07710 Datenschutzverletzung – Ein praktischer Ansatz zu Artikeln 33 und 34 der DSGVO
|
Fünf Jahre ist die Einführung der Datenschutz-Grundverordnung schon her, und es gibt immer noch Diskussionen und Unklarheiten bezüglich der Erfüllung der Anforderungen. Besonders betrifft dies den Umgang mit einem Datenschutzvorfall nach den Artikeln 33 und 34 DSGVO. Im Vergleich zu anderen Prozessen der DSGVO hat der Umgang mit solchen Vorfällen eine enorme Bedeutung für die Praxis. Trotzdem ist den Verantwortlichen häufig nicht klar, was eine Datenschutzverletzung ist und welche Maßnahmen dazu im Unternehmen implementiert werden müssen.
Der Beitrag widmet sich der komplexen Thematik der Datenschutzverletzungen gemäß der DSGVO. Er gibt Ihnen dazu eine praktische Anleitung an die Hand, um die Benachrichtigungs-, Dokumentations- und Meldepflichten im Unternehmen verstehen, erfüllen und verankern zu können. Die mitgelieferten Arbeitshilfen unterstützen Sie dabei. Arbeitshilfen: von: |
1 Einleitung
Der datenschutzkonforme Umgang mit einer Datenschutzverletzung ist eine besonders wichtige Anforderung der Datenschutz-Grundverordnung. Denn im Gegensatz zu anderen Anforderungen kommen Datenschutzverletzungen am laufenden Band vor und ihre Zahl nimmt weiter zu. Die saarländische Datenschutzbeauftragte stellte bspw. 2021 eine ehebliche Zunahme der Meldungen von Datenschutzverletzungen fest, die CNIL (französische Datenschutzaufsichtsbehörde) meldete im Jahr 2021 79 Prozent mehr Datenschutzverletzungen als im Jahr 2020. Gerade weil bei Datenschutzverletzungen ein schneller und umsichtiger Umgang vom Gesetzgeber gefordert ist, stellen die gesetzlichen Anforderungen die Unternehmen vor große Herausforderungen. Wie also setzt man die Anforderung aus den Artikeln 33 und 34 DSGVO praxisgerecht um? Dieser Beitrag soll das Wesen einer Datenschutzverletzung erläutern, aber auch Hilfestellungen bieten, den Prozess der Behandlung einer Verletzung praxisnah im Unternehmen zu implementieren.
Der Prozess zur Behandlung einer Datenschutzverletzung ist in der beigefügten Verfahrensanweisung abgebildet Die einzelnen Punkte werden im Beitrag detailliert beschrieben. So kann eine praxisgerechte Umsetzung des Prozesses Datenschutzverletzung in kompakter Form erfolgen. Aufkommende Fragen können in diesem Beitrag nachgeschlagen werden. Die in der Verfahrensanweisung enthaltene Abbildung 1 zeigt den Ablauf in einer Übersicht.[
07710_a.docx]
07710_a.docx]
2 Was ist eine Datenschutzverletzung?
Legaldefinition
Die Datenschutzverletzung ist in Artikel 4 Nr. 12 DSGVO wie folgt legaldefiniert: „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.” Die Vorschrift betrifft nur personenbezogene Daten. Verletzungen, die z. B. nur Technikdaten betreffen, sind vom Anwendungsbereich der Artikel 33 und 34 DSGVO nicht erfasst.
Die Datenschutzverletzung ist in Artikel 4 Nr. 12 DSGVO wie folgt legaldefiniert: „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.” Die Vorschrift betrifft nur personenbezogene Daten. Verletzungen, die z. B. nur Technikdaten betreffen, sind vom Anwendungsbereich der Artikel 33 und 34 DSGVO nicht erfasst.
Informationssicherheitsvorfälle
Im Gegensatz dazu sind alle Informationssicherheitsvorfälle, die personenbezogene Daten betreffen, automatisch auch Datenschutzverletzungen. Beispiele sind etwa Hackerangriffe auf Schwachstellen in E-Mail-Servern, ein unbefugter Zugriff auf personenbezogene Daten infolge falsch gesetzter Berechtigungen, aber auch durch Malware kompromittierte Software, mittels der Daten abgeflossen sind. Somit können typische Sicherheitsvorfälle, wenn personenbezogene Daten betroffen sind, durchaus auch Datenschutzverletzungen sein. Darüber hinaus sind Datenschutzverletzungen häufig falsch adressierte Briefe, E-Mails, die häufig durch die „Autovervollständigen”-Funktion in den gängigen E-Mail-Clients an den falschen Empfänger versendet werden. Die unbefugte Offenlegung von Daten an Personen, die davon keine Kenntnis haben dürfen, dürfte der häufigste Fall einer Datenschutzverletzung sein. So wird bei praxisnaher Auslegung bei falsch adressierten Briefen von einer Speicherung der Daten in einem Dateisystem ausgegangen, die DSGVO findet also Anwendung.
Im Gegensatz dazu sind alle Informationssicherheitsvorfälle, die personenbezogene Daten betreffen, automatisch auch Datenschutzverletzungen. Beispiele sind etwa Hackerangriffe auf Schwachstellen in E-Mail-Servern, ein unbefugter Zugriff auf personenbezogene Daten infolge falsch gesetzter Berechtigungen, aber auch durch Malware kompromittierte Software, mittels der Daten abgeflossen sind. Somit können typische Sicherheitsvorfälle, wenn personenbezogene Daten betroffen sind, durchaus auch Datenschutzverletzungen sein. Darüber hinaus sind Datenschutzverletzungen häufig falsch adressierte Briefe, E-Mails, die häufig durch die „Autovervollständigen”-Funktion in den gängigen E-Mail-Clients an den falschen Empfänger versendet werden. Die unbefugte Offenlegung von Daten an Personen, die davon keine Kenntnis haben dürfen, dürfte der häufigste Fall einer Datenschutzverletzung sein. So wird bei praxisnaher Auslegung bei falsch adressierten Briefen von einer Speicherung der Daten in einem Dateisystem ausgegangen, die DSGVO findet also Anwendung.
