Schlagwort: Verantwortlicher
23. August 2023
Ein aktueller Bescheid der österreichischen Datenschutzbehörde wirft Licht auf eine interessante Fragestellung: Sind Verantwortliche, insbesondere Arbeitgeber, dazu verpflichtet, bei unberechtigter Datenverarbeitung durch Mitarbeiter sowohl die Meldung nach Art. 33 als auch die Benachrichtigung nach Art. 34 DSGVO durchzuführen?
Der Fall und die Fragestellung
Der Bescheid der österreichischen Datenschutzbehörde vom 1. Januar 2023 betraf einen Vorfall, bei dem Gesundheitsdaten einer betroffenen Person durch eine Mitarbeiterin des Verantwortlichen in einem Social-Media-Beitrag veröffentlicht wurden. Die Mitarbeiterin, die sich in einem Ausbildungsverhältnis zur Verantwortlichen befand, hatte unberechtigt auf elektronisch vorhandene Patientendaten zugegriffen und den Krankheitsverlauf der betroffenen Person auf einer Plattform veröffentlicht. Die Verantwortliche meldete den Vorfall vorsorglich nach Art. 33 DSGVO, da sie Zweifel an ihrer eigenen Verantwortlichkeit und somit an der Meldepflicht hatte.
Die zentrale Fragestellung des Falls war, ob der Verantwortliche, in diesem Fall der Arbeitgeber, den Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO unterliegt, wenn ein Mitarbeiter unberechtigt auf personenbezogene Daten zugreift und diese verwendet. Der Verantwortliche argumentierte, dass er für den unberechtigten Zugriff der Mitarbeiterin nicht datenschutzrechtlich verantwortlich sei und daher keine Meldepflicht bestehe. Die Datenschutzbehörde hatte hier eine andere Auffassung.
Die Entscheidung der Datenschutzbehörde
Die Datenschutzbehörde entschied, dass der Verantwortliche sehr wohl der Meldepflicht nach Art. 33 DSGVO unterliegt, auch wenn eine unberechtigte Datenverarbeitung durch einen Mitarbeiter stattfindet. Die Behörde unterschied zwischen den Verantwortlichkeiten auf zwei Ebenen:
- Arbeitgeber (Verantwortlicher): Verpflichtung zur Implementierung angemessener technischer und organisatorischer Maßnahmen, um unberechtigte Datenverarbeitungen zu verhindern.
- Mitarbeiterin (als eigene Verantwortliche): Unberechtigter Zugriff und Veröffentlichung von Patientendaten.
Die Behörde stellte klar, dass die Meldepflicht gemäß Art. 33 Abs. 1 DSGVO ausdrücklich an den jeweiligen Verantwortlichen gerichtet ist. Obwohl die Behörde anerkannte, dass in Einzelfällen eine eigenständige datenschutzrechtliche Verantwortlichkeit der Mitarbeiterin abgeleitet werden kann, war der Gegenstand des Verfahrens nicht die Verantwortlichkeit der Mitarbeiterin, sondern die Melde- und Benachrichtigungsverpflichtungen des Verantwortlichen.
Die Datenschutzbehörde stützte ihre Ansicht auch auf die Leitlinien 07/2020 des Europäischen Datenschutzausschusses (EDSA) zu den Begriffen “Verantwortlicher” und “Auftragsverarbeiter”. Diese Leitlinien betonen, dass die Organisation als Verantwortlicher angemessene technische und organisatorische Maßnahmen umsetzen muss, um die Einhaltung der DSGVO sicherzustellen, auch wenn ein Mitarbeiter seine Befugnisse in Bezug auf die Datenverarbeitung überschreitet.
Die Behörde verwies auch auf eine Entscheidung des österreichischen Bundesverwaltungsgerichts, in der betont wurde, dass die dahinterstehende Organisation (Behörde) weiterhin für die Verarbeitungsweise durch ihre Mitarbeiter verantwortlich bleibt, auch bei sorgfaltswidriger Verwendung oder überschießender Akteneinsicht.
Fazit: Verantwortliche tragen Verantwortung
Der Bescheid der österreichischen Datenschutzbehörde verdeutlicht, dass Verantwortliche auch bei unberechtigter Datenverarbeitung durch Mitarbeiter gemäß Art. 33 und 34 DSGVO verpflichtet sind, sowohl eine Meldung als auch eine Benachrichtigung durchzuführen. Die klare Trennung zwischen den Verantwortlichkeiten von Arbeitgebern und Mitarbeitern sorgt für Klarheit in einer komplexen rechtlichen Landschaft. Dieser Bescheid unterstreicht die Bedeutung, dass Organisationen angemessene technische und organisatorische Maßnahmen ergreifen, um die Einhaltung der DSGVO sicherzustellen und Datenschutzverletzungen zu minimieren. In Zeiten steigender Datenschutzanforderungen ist es unerlässlich, dass Verantwortliche ihre Pflichten ernst nehmen und für Transparenz und Sicherheit in der Datenverarbeitung sorgen.
