Amtswegiges Prüfverfahren der Datenschutzbehörde

Die Datenschutzbehörde hat nach einem amtswegigen Prüfverfahren wegen Verletzungen von Pflichten nach der DSGVO einen rechtskräftigen Bescheid erstellt, der interessante Einblicke in die Vorgehensweise bei aufsichtsbehördlichen Ermittlungen gibt.

Ausgangspunkt des Verfahrens war die Meldung einer Datensicherheitsverletzung durch den im Gesundheitsbereich tätigen Verantwortlichen bei der Datenschutzbehörde.

Ermittlungsschwerpunkte

Die Behörde nahm die Meldung zum Anlass, vom Verantwortlichen nachfolgende Informationen bzw Unterlagen einzufordern:

  • das Verzeichnis der Verarbeitungstätigkeiten;
  • die an die Betroffenen auszuhändigenden Datenschutzerklärungen;
  • Bekanntgabe, ob bzw. unter welchen Umständen Daten nicht direkt bei der betroffenen Person ermittelt werden;
  • die Gründe zu nennen, warum kein Datenschutzbeauftragter benannt wurde;
  • die von der Verantwortlichen durchgeführten Datenschutz-Folgenabschätzungen (DSFA), oder die Gründe bekannt zu geben, warum DSFA aus Sicht der Verantwortlichen unterbleiben durfte(n);
  • die Gründe zu nennen, warum (auf der Website des Verantwortlichen) ein Hinweis auf Cookies unterbleiben dürfte bzw. ein Opt-Out nicht vorzusehen war;
  • soweit keine DSFA vorzunehmen war, bekannt zu geben, welche Datensicherheitsmaßnahmen bestehen und welche Datenminimierungsmaßnahmen ergriffen wurden bzw. werden;
  • soweit sich dies nicht aus dem Verzeichnis ergibt, die Speicherdauer der Daten bekannt zu geben und mitzuteilen, ob eine Speicherung in Cloud-Diensten oder auf Servern im EWR oder in Drittländern stattfindet;
  • Auftragsverarbeiter und Übermittlungsempfänger bekannt zu geben;
  • die gemäß § 30 Abs. 3 DSG und die gemäß § 9 Verwaltungsstrafgesetz 1991 (VStG) bestellte Person bekannt zu geben.

Gegenstand der Datenschutzüberprüfung war, ob bzw. inwiefern die Verpflichtungen der DSGVO durch die Verantwortliche eingehalten werden. Der Maßstab der Prüfung bezog sich auf die von der Behörde vermuteten Datenschutzverletzungen und auf die Tatsachen, die durch die Überprüfung hervorkamen.

Bei der Überprüfung nutzte die Behörde ua mehrere Ermittlungsansätze ua “wurden (Beweise) aufgenommen durch die Eingaben der Verantwortlichen samt Beilagen sowie aufgrund des Amtswissens der Behörde und amtswegigen Recherchen auf der Webseite (sic!) der Verantwortlichen.

Im Ergebnis wurde dem Verantwortlichen aufgetragen, die beanstandeten Pflichtverletzungen innerhalb einer achtwöchigen Frist bei sonstiger Exekution zu beheben.

Quelle: GZ: DSB-D213.692/0001-DSB/2018 vom 16.11.2018

Anmerkungen

  • Im konkreten Fall hat die Behörde das Prüfverfahren vor allem deshalb eingeleitet, weil “in den Meldungen der Verletzung der Datensicherheit jeweils lediglich ein „Datenschutz-Koordinator“ benannt wurde”. Das könnte ein Hinweis darauf sein, dass die Behörde, die immer wieder geübte Praxis, anstelle eines Datenschutzbeauftragten einen Datenschutz-Koordinator zu benennen, durchaus kritisch sieht und zum Anlass nimmt, ein Prüfverfahren einzuleiten.
  • Im Zuge des Prüfverfahren stellte die Behörde zudem fest, dass der Verantwortliche mit einem eingesetzten Online-Formular betroffene Personen zu einer gesetzwidrigen Einwilligung verpflichtete.
  • Ein Verweis auf Cookies auf der Impressum-Seite, ein Hinweis-Text zum Datenschutz und ein Cookie-Hinweis-Banner auf der Startseite von der Behörde bei der Verwendung von Cookies auf der Website als ausreichend angesehen wird.
  • Die Erfüllung der Nachweis- und Rechenschaftspflichten des Verantwortlichen überprüfte die Behörde durch das Verlangen auf Vorlage nachfolgender Dokumentationen: Verarbeitungsverzeichnis, Datenschutzerklärungen, Dokumentation der Datensicherheitsmaßnahmen, Datenschutzfolgenabschätzungen und Auftragsverarbeitungen.
  • Die gesetzte Frist von 8 Wochen zur Beseitigung der beanstandeten Pflichtverletzungen ist ambitioniert.

Was tun bei einem Datenschutzvorfall?

