Datenschutzgesetz | Datenschutz Grundverordnung | Data Breach Notification Management
Datenleck, Datenklau, Daten(schutz)panne – hoffentlich sind solche Vorfälle in Ihrem Unternehmen noch nie passiert. Eine Datenpanne kann aber schnell passieren und ungeahnte Folgen haben. Nach dem geltenden Datenschutzrecht Österreich bestehen zahlreiche Verpflichtungen für Unternehmen im Fall von Datenmissbrauchsfällen. Die ab 25.5.2018 geltende Datenschutz Grundverordnung (DS-GVO) sieht noch weitergehende Verpflichtungen vor, für die sich Unternehmen dringend rüsten sollten, sofern sie noch kein Data Breach Notification Management implementiert haben.
Datenpanne – was ist das?
Eine Datenpanne kann auf viele verschiedene Arten erfolgen. Oft kann es durch bloße Unachtsamkeit zu einem Datenleck kommen, ohne dass eine böse Absicht dahinter steht. Etwa wenn ein E-Mail irrtümlich an einen falschen Empfänger geschickt wurde oder wenn Ausdrucke beim Drucker liegen gelassen werden. Um nur zwei exemplarische, aber typische Beispiele zu nennen.
Datenschutzgesetz, Datenschutz Grundverordnung: Verpflichtung zur Gewährleistung der Datensicherheit
§ 14 Datenschutzgesetz 2000 (DSG) verpflichtet Organisationseinheiten eines Auftraggebers oder Dienstleisters, Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist – je nach der Art der verwendeten Daten und nach Umfang und Zweck der Verwendung, sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit – sicherzustellen, dass:
- die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind,
- die Verwendung der Daten ordnungsgemäß erfolgt und
- die Daten Unbefugten nicht zugänglich sind.
Schon aufgrund dieser rechtlichen Verpflichtungen ist es wichtig, dass Mitarbeiter im Umgang mit Daten geschult sind und ein klarer Ablauf samt Zuständigkeiten festgelegt ist, um Datenpannen zu verhindern und die notwendige Datensicherheit zu gewährleisten.
Datenschutzgesetz, Datenschutz Grundverordnung: Grundregel Nummer 1: Keine ungeprüfte Datenweitergabe!
Beispiel: Ein Mitarbeiter wurde gekündigt. Sein potentieller neuer Arbeitgeber ruft in der Personalabteilung Ihres Unternehmens an, um zu fragen, warum das Dienstverhältnis denn beendet wurde und wie die Zusammenarbeit war. Hier ist größte Vorsicht geboten!
Bei Anfragen, die an ein Unternehmen gestellt werden, besteht häufig das Risiko, dass personenbezogene Daten ohne Rechtsgrundlage an die anfragende Person, die möglicherweise keine Berechtigung hat, weitergegeben werden. Solche Verhaltensweisen sollten unbedingt vermieden werden! Eine Weitergabe von Daten ist nämlich grundsätzlich nur dann zulässig, wenn eine Rechtsgrundlage die Weitergabe erlaubt oder die ausdrückliche, vorherige Einwilligung des Betroffenen vorliegt. Eine solche Einwilligung sollte schriftlich (eigenhändig, mit Unterschrift) oder zumindest elektronisch (per E-Mail) erteilt und dokumentiert werden. Als Grundregel ist zu beachten, dass an sich nur der Betroffene selbst hinsichtlich seiner Daten auskunftsberechtigt ist. Die Identität des Betroffenen sollte nachweislich geprüft werden. Anderen Personen darf in der Regel ohne vorherige Einwilligung des Betroffenen keine Auskunft über die gespeicherten Daten erteilt werden.
Anderes kann gelten, wenn Anfragen von der Datenschutzbehörde/Aufsichtsbehörde oder von autorisierten Amtsträgern der öffentlichen Verwaltung und der Justiz, welche im Rahmen ihrer Amtsausübung Zugang zu Daten erfolgen, kommen.
Zur Verhinderung von Datenklau empfiehlt sich die Festsetzung klarer und strukturierter Handlungsanweisungen, wie Mitarbeiter im Falle von solchen Anfragen reagieren sollen (z.B. Verweis auf Schriftweg, Verweis an zentrale Stelle, Prüfung der Identität der anfragenden Person, Anonymisierung der Daten, etc).
Mitarbeiter sind daher dahingehend zu schulen und zu verpflichten, bei Anfragen wegen Datenweitergabe stets kritisch zu prüfen, ob die personenbezogenen Daten von Betroffenen weitergegeben werden dürfen.
Datenschutzgesetz, Datenschutz Grundverordnung: Grundregel Nummer 2: Besondere Vorsicht bei sensiblen Daten
Sensible Daten sind Daten, aus denen die rassische und ethnische Herkunft, die politische Meinungen, die religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit einer Person hervorgehen. Sensible Daten sind weiters genetische und biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Eine Weitergabe sensibler Daten ist generell nur sehr eingeschränkt erlaubt, beispielsweise:
- wenn eine ausdrückliche Zustimmung des Betroffenen vorliegt;
- zur Erfüllung arbeitsrechtlicher Pflichten;
- wenn eine gesetzliche Ermächtigung vorliegt, die Weitergabe in einem angemessenen Verhältnis zum verfolgten Ziel steht und die Verarbeitung aufgrund eines erheblichen öffentlichen Interesses erforderlich ist;
- wenn lebenswichtige Interessen des Betroffenen oder eines Dritten davon abhängen.