17. April 2023
Am 4. April 2023 hat der Europäische Datenschutzausschuss (EDSA) die überarbeiteten Richtlinien zur Meldung von Datenschutzverletzungen veröffentlicht. Die Aktualisierung betrifft Unternehmen, die zwar nicht in der EU ansässig sind, aber dennoch gemäß der Datenschutz-Grundverordnung (DSGVO) in deren Anwendungsbereich fallen. Dieser Beitrag gibt einen Überblick über die Updates des EDSA und beleuchtet die rechtlichen Aussagen.
Die ehemaligen WP29 Leitlinien
Vor dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hatte die damalige Artikel-29-Datenschutzgruppe (WP29) am 3. Oktober 2017 allgemeine Richtlinien zur Meldung von Datenschutzverletzungen verabschiedet, in denen die relevanten Abschnitte der DSGVO analysiert wurden. WP29 empfahl darin, dass Datenschutzverletzungen der Aufsichtsbehörde im Mitgliedstaat gemeldet werden sollten, in dem der Vertreter des Verantwortlichen in der EU niedergelassen ist. Als Nachfolger der WP29 bestätigte der EDSA diese Richtlinien am 25. Mai 2018 formell.
EDSA: Aktualisierung zu Meldepflichten
Der Europäische Datenschutzausschuss (EDSA) hat seine Leitlinien zur Meldung von Datenschutzverletzungen für nicht in der EU niedergelassene Unternehmen aktualisiert. Das Feedback für diese Aktualisierung wurde im Rahmen einer öffentlichen Konsultation bis zum 29. November 2022 eingeholt. Der EDSA hat klargestellt, dass die bloße Anwesenheit eines Vertreters in der EU nicht das “One-Stop-Shop”-Prinzip auslöst, sondern nicht in der EU niedergelassene Unternehmen sich bei Datenschutzverletzungen, die Personen in mehreren Mitgliedsstaaten betreffen, an alle zuständigen Aufsichtsbehörden der jeweiligen Mitgliedsstaaten wenden müssen. Nach der öffentlichen Konsultation wurde dieser Abschnitt nun angenommen. Es sollten jedoch auch einige Klarstellungen des EDSA berücksichtigt werden, die zwar nicht direkt mit dieser Aktualisierung zusammenhängen, aber dennoch relevant sind.
Meldung an Aufsichtsbehörde
Nach Artikel 33 Absatz 1 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis der Verletzung diese der zuständigen Aufsichtsbehörde gemäß Artikel 55 DSGVO zu melden, es sei denn, dass die Verletzung voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt.
Meldepflicht beim Verantwortlichen
Der Verantwortliche ist für die Meldepflicht bei Datenschutzverletzungen verantwortlich. Bei gemeinsam Verantwortlichen sollten die vertraglichen Vereinbarungen gemäß Artikel 26 der DSGVO klarstellen, welcher Verantwortliche die führende Rolle bei der Meldung von Datenschutzverletzungen übernimmt. Auftragsverarbeiter müssen Datenschutzverletzungen unverzüglich dem Verantwortlichen melden, jedoch nicht direkt bei der Aufsichtsbehörde.
Risikobewertung
Bei einer Datenschutzverletzung ist eine Risikobewertung wichtig. Gemäß EDSA-Leitlinien sollten dabei verschiedene Faktoren berücksichtigt werden, wie die Art der Verletzung, die Art und Sensibilität der betroffenen Daten, Identifizierbarkeit der betroffenen Personen, Schwere der Folgen, besondere Eigenschaften von betroffenen Personen und dem Verantwortlichen, sowie die Anzahl der betroffenen Personen und allgemeine Aspekte wie Empfehlungen von ENISA. In den Leitlinien 9/2022 werden auch Beispiele für Risikobewertungen genannt, z.B. könnte eine Verletzung als Risiko betrachtet werden, wenn sensible personenbezogene Daten betroffen sind, während eine Verletzung als kein Risiko betrachtet werden könnte, wenn die Daten verschlüsselt waren und Datensicherungen existieren.
