DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Eine Pflicht aus der neuen EU-Daten­schutz-Grund­ver­ordnung

Neuer Umgang mit Daten­pannen ab Mai 2018

Die ab 25.05.2018 zu beach­tende neue EU-Daten­schutz-Grund­ver­ordnung ver­langt eine viel häu­figere Kon­takt­auf­nahme mit der zustän­digen Auf­sichts­be­hörde.

Wie in meinem ersten Beitrag zur neuen EU-Daten­schutz-Grund­ver­ordnung vom Mai 2016  ver­sprochen, greife ich heute eine der geän­derten Pflichten auf.

Viel häu­figer Mel­dungen von Daten­pannen
Ab 25.05.2018 müssen alle Daten­pannen, die im Unter­nehmen pas­sieren, doku­men­tiert werden (vgl. Art. 33 Abs. 5 EU-DSGVO). Solche Daten­pannen, bei denen nicht aus­ge­schlossen werden kann, dass ein Risiko für die Rechte und Frei­heiten der betrof­fenen Per­sonen besteht, müssen zudem binnen 72 Stunden aktiv an die zuständige Daten­schutz­auf­sichts­be­hörde (in Deutschland eine zuständige Behörde pro Bun­desland) gemeldet werden. Dagegen müssen die Betrof­fenen nur infor­miert werden, wenn durch die Daten­panne vor­aus­sichtlich ein HOHES Risiko für die Rechte und Frei­heiten der betrof­fenen Per­sonen besteht (vgl. Art. 34 Abs. 1 EU-DSGVO).

Ein Bei­spiel für eine bereits heute mel­de­pflichtige Daten­panne finden Sie in meinem Beitrag vom 10.04.2017. Weitere Daten­pannen können sein:

- Fehl­ver­sen­dungen per Post oder E-Mail
— Verlust von Akten­ordnern
— Verlust von Daten­trägern

sofern per­so­nen­be­zogene Daten ent­halten oder gespei­chert sind.

Heute sind Daten­pannen nur dann mel­de­pflichtig, wenn bestimmte, im § 42a BDSG auf­ge­führte, Arten von Daten betroffen sind UND schwer­wie­gende Beein­träch­ti­gungen für die Betrof­fenen drohen. Ver­gleichbar mit dem oben genannten HOHEN Risiko für die Rechte und Frei­heiten der Betrof­fenen. Viele Daten­pannen unter­liegen heute des­wegen keiner Mel­de­pflicht.

Ab dem Mai 2018 wird also die aktive Meldung an die Auf­sichts­be­hörde viel häu­figer erfolgen müssen, da („irgendein denk­bares“) Risiko für die Rechte und Frei­heiten der Betrof­fenen wohl fast immer vor­liegen dürfte.

Was sollten Sie zur Vor­be­reitung tun?
Sie sollten in Ihrem Unter­nehmen unbe­dingt Ihre Mit­ar­beiter infor­mieren und Mel­de­pro­zesse defi­nieren, damit Sie auch jede Daten­panne kennen. Sie müssen außerdem jede Daten­panne spä­testens ab dem 25.05.2018 in Ihrem Unter­nehmen doku­men­tieren. Gemeinsam mit Ihrem Daten­schutz­be­auf­tragten müssen Sie die Daten­pannen bewerten. Ist ein Risiko für die Betrof­fenen nicht aus­zu­schließen, muss die Daten­panne ab 25.05.2018 aktiv an die für Ihr Unter­nehmen zuständige Daten­schutz­auf­sichts­be­hörde gemeldet werden.

Die Inhalte einer solchen Meldung müssen gem. Art. 33 Abs. 2 EU-DSGVO Fol­gendes umfassen:

- Sach­ver­halts­schil­derung der Daten­panne mit Angabe der Kate­gorien und der Zahl der Betrof­fenen sowie der betrof­fenen Daten­sätze
— Name und Kon­takt­daten Ihres Daten­schutz­be­auf­tragten oder einer sons­tigen Anlauf­stelle für weitere Nach­fragen
— eine Beschreibung der wahr­schein­lichen Folgen der Daten­panne
— eine Beschreibung der von Ihnen ergrif­fenen oder vor­ge­schla­genen Maß­nahmen zur Behebung oder Abmil­derung der durch die Daten­panne mög­lichen nach­tei­ligen Aus­wir­kungen

Besteht vor­aus­sichtlich ein hohes Risiko für die Betrof­fenen, müssen auch die Betrof­fenen in klarer und ein­facher Sprache über die Daten­panne infor­miert werden.

