der Abschlussbeitrag der Themenreihe DSGVO.
19. Juli 2017
Wie die Rheinische Post heute mitteilt, ist die Zahl der Beschwerden von Verbrauchern, die im 1. Halbjahr 2017 bei der Bundesnetzagentur wegen unerlaubter Telefonanrufe eingingen, rasant gestiegen. Seit Januar beklagten sich in nur 6 Monaten bereits über 26000 Menschen, die sich durch solche Anrufe belästigt fühlten, und damit bereits fast so viel wie im gesamten vergangenen Jahr (rund 29000).
Dabei ist das Anrufen zu Werbezwecken, ohne dass der Betroffene zuvor seine ausdrückliche Einwilligung erteilt hat, unzulässig, wir berichteten.
Wie Sie sich wirksam gegen unerwünschte Werbung im Allgemeinen und unerwünschte Werbeanrufe im Besonderen zur Wehr setzen können, erklärt ein aktuelles Merkblatt des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg “Was Sie gegen unerwünschte Werbung tun können”, Stand Mai 2017).
Dieses Merkblatt geht sowohl auf Telefonwerbung sowie auf Online-Werbung wie E-Mail, Telefax, SMS, MMS, als auch auf die Offline-Werbung wie Briefpost ein und informiert auch über mögliche Gegenmaßnahmen.
14. Juli 2017
Die Bundesländer haben jüngst einen Gesetzesentwurf bestätigt, nachdem Ermittler im Kampf gegen Wohnungseinbrüche, also auf Anlass, Standortdaten von Handys abfragen dürfen und von der Vorratsdatenspeicherung profitieren.
Mit dem Gesetztesentwurf wird das Stafgesetzbuch (StGB) sowie die Strafprozessordnung (StPO) entsprechend geändert. Da der Bundesrat den Gesetztesentwurf ohne Ausspache befürwortet hat, können die neuen Vorschriften schon bald in Kraft treten.
Nachdem die Bundesnetzagentur die Pflicht zur Vorratsdatenspeicherung allerdings auf Druck eines Urteils des Oberverwaltungsgerichts aussetzte, setzen die meisten Provider die Auflage nicht um, sodass die neuen Ermächtigungen bislang ins Leere laufen.
Nach der neuen Regelung können Ermittler auch auf Standortdaten zurückgreifen, die sie aufgrund von Funkzellenabfragen erhalten haben. Dies folgt aus der Strafrahmenerhöhung des § 244 Abs. 4 StGB, nachdem ein Wohnungseinbruchdiebstahl nunmehr generell mit einer Haft von mindestens zwölf Monaten bestraft werden kann. Damit handelt es sich beim Wohnungseinbruchdiebstahl um eine “schwere Straftat”, bei der die Polizei dazu ermächtigt wird, alle zu einem bestimmten Zeitpunkt in einer Funkzelle anfallenden Verbindungs- und Standortdaten zu erheben und durchzurastern. Hierzu reicht es aus, dass ein einschlägiger Verdacht besteht.
Den mit einer solchen Abfrage verbundenen Eingriff in das Fernmeldegeheimnis des Betroffenen sieht die Länderkammer als notwendig und verhältnismäßig an. Für die Gesetzesänderung ausschlaggebend war vor allem, dass die Wohnungseinbruchsrate laut Polizeilicher Kriminalstatistik einige Jahre angestiegen war. Zuletzt, 2016, sank sie allerdings um fast 10 Prozent.
Der Konzeption von Art. 25 DSGVO liegt der Gedanke zugrunde, dass durch datenschutzfreundliche Technikgestaltung („Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) dem Datenschutz schon zu einem möglichst frühen Zeitpunkt Rechnung getragen werden soll. Die unrechtmäßige Verarbeitung oder ein Missbrauch von Daten soll damit möglichst schon präventiv verhindert werden. In Art. 25 Abs. 1 DSGVO werden dabei Grundsätze für das Privacy by Design und in Art. 25 Abs. 2 DSGVO die entsprechenden Grundsätze für das Privacy by Default normiert. In erster Linie richtet sich die Norm an die Verantwortlichen i.S.d. Art. 4 Nr. 7 DSGVO und nicht unmittelbar an die Hersteller von Produkten, Diensten und Anwendungen. Mittelbar soll sich aus Art. 25 Abs. 1 DSGVO jedoch auch für Hersteller und Entwickler eine datenschutzrechtliche Vorfeldwirkung ergeben und diese dazu ermutigt werden, datenschutzfreundliche Produkte, Systeme und Dienste anzubieten.
