Datendiebstahl und die DSGVO

Datendiebstahl und die DSGVO

Mit der neuen Datenschutz-Grundverordnung (DSGVO) kommen zahlreiche neue Pflichten auf jeden zu, der personenbezogene Daten verarbeitet. Insbesondere wenn etwas schief geht, müssen Sie rasch handeln – kurze Fristen und hohe Strafen drohen.

Aber zunächst von Anfang an: Was müssen Sie im Vorfeld tun?

In erster Linie müssen Sie sich an Artikel 5 der DSGVO halten, der Grundsätze für die Verarbeitung personenbezogener Daten festlegt. Relevant ist hier der Grundsatz der Integrität und Vertraulichkeit.

(1) Personenbezogene Daten müssen […]

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“); […]

Genauer ausgeführt wird diese Regelung in Artikel 25 DSGVO:

(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

Mögliche technische und organisatorische Maßnahmen, die Sie treffen können, sind, dass Sie den Zugang auf Geräte, mit denen personenbezogene Daten verarbeitet werden, durch sichere Passwörter beschränken, dass Sie E-Mails verschlüsseln oder Datenträger, die personenbezogene Daten enthalten, vollverschlüsseln.

Dabei müssen Sie stets eine Abwägung treffen, was Sie genau tun sollten. Für starke Sicherheitsmaßnahmen sprechen beispielsweise:

  • Sie verarbeiten besonders sensible Daten wie Gesundheitsdaten, Daten zu politischen Überzeugungen oder Daten zur ethnischen Herkunft.
  • Sie verarbeiten die Daten einer großen Anzahl von Personen.
  • Die Daten führen, wenn sie in falsche Hände geraten, mit hoher Wahrscheinlichkeit zu Diskriminierung, Identitätsdiebstahl, finanziellen Verlusten, Rufschädigung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen.
  • Viele verschiedene Personen müssen Zugriff auf die Daten erhalten, was ein hohes Risiko darstellt.

Aber wenn trotz aller Maßnahmen eine Datenpanne passiert? Dann greift Artikel 33 DSGVO:

(1) Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Das heißt, dass Sie bei einem Datendiebstahl möglichst innerhalb von 72 Stunden handeln müssen und die Panne an die zuständige Aufsichtsbehörde melden müssen. Darauf können Sie nur verzichten, wenn für die Rechte und Freiheiten der Personen, deren Daten Sie verarbeiten, kein Risiko besteht – was nur in den seltensten Fällen zutreffen wird.

Diese Meldung muss mindestens folgende Informationen beinhalten (Absatz 3):

a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Hinweis am Rande: Wenn Sie diesen Artikel lesen, weil eine Datenpanne passiert ist, können Sie uns die Abwicklung der Meldung übergeben. Wir arbeiten rasch, zuverlässig und vertrauensvoll und klären auf, was passiert ist.

Wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Personen, deren Daten Sie verarbeiten, besteht, müssen Sie zusätzlich nach Artikel 34 DSGVO diese Personen benachrichtigen:

(1) Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.

Dies ist insbesondere der Fall, wenn Sie besonders sensible Daten wie Gesundheitsdaten verarbeiten und diese abhanden gekommen sind.

Zusammengefasst müssen Sie also im Vorfeld technische und organisatorische Schutzmaßnahmen gegen Datendiebstahl treffen. Bei einer Datenpanne müssen Sie diese der Aufsichtsbehörde melden. Wenn Sie das nicht tun, drohen die bekannten Konsequenzen, bei einem Verstoß gegen Artikel 33 DSGVO (Meldung der Datenpanne) beispielsweise eine Strafe von bis zu 10 Millionen Euro oder 2% des Vorjahresumsatzes. Zusätzlich haben sämtliche Betroffenen die Möglichkeit, Schadenersatz zu verlangen, und zwar auch für immateriellen Schaden, also Schaden, der nicht in Geld bezifferbar ist.

Hinweis: Bei diesem Artikel handelt es sich um keine Rechtsberatung.