Meldung an Aufsichtsbehörde
Gemäß Artikel 33 Absatz 1 DSGVO ist der Verantwortliche verpflichtet, im Falle einer Verletzung des Schutzes personenbezogener Daten die Meldung unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntnis der Verletzung an die gemäß Artikel 55 zuständige Aufsichtsbehörde zu erstatten. Es sei denn, es ist wahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten keine Risiken für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Wann wird eine Datenpanne “bekannt”?
Gemäß Leitlinie 9/2022 gilt eine Datenschutzverletzung einem Verantwortlichen als “bekannt”, wenn er ausreichend sicher ist, dass ein Sicherheitsvorfall eingetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat. Es ist nicht erforderlich, dass die Datenschutzverletzung tatsächlich stattgefunden hat. Zum Beispiel wird einem Verantwortlichen der Verlust eines unverschlüsselten USB-Sticks, auf dem personenbezogene Daten gespeichert sind, bekannt, wenn er den Verlust bemerkt. Wenn ein Dritter dem Verantwortlichen mitteilt, dass er versehentlich personenbezogene Daten erhalten hat und Belege für die unbefugte Offenlegung vorliegen, ist der Vorfall zweifelsfrei bekannt.
Empfehlung: Interne Richtlinien
Es wird empfohlen, dass nicht in der EU ansässige Unternehmen, die unter den Anwendungsbereich der DSGVO fallen, interne Richtlinien und Prozesse zur Meldung von Datenschutzverletzungen gemäß den Vorgaben des EDSA beachten. Die Meldung von Datenschutzverletzungen an mehrere Behörden kann zeitaufwändig sein. Interne Richtlinien und Prozesse zur Handhabung von Datenschutzvorfällen sind daher ratsam, um den Melde- und Benachrichtigungspflichten rechtzeitig nachzukommen. Effektive und regelmäßig überprüfte Prozesse zur Bewältigung von Datenschutzvorfällen sind entscheidend für eine schnelle Meldung von Datenschutzverletzungen und die Einhaltung von Fristen.
22. März 2022
Neben der GmbH kommt auch der Geschäftsführer als Datenschutzverantwortlicher gem. Art. 4 Nr. 7 DSGVO in Betracht. Zu diesem Schluss kam das Oberlandesgericht Dresden (“OLG”) in seinem Urteil vom 30.11.2021 (Az. 4 U 1158/21).
Der Kläger strebte eine Mitgliedschaft in der Gesellschaft an. Vor diesem Hintergrund veranlasste der Geschäftsführer eine Überprüfung des Betroffenen hinsichtlich etwaiger Verbindungen zu relevanten Straftaten, ohne jedoch eine datenschutzrechtliche Einwilligung des Betroffenen einzuholen. Der dafür engagierte Detektiv hatte daraufhin in seiner Recherche eine Beteiligung des Anfragenden an relevanten Straftaten aufgedeckt. In diesem Zuge wurde ihm die Mitgliedschaft verweigert. Der Betroffene verklagte infolgedessen die GmbH und den Geschäftsführer auf immateriellen Schadensersatz aufgrund von Datenverstößen, insbesondere, weil sich die Recherche des Ermittlers auf keine gesetzliche Rechtsgrundlage stützte.
Das OLG Dresden stellte zugunsten des Klägers fest, dass jeweils ein selbständiger datenschutzrechtlicher Verstoß sowohl durch die GmbH als auch durch den Geschäftsführer festzustellen sei, da es bei der Datenverarbeitung an einer Rechtsgrundlage fehle. Außerdem handele es sich bei der Verarbeitung von strafrechtlich relevanten Daten ohne Rechtsgrundlage nicht lediglich um einen Bagatellverstoß. Aus diesen Gründen billigte das OLG dem Kläger einen Anspruch aus Art. 82 Abs. 1 DSGVO zu. Dieser richte sich sowohl gegen die GmbH als auch gegen den Geschäftsführer, da Anspruchsgegner der datenschutzrechtliche Verantwortliche und damit derjenige ist, der alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann. Dabei entfalle insbesondere der weisungsgebundene Angestellte oder sonstige Beschäftigte als Anspruchsgegner.
Ob andere Gerichte diese Entscheidung aufgreifen, ist noch unklar. Insbesondere fehlt es dem Urteil an dezidierten Voraussetzungen, an welche die Haftung des Geschäftsführers geknüpft ist und lässt außer Acht, dass auch der Geschäftsführer gegenüber der Gesellschafterversammlung weisungsgebunden sein kann.