Privacy by Design (Art. 25 Abs. 1 DSGVO)
Privacy by Design wird dabei von der Erkenntnis geleitet, dass sich im digitalen Zeitalter die rechtlichen Vorgaben des Datenschutzrechts dann am besten umsetzen und wahren lassen, wenn sie bereits in den neuen technischen Entwicklungen berücksichtigt und in sie integriert werden. Die Befolgung des Datenschutzes soll zur festen Komponente bei der Entwicklung neuer Technologien und Systeme werden. Im Idealfall führt datenschutzfreundliche Technikgestaltung präventiv dazu, dass datenschutzrechtliche Verstöße verhindert und das Vertrauen der Nutzer in die Technologien und Systeme gestärkt wird. Um einen solchen Datenschutz durch Technik umzusetzen, verpflichtet Art. 25 Abs. 1 DSGVO den Verantwortlichen i.S.d. Art. 7 Nr. 7 DSGVO dazu, geeignete technische und organisatorische Maßnahmen umzusetzen. Bei dieser Umsetzung bietet Art. 25 Abs. 1 DSGVO dem Verantwortlichen sodann eine Abwägungsmöglichkeit. Umstände wie der Stand der Technik, die Implementierungskosten und die Risiken für die Rechte und Freiheiten natürlicher Personen können mit in die Abwägung einbezogen werden. Als eine beispielhafte Maßnahme für Privacy by Design nennt Art. 25 Abs. 1 DSGVO die Pseudonymisierung. Auch wenn Anonymisierung und Maßnahmen zur Datenminimierung nicht ausdrücklich in Art. 25 Abs. 1 DSGVO genannt sind, sind sie als beispielhafte Maßnahmen für Privacy by Design anzuführen.
Privacy by Default (Art. 25 Abs. 2 DSGVO)
Hinter dem Schlagwort Privacy by Default verbirgt sich eine besondere Form des Datenschutzes durch Technik. Durch vom Verantwortlichen vorzunehmende technische Voreinstellungen soll sichergestellt werden, dass grundsätzlich nur die personenbezogenen Daten erhoben und verarbeitet werden, die für den konkreten Zweck auch tatsächlich erforderlich sind. Die technischen Voreinstellungen sollen also an dem Grundsatz der Datenminimierung ausgerichtet werden. Zum einen soll dadurch das ausufernde Datensammeln eingeschränkt werden. Zum anderen soll dadurch aber auch ein Schutz derjenigen Nutzer bewirkt werden, die die Auswirkungen von Verarbeitungsvorgängen mittels moderner Technologie nicht voll erfassen und deswegen auch nur seltener selbst datenschutzfreundliche Voreinstellungen vornehmen. Umsetzungsbeispiele für Privacy by Default können beispielsweise darin bestehen, dass Online-Browser besuchten Webservern automatisch mitteilen, dass die Nutzer nicht getrackt werden möchten oder das in technischen Verarbeitungsprozessen Daten möglichst schnell pseudonymisiert werden. Eine unzulässige Entmündigung der Nutzer ist in datenschutzfreundlichen Voreinstellungen nicht zu sehen. Nutzer, die auf den Schutz ihrer personenbezogenen Daten etwa keinen Wert legen, können die Voreinstellungen jederzeit nach ihren Vorstellungen ändern.
Das Thema der nächsten Woche ist der 3. Teil des Bereichs Datenschutz im Unternehmen
10. Juli 2017
Bei kleinen und mittelgroßen Unternehmen wächst die Angst vor Cyber-Attacken. Zu diesem Ergebnis kommt eine Studie der Gothaer die zwischen Ende April und Anfang Mai diesen Jahres (vor dem Trojaner Wannacry) durchgeführt wurde. Insgesamt wurden 1000 kleine und mittlere Unternehmen befragt.