Bei einem Hinweis auf eine mögliche Datenschutzverletzung ist der Vorfall unverzüglich zu dokumentieren und bei einem Risiko für die Rechte und Freiheiten von Personen der Datenschutzbehörde zu melden.

Als Unterstützung für die Dokumentation stellen wir Ihnen gerne unser Tool zur Meldung einer Datensicherheitsverletzung zur Verfügung.

Meldepflicht bei Datenschutzverletzung

Die irische Datenschutzbehörde (DPC Irland) hat in ihrem kürzlich veröffentlichten Jahresbericht einen Einblick über die Meldungen einer Datenschutzverletzung gegebenen.

Interessant ist nicht nur die – im Berichtszeitraum (05 – 12.2018) – deutlich gestiegene Anzahl von Meldungen (3.687, +27% im Vergleich zu 2017), sondern auch die im Bericht vorgenommenen Klassifikation der Arten von gemeldeten Datenschutzverletzungen.

Arten von Datenschutzverletzungen

Erstaunliche 85 Prozent der Datenschutzverletzungen erfolgten durch die Offenlegung von personenbezogenen Daten an nicht autorisierte Empfänger.

Weitere meldepflichtige Datenschutzverletzungen erfolgten durch

  • Verlust von nicht-verschlüsselten Datenträgern, zB USB-Sticks
  • Verlust oder Diebstahl bzw der unsachgemäßen Entsorgung von Papierdokumenten
  • Datenschutzverletzungen in der Folge von erfolgreichen Hacking-Angriffen oder Phishing Mails

Meldepflicht bei Datenschutzverletzung

Artikel 33 DSGVO sieht bei Verletzung des Schutzes personenbezogener Daten eine Meldepflicht für den Verantwortlichen vor. Die Meldung hat möglichst binnen 72 Stunden, nach Bekanntwerden, bei der Aufsichtsbehörde zu erfolgen. Eine Ausnahme von der Meldepflicht besteht nur dann, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.

Die Meldung an die Aufsichtsbehörde hat gesetzlich festgelegte Mindestinformationen zu enthalten. Falls nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche die Informationen ohne unangemessene weitere Verzögerung der Aufsichtsbehörde schrittweise zur Verfügung stellen.

Dokumentationspflicht bei Datenschutzverletzung

Darüber hinaus ist der Verantwortliche stets verpflichtet, alle aufgetretenen Datenschutzverletzungen einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und ergriffener Abhilfemaßnahmen zu dokumentieren. Diese Dokumentation ist der Aufsichtsbehörde, nach Aufforderung, zugänglich zu machen.

Schulung und internes Meldeverfahren

Zentrale Bedeutung bei der Erfüllung der Meldepflichten bei Datenschutzverletzungen ist die Schulung und Sensibilisierung der mit personenbezogenen Daten befassten Mitarbeiter. Der Verantwortliche ist gut beraten, die Mitarbeiter für die Erkennung von möglichen Datenschutzverletzungen zu schulen und ein Verfahren zur internen Meldung eines entsprechenden Vorfalls vorzusehen.

Zur internen Erhebung und Dokumentation von Infomationen zu einer etwaigen Datenschutzverletzung steht Ihnen unser Datenschutz-Tool „Meldung einer Datenschutzverletzung“ zur Verfügung.

Risikoabwägung und Schadensabwehr

In der Folge hat durch den Verantwortlichen, nach Möglichkeit, in Abstimmung mit dem Datenschutzbeauftragten unverzüglich eine dreistufige Risikoabwägung (kein Risiko, Risiko oder Hohes Risiko) hinsichtlich der Auswirkungen des Vorfalls auf die Rechte und Freiheiten natürlicher Personen durchzuführen und dessen Ergebnis schriftlich festzuhalten. Zusätzlich sind alle auf den Vorfall bezogenen Fakten und ergriffenen Abwehrmaßnahmen zu dokumentieren.

Meldung bei der Aufsichtsbehörde

Bei einem bestehenden Risiko für die Rechte und Freiheiten der betroffenen Person hat der Verantwortliche, binnen 72 Stunden, die Datenschutzverletzung an die zuständige Aufsichtsbehörde zu melden. In Österreich erfolgt die Meldung an die Datenschutzbehörde, welche dafür auf ihrer Website ein entsprechendes Formular zur Verfügung stellt.

Links

Hohes Bußgeld wegen unzureichender Datensicherheit

Die portugiesische Datenschutz-Aufsichtsbehörde CNPD hat ein Bußgeld in der Höhe von 400.000 Euro gegen ein Krankenhaus verhängt. Nach einem kürzlich veröffentlichten Artikel der IAPP erfolgte die Strafe wegen der Verletzung von Grundsätzen der Verarbeitung von personenbezogenen Daten und unzureichender Datensicherheitsmaßnahmen.

Verstöße gegen die DSGVO

In der Begründung für die Verhängung des Bußgelds