Mitarbeiter sind zu schulen, was sensible Daten im Sinne des Datenschutzgesetzes sind und dazu zu verpflichten, im Umgang mit sensiblen Daten und einer Datenweitergabe in diesem Bereich noch sorgsamer zu sein.
Datenpanne passiert – was nun?
Ein Hacker hat sich Zugriff zum Firmenserver verschafft und Kundendaten geklaut. Eine höchst unangenehme Situation für das Unternehmen als Auftraggeber. Dem Auftraggeber drohen insbesondere Verwaltungsstrafen, Forderungen der Betroffenen, Meldepflichten und Reputationsverlust.
Das derzeitige Datenschutzgesetz Österreich sieht – anders als andere Länder – keine generelle Meldepflicht gegenüber der Datenschutzbehörde vor. Zwingend ist aber eine Information gegenüber den Betroffenen, wenn bekannt wird, dass Daten aus einer Datenanwendung systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht. Diese Verpflichtung besteht nur dann nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert. Die ab 2018 anwendbare DS-GVO sieht leicht abgeänderte Voraussetzungen für eine Ausnahme von der Benachrichtigungspflicht gegenüber Betroffenen vor.
Ab Mai 2018 werden die Pflichten durch die DS-GVO verschärft: Im Falle einer Verletzung des Schutzes personenbezogener Daten muss dies unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Eine Ausnahme besteht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Beispiele für Risiken sind Identitätsdiebstahl, Rufschädigung oder finanzielle Verluste. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
Auch „bloße“ Dienstleister treffen Pflichten
Auch Dienstleister haben Pflichten bei Datenpannen und Datenklau. Wenn dem Dienstleister (nach dem Wortlaut der DS-GVO: Auftragsverarbeiter) eine Verletzung des Schutzes personenbezogener Daten bekannt wird, wird nach der DS-GVO die Verpflichtung bestehen, dies dem Auftraggeber bzw. Verantwortlichen unverzüglich zu melden.
Daher: Data Breach Notification Managements
Wie bereits aus den oben exemplarisch geschilderten Risiken und Konsequenzen im Zusammenhang mit Datenpannen ersichtlich, sollte jedes Unternehmen dringend Compliance-Maßnahmen zu deren Vermeidung ergreifen. Data Breach Notification Management heißt hier das Zauberwort.
Bestandteile eines Data Breach Notification Managements könnten sein:
- Richtlinien mit Handlungsanweisungen, einerseits um Datenschutz-Pannen zu vermeiden, andererseits um die konkret zu treffenden Pflichten im Falle von Datenpannen festzulegen. Tipp: Es sollte klargemacht werden, dass eine Missachtung der Richtlinie bzw. eine Verletzung der Pflichten im Bereich Datenschutz eine Verletzung der Dienstpflichten ist und für den betroffenen Mitarbeiter negative Konsequenzen (z.B. arbeitsrechtliche Konsequenzen, Schadenersatzpflichten) haben kann.
- Regelmäßige und dokumentierte Schulungen von Mitarbeitern, Dienstleistern und Partner zum Schutz von Daten.
- Verpflichtung der Mitarbeiter auf die Einhaltung der Grundsätze des Datenschutzes und der Datensicherheit.
- Festlegung und Implementierung eines funktionierenden, transparenten und zeitnahen internen Meldeprozesses für den Fall einer Datenpanne.
Die Bestellung eines Datenschutzbeauftragten ist ein wichtiger Teil eines Data Breach Notification Managements. Derzeit erfolgt die Bestellung eines Datenschutzbeauftragten noch auf freiwilliger Basis; ab Geltung der DS-GVO wird die Bestellung für viele Unternehmen verpflichtet sein. Der Datenschutzbeauftragte muss in diesem Zusammenhang einerseits Maßnahmen implementieren, die Datenklau und Datenpannen vermeiden. Der Datenschutzbeauftragte ist auch interner Ansprechpartner und Ansprechpartner für Betroffene. Weiters ist der Datenschutzbeauftragte Schnittstelle zur Behörde und führt die Meldungen durch.
Der erste Schritt: Bewusstwerdung und Sensibilisierung auf Datenschutz
Datenpannen sind ein heikles Thema. Dafür muss – sofern dies nicht bereits erfolgt ist – sowohl auf Mitarbeiter- als auch auf Geschäftsführungsebene Bewusstsein geschaffen werden. Die in der DS-GVO festgelegten Pflichten erfordern rasches und kompetentes Handeln im Falle von Datenmissbrauch und Datenlecks. Dies ist nur mit ausreichender Vorbereitung auf den Ernstfall möglich.
Mit der Umsetzung eines Data Breach Notification Managements bis 25.5.2018 zu warten, ist keine gute Idee, denn auch das geltende Datenschutzgesetz Österreich erfordert die Implementierung eines wirksamen und effektiven Compliance-Systems in diesem Bereich.
# Datenschutzgesetz | Datenschutz Grundverordnung | Data Breach Notification Management
Datenschutzgesetz – Datenschutz Grundverordnung ab 25.5.2018: Datenpannen und Datenklau vermeiden