35 % der befragten Unternehmen halten es für wahrscheinlich, dass Cyber-Risiken bestehen. Im Jahr 2015 waren es noch 5 % weniger.
Zur Risikominimierung setzen die Unternehmen Virenschutzprogramme und Firewalls ein, jedoch gibt jedes 5. Unternehmen an, dass es einen solchen Schutz nicht hat. Eine mehrfache Datensicherung führen nur zwei von drei Unternehmen durch. Cyber-Policen die inzwischen von vielen Versicherungen angeboten werden haben nur 9% der Unternehmen.
Im Ergebnis rangiert die Angst vor Cyber-Attacken auf Rang drei der meist gefürchteten Risiken. Davor befindet sich noch das Risiko von Einbruch/Vandalismus und das Risiko von menschlichem Versagen.
7. Juli 2017
Der heutige Beitrag der “Themenreihe DSGVO” befasst sich in einem ersten Teil mit den datenschutzrechtlichen Anforderungen die die Datenschutzgrundverordnung an die Unternehmen stellt.
Zweck des Datenschutzes ist es, das Grundrecht auf informationelle Selbstbestimmung der Bürger zu gewährleisten. Damit begrenzt der Datenschutz die wirtschaftliche Betätigung im Bereich der Datenverarbeitung auf das erforderliche Maß und so auf einen gesellschaftlich verträglichen Umfang. Gerade im Unternehmen gibt es eine Vielzahl verschiedener Schnittstellen, an denen es zu einer Verarbeitung von personenbezogenen Daten kommt. Exemplarisch zu nennen sind hier insbesondere die Verarbeitung personenbezogener Daten von Mitarbeitern und Kunden. Auch hinsichtlich dieser Daten hat die DSGVO verschiedene Regelungen aufgestellt, die zu beachten sind und die Rechte der Betroffenen in einem ausreichenden Maße schützen sollen. Die Einhaltung dieser Anforderungen ist nicht zuletzt auf Grund der empfindlichen Bußgelder, die bei Verstoß gegen die DSGVO vorgesehen sind, essentiell.
Im Folgenden wird auf verschiedene Regelungen der DSGVO eingegangen, die zum Teil bereits heute, nach der aktuell gültigen Rechtsordnung, insbesondere des BDSG, bestehen und von den Unternehmen zu beachten sind.
I. Auftragsdatenverarbeitung, Art. 28 ff.
Gerade im Unternehmen trifft man häufig auf die Konstellation der sog. Auftragdatenverarbeitung. Diese ist bereits heute im § 11 BDSG geregelt und betrifft solche Verarbeitungen personenbezogener Daten, die nicht von der verantwortlichen Stelle selber, sondern von einem Auftragsdatenverarbeiter vorgenommen werden. In einem Unternehmen kommt es zu einer Auftragsdatenverarbeitung vor allem dann, wenn die Verarbeitungstätigkeit an einen externen Diensleister outgesourced wird, der Auftraggeber der Datenverarbeitung, also das outsourcende Unternehmen aber weiterhin über die Verarbeitung der Daten, per Weisungsrecht, entscheidet. Klassische Fälle des Outsourcings finden sich in der Verarbeitungstätigkeit von externen Dienstleistern, die die Gehalts- und Lohnabrechnungen für Unternehmen übernehmen oder Hostingmöglichkeiten anbieten, die die personenbezogenen Daten, die im Unternhemen verarbeitet werden in eigenen Rechenzentren speichern.
Die rechtlichen Aspekte regelt bisher allen voran der § 11 BDSG. Auch die DSGVO enthält mit Art. 28 DSGVO eine Vorschrift zur Auftragsdatenverarbeitung. Beide Regelungen ähneln sich inhaltlich, sodass die Auswirkungen des Inkrafttretens der DSGVO hinsichtlich der Regelungen zur Auftragsdatenverarbeitung eher gering ausfallen. Vor allem trifft dies im Vergleich zu anderen Regelungen, die durch DSGVO gänzlich neu hinzukommen, zu.
