Neue Meldepflichten bei Datenschutzverstößen

Größe: px

Ab Seite anzeigen:

Download "Neue Meldepflichten bei Datenschutzverstößen"

Bernt Kopp
vor 5 Jahren
Abrufe

1 20. Jahresfachkonferenz DuD 2018 Datenschutz und Datensicherheit Neue Meldepflichten bei Datenschutzverstößen Barbara Thiel Landesbeauftragte für den 1

2 Agenda Was ist eine Datenpanne? Was ist im Fall einer Datenpanne zu tun? Zweck und Bedeutung der Meldung Bisherige Rechtslage (BDSG-alt) Was ist nach DS-GVO neu? Sanktionen 2

3 Was ist eine Datenpanne? Art. 4 Nr. 12 DS-GVO: Verletzung des Schutzes personenbezogener Daten Vernichtung (Daten existieren nicht mehr) Verlust (Kontroll- oder Zugangsverlust) Veränderung (Beschädigung, Unvollständigkeit) Unbefugte Offenlegung und unbefugter Zugang 3

4 Was ist im Fall einer Datenpanne zu tun? Art.33 Abs. 1 DS-GVO: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde Verantwortlicher meldet unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden der Panne Meldung an die zuständige Aufsichtsbehörde Ausnahme: Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen Verzögerung muss begründet werden 4

5 Warum muss ich eine Datenpanne melden? Erwägungsgrund 85 DS-GVO: Angemessene und rechtzeitige Reaktion nötig, um Folgeschäden für natürliche Personen zu vermeiden oder zu minimieren: Physisch materiell Immateriell Beispiele für mögliche Schäden: Diskriminierung, Identitätsdiebstahl, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung etc. 5

Bisheriges Recht (BDSG-alt) Meldepflicht nach 42a BDSG-alt: Stellt eine nichtöffentliche Stelle im Sinne des 2 Absatz 4 oder eine öffentliche Stelle nach 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei

6 Bisheriges Recht (BDSG-alt) Meldepflicht nach 42a BDSG-alt: Stellt eine nichtöffentliche Stelle im Sinne des 2 Absatz 4 oder eine öffentliche Stelle nach 27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte 1. besondere Arten personenbezogener Daten ( 3 Absatz 9), 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten Sensible Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. 6

7 Was ist neu? Meldung aller Datenschutzverstöße, nicht mehr nur bei sensiblen Daten jegliches Risiko für eine natürliche Person reicht für Meldepflicht aus Meldepflicht auch bei versehentlicher Löschung oder Vernichtung von Daten Folge: Meldungen von Verstößen werden zunehmen (2017 bei der LfD Niedersachsen 20 Meldungen, davon 15 echte Fälle) 7

8 Risikobasierter Ansatz Risiko im Sinne der DS-GVO: Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden für eine natürliche Person darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Zwei Dimensionen: Schwere des Schadens Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten. Wegfall der Meldepflicht bei negativer Risikoprognose! 8

9 Risikobasierter Ansatz II 9

10 Inhalt der Meldepflicht Art.33 Abs. 3 DS-GVO: Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen: a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. 10

11 Benachrichtigungspflicht Art.34 Abs. 1 DS-GVO: Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung. Pflicht der Verantwortlichen nur bei positiver Risikoprognose 11

12 Entfallen der Benachrichtigungspflicht Art.34 Abs. 3 DS-GVO: Die Benachrichtigung der betroffenen Person gemäß Absatz 1 ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist: a) Der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung. b) Der Verantwortliche hat durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht. 12 c) Die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

13 Dokumentationspflichten Art.33 Abs. 5 DS-GVO: 1 Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. 2 Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels. 13

14 Meldung von Datenschutzverletzungen Online-Meldung 14

15 Das neue Sanktionsrecht - Überblick Sanktionsrahmen alt Sanktionsrahmen neu bis zu 20 Mio. bis zu bis zu 10 Mio. oder 2 % des weltweiten Jahresumsatzes Compliance allgemein oder 4 % des weltweiten Jahresumsatzes Verstoß Betroffenenrechte 15

16 Sanktionen bei Datenschutzverletzungen EG 87: Meldung einer Datenschutzverletzung kann zu Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in DS-GVO festgelegten Aufgaben und Befugnissen führen. Bei Verstoß gegen Meldepflicht (Art. 33 Abs. 1 DS-GVO) oder Dokumentationspflicht (Art. 33 Abs. 5 DS-GVO) Geldbuße bis zu oder im Fall eines Unternehmens 2 % des gesamten weltweit erzielten Jahresumsatzes Art. 83, Abs. 1 DS-GVO: wirksam, verhältnismäßig, abschreckend 16

17 Datenschutz Niedersachsen Ich danke Ihnen für Ihre Aufmerksamkeit. Barbara Thiel Prinzenstraße Hannover Telefon Telefax barbara.thiel@lfd.niedersachsen.de 17

Ähnliche Dokumente

Arbeitshilfe zur Meldung von Datenpannen

Arbeitshilfe zur Meldung von Datenpannen Allgemeiner Teil Was ist eine Datenpanne? Unter einer Datenpanne werden Verletzungen des Schutzes personenbezogener Daten im Sinne von 4 Nr. 1 DSG-EKD verstanden.