Folgen einer Nicht­be­achtung
Die Pflichten zur Doku­men­tation und ggf. Meldung einer Daten­panne aus dem Art. 33 EU-DSGVO nicht zu beachten, kann auch keine Lösung sein. Ein Verstoß ist in Art. 83 Abs. 4 a EU-DSGVO mit einem Bußgeld von bis zu EUR 10.000.000,- oder 2% des weltweit erzielten Jah­res­um­satzes des vor­an­ge­gan­genen Geschäfts­jahres (je nachdem welche Zahl höher ist) bedroht.

4 Kommentare zu Neuer Umgang mit Datenpannen ab Mai 2018

  • ITfee sagt:

    Ab welcher Betriebs­größe gilt denn die neue Mel­de­pflicht?

    • Bernd Bosch, DATEVeG sagt:

      Die neue Mel­de­pflicht gilt, wie alle anderen Pflichten aus der EU-Daten­schutz-Grund­ver­ordnung auch, für alle Unter­nehmen in der EU, die per­so­nen­be­zogene Daten ver­ar­beiten, unab­hängig von der Unter­neh­mens­größe. Die einzige, an eine Unter­neh­mens­größe gekop­pelte Pflicht ist die Pflicht­be­stellung eines Daten­schutz­be­auf­tragten. Diese ist in Deutschland (schon heute) ab 10 Per­sonen, die ständig per­so­nen­be­zogen Daten auto­ma­ti­siert ver­ar­beiten, not­wendig.

      • ITfee sagt:

        Heisst das also auch, dass z.B. jeder Ein­zel­un­ter­nehmer der einen News­letter ver­schickt mel­de­pflichtig ist?

        Wenn dem so ist, dann frage ich mich …

        … ab wann ist eine Daten­er­fassung auto­ma­ti­siert? Bereits mit einem Anmel­de­for­mular?

        … ab welchem Punkt ist sie per­so­nen­be­zogen? Allein schon durch die bloße Angabe der E-Mail­adresse?

        … wenn der Server nur gemietet ist, wer meldet dann die Daten­pannen — der Hoster oder der Mieter?

        • Bernd Bosch, DATEVeG sagt:

          Ja, auch ein Ein­zel­un­ter­nehmer ist grund­sätzlich mel­de­pflichtig, sofern eine Daten­panne pas­siert ist (unter den im Beitrag genannten Vor­aus­set­zungen). Auto­ma­ti­sierte Ver­ar­beitung liegt vor, wenn — ganz all­gemein aus­ge­drückt — Daten in Com­pu­ter­sys­temen ver­ar­beitet werden. Per­so­nen­be­zogen sind Daten, wenn sich diese auf eine iden­ti­fi­zierte oder iden­ti­fi­zierbare natür­liche Person beziehen (eine E-Mail-Adresse ist wohl grund­sätzlich immer ein per­so­nen­be­zo­genes Datum). Die Pflicht zur Meldung der Daten­panne trifft den Ver­ant­wort­lichen auch im Falle einer Daten­panne, die bei einem Dienst­leister pas­siert ist. In diesen Fällen (nach EU-DSGVO sog. Auf­trags­ver­ar­beitung) muss natürlich der Dienst­leister unver­züglich den Auf­trag­geber (Ver­ant­wort­lichen) über Daten­pannen infor­mieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Bosch, DATEV eG

Abschluss der Aus­bildung mit dem zweiten juris­ti­schen Staats­examen 1997. Seitdem in unter­schied­lichen Bereichen bei der DATEV eG in Nürnberg tätig. Prak­tische Erfahrung im IT-Umfeld hat er ins­be­sondere in seiner zehn­jäh­rigen Tätigkeit in der Soft­ware­ent­wicklung gesammelt. Hierbei war er u.a. mit der Ein­richtung und Aktua­li­sierung von Netz­werkum­ge­bungen in Steu­er­be­rater- und Rechts­an­walts­kanz­leien betraut. Seit fünf Jahren ist Bernd Bosch als externer Daten­schutz­be­rater für Kanz­leien tätig.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.