Mit der Übermittlung von Daten geht das Risiko für den Betroffenen einher, dass seine Rechte nicht ausreichend geschützt sind. Art. 28 DSGVO knüpft die Zulässigkeit einer Auftragsdatenverarbeitung daher an strenge Voraussetzungen. Eine zentrale Anforderung ist die klare Zuteilung von Verantwortlichkeiten. Gleichzeitig soll eine Auftragsdatenverarbeitung aufgrund ihrer wirtschaftlichen Vorteile nicht gänzlich unmöglich gemacht werden. Art. 28 DSGVO zielt daher darauf ab, die Interessen von Datenverarbeitern und den von der Verarbeitung Betroffenen im Wege der praktischen Konkordanz in einen gerechten Ausgleich zu bringen.
1. Anforderungen an die Auftragsdatenverarbeitung
Nach § 11 BDSG ist für eine rechtskonforme Auftragsdatenverarbeitung ein schriftlicher Vertrag erforderlich. Am Erfordernis einer vertraglichen Regelungen der Auftragsdatenverarbeitung ändert sich auch mit Inkrafttreten des Art. 28 DSGVO nichts, allerdings muss diese nicht mehr ausschließlich schriftlich vorliegen sondern kann auch in einem elektronischen Format abgeschlossen werden. Auch die Anforderungen, die ein Auftragsdatenverarbeitungsvertrag inhaltlich nach der DSGVO erfüllen muss, orientieren sich zum Größteil an denen des bisherigen § 11 BDSG. Nach Art. 28 Abs. 3 DSGVO sind zu regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten & Kategorien von betroffenen Personen
- Umfang der zur Verarbeitung befugten Personen zur Vertraulichkeit
- Sicherstellung von technischen & organisatorischen Maßnahmen
- Hinzuziehung von Subunternehmern
- Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
- Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
- Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungpflichten des Auftragsverarbeiters
- Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
2. Wer ist für die Datenverarbeitung verantwortlich? Wer haftet?
Wie bisher wird auch künftig der Auftraggeber bzw. der für die Verarbeitung Verantwortliche und nicht der Auftragsdatenverarbeiter sein. Er ist sowohl der erste Ansprechpartner für die Betroffenen, als auch für die rechtskonforme Ausgestaltung der Auftragsdatenverarbeitung veranwortlich. Die Auftragsdatenverarbeitung im Sinne des Art. 28 DSGVO ist dabei, von der gesetzlich in Art. 26 DSGVO geregelten Konstellation, der sog. “Joint Control” zu unterscheiden. Bei der Joint Control regeln zwei oder mehrere Verantwortliche die Zwecke und Mittel der Verarbeitung personenbezogener Daten gleichberechtigt und transparent. In einem solchen Fall kann der Betroffene seine Rechte gegen jeden Verantwortlichen geltend machen.
Die Frage nach der Haftung im Schadensfall wird hingegen neu geregelt. Wo nach der bisherigen Regelung im BDSG ausschließlich der Auftraggeber dem Betroffenen gegenüber haftet, sieht die DSGVO schärfere Haftungsregeln, insbesondere für Auftragsverarbeiter vor. So haften nach der DSGVO grundsätzlich der für die Verarbeitung Verantwortliche sowie der Auftragsverarbeitet gemeinsam. Dabei beschränkt sich die Haftung des Auftragsverarbeiters allerdings auf Verstöße gegen die speziell ihm auferlegeten Pflichten. Beiden Parteien steht zudem die Möglichkeit der Exkulpation zur Verfügung. Damit können sie einer Haftung entgehen, wenn sie nachweisen können, dass sie für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich sind.
3. Pflichten des Auftraggebers/Pflichten des Auftragnehmers
Da die DSGVO die rechtliche Ausgestaltung der Pflichten des Auftraggebers die derzeitigen Regelungsgrundsätze des BDSG nahezu vollständig übernommen hat, gibt es hierzu keine Neuerungen, die beachtet werden müssen.
Dies gilt jedoch nicht für die Pflichten des Auftragnehmers. Nach Art. 30 Abs. 2 DSGVO müssen ab Mai 2018 auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den Verantwortlichen durchführen. Bislang musste ein solches Verzeichnis nur von Auftraggebern geführt werden.
4. Mögliche Sanktionen
Erfüllt eine Auftragsdatenverarbeitung nicht die gesetzlichen Anforderungen drohen dem Auftraggeber und den Auftragsverarbeitern nach Art. 83 DSGVO Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist.
II. Meldung von Datenpannen in der DSGVO, Art. 33, 34 DSGVO
Ein Unternehmen verstößt gegen den Datenschutz, wenn es zu sog. Datenpannen (engl. Data Breaches) kommt. Darunter sind Verstöße zu verstehen, bei denen Unberechtigten personenbezogene Daten bekannt werden. Dabei ist es irrelevant, ob die Kenntnis vermutlich oder erwiesenermaßen vorliegt und aus welchem Grund es zu der Datenpanne gekommen ist. So kann sie aus einem Hackerangriff, dem Diebstahl eines Smartphones oder der unbefugten Weitergabe durch Mitarbeiter resultieren.
Unter der Datenschutzgrundverordnung, die ab Mai 2018 Geltung haben wird und von den Unternehmen beachtet werden muss, wird das Vorgehen im Falle einer Datenpannen in zwei Vorschriften geregelt. Dabei regelt Art. 33 DSGVO die Informationspflicht gegenüber den Datenschutzaufsichtsbehörden während Art. 34 DSGVO die Anzeigepflicht gegenüber dem Betroffenen betrifft.
1. Meldepflicht an die Aufsichtsbehörde, Art. 33 DSGVO
Nach dem Wortlaut des Art. 33 DSGVO ist die Aufsichtsbehörde immer dann zu informieren, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Wie oben dargelegt, liegt eine solche Verletzung nach Art. 4 Nr. 12 DSGVO auch stets bei Datenpannen vor.
Im Vergleich zum aktuell noch geltenden § 42a BDSG, der die Meldepflicht bei Datenpannen bisher regelt, gilt die Pflicht zur Meldung nicht nur bei Datenpannen hinsichtlich bestimmter “sensibler” personenbezogener Daten, wie etwa Gesundheits- oder Bankdaten, sondern bei jeglicher Verletzung personenbezogener Daten. Einzige Einschränkung ist, dass eine Meldung an die Aufsichtsbehörde nicht erfolgen muss, wenn “die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.” Es ist also eine Risikoabwägung durchzuführen. Welche Erwägungen bei der Risikoabwägungen miteinzubeziehen sind, nennt der Erwägungsgrund 75 DSGVO.
Führt die Risikoabwägung zu dem Ergebnis, dass eine Meldepflicht besteht, so ist die Aufsichtsbehörde unverzüglich zu informieren. Als Richtwert für die Unverüglichkeit der Meldung bestimmt Art. 33 DSGVO eine 72 Stunden-Frist nach Bekanntwerden der Datenpanne.
Nach Art. 33 Abs. 5 DSGVO muss der Verantwortliche bezüglich der sog. Data Breach Notification Dokumentationspflichten erfüllen und alle Verletzungen des Schutzes personenbezogener Daten, einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und ergriffene Abhilfemaßnahmen dokumentieren.
2. Meldepflicht an die Betroffenen, Art. 34 DSGVO
Gelangt man an Hand der Risikoabwägung zu dem Ergebnis, dass durch die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, sind gemäß Art. 34 DSGVO auch die Betroffenen zu informieren.
Art. 34 Abs. 3 DSGVO nennt allerdings Ausnahmen, bei denen die Meldepflicht an die Betroffenen entfällt. Dies ist dann der Fall, wenn
- geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, durch die die betroffenen Daten für Unbefugte nicht zugänglich sind (z.B. Verschlüsselung),
- durch nachfolgende Maßnahmen sichergestellt wurde, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
- die direkte Information der Betroffenen mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall ist jedoch eine öffentliche Bekanntmachung gefordert.
3. Inhalt der Meldung
Sowohl Art. 33 als auch Art. 34 DSGVO nennt die formalen Anforderungen, die eine Meldung an die Aufsichtsbehörde bzw. an die Betroffenen, erfüllen muss. Inhalte, die die Meldung an die Aufsichtsbehörde und die Betroffenen gleichermaßen enthalten sollen, sind folgende:
- der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzubng des Schutzes personenbezogener Daten und gegebenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Die Meldung an die Aufsichtsbehörde muss zusätzlich
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
enthalten.
4. Sanktionen
Kommt ein Unternehmen seiner Meldepflicht nicht nach, so stellt auch dies einen Verstoß gegen den Datenschutz dar und Aufsichtsbehörden können den Verantwortlichen mit einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweit erzielten Jahresumsatzes sanktionieren.
III. Datenschutzfolgenabschätzung, Art. 35 DSGVO
Ein gänzlich neues Instrument der Datenschutzgrundverordnung wird ab Mai 2018 die sog. Datenschutzfolgenabschätzung sein. Diese ist in Art. 35 DSGVO normiert und ist grundsätzlich nicht anderes als die im nationalen Datenschutzrecht schon bekannte und praktizierte Vorabkontrolle im Sinne des § 4d Abs. 5 BDSG. Sie dient daher der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Im Vergleich zur Vorabkontrolle ist der Umfang einer solchen Folgenabschätzung aber deutlich größer.
Die Datenschutzfolgenabschätzung ist nach Art. 35 Abs. 1 DSGVO immer dann vorzunehmen, wenn Datenverarbeitungen ein hohes Risiko für die Freiheitsrechte bergen. Dies ist insbesondere der Fall beim Einsatz neuer Technologien und der Verarbeitung großer Datenmengen. Darüber hinaus nennt Art. 35 Abs. 3 DSGVO Regelbeispiele, bei denen eine Pflicht zur Durchführung besteht:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO;
- systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.
Aufgrund des offenen Tatbestandes des Absatzes 1 ist im weiteren Verlauf noch eine Konkretisierung durch die Aufsichtsbehörde nötig, die Klarheit bezüglich der Frage schafft, wann der Tatbestand genau erfüllt ist und eine Folgenabschätzung zu erfolgen hat.
1. Anforderungen an die Datenschutzfolgenabschätzung, Art. 35 Abs. 7 DSGVO
Der Inhalt einer solchen Datenschutzfolgenabschätzung ist in Art. 35 Abs. 7 DSGVO näher umschrieben. Die Folgenabschätzung muss daher folgendes enthalten:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den zweck.
- Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
- Die zur Bewältigung geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnun getragen werden soll.
Ist ein Datenschutzbeauftragter für das Unternehmen tätig, so ist gemäß Art. 35 Abs. 2 DSGVO stets sein Rat einzuholen.
2. Ausnahmen von der Pflicht zur Datenschutzfolgenabschätzung, Art. 35 Abs. 10 DSGVO
Ausnahmen von der Pflicht zur Folgenabschätzung bestehen gemäß Art. 35 Abs. 10 DSGVO, wenn die Verarbeitung auf der Grundlage einer europäischen oder nationalen Rechtsvorschrift beruht. Hier liegt es im Ermessen der einzelnen Mitgliedsstaaten, ob sie eine Folgenabschätzung im Einzelfall als erforderlich ansehen.
3. Folgen einer Datenschutzfolgenabschätzung
Ergibt sich bei der Datenschutzfolgenabschätzung, dass die Datenverarbeitung mit einem besonders hohen Risiko einhergeht, das nicht durch vertretbare Mittel eingedämmt werden kann, ist nach Art. 36 DSGVO und des Erwägungsgrundes 94 eine vorherige Konsultation der Aufsichtsbehörde notwendig.
Die Aufsichtsbehörde kann dem Unternehmen innerhalb einer Frist von 8 Wochen konkrete Empfehlungen geben, in welchen Bereichen Nachbesserungen vorzunehmen sind.
Das Thema der nächsten Woche ist der 2. Teil des Bereichs Datenschutzes im Unternehmen
Pages: 1 2 ... 105 106 107 108 109 ... 205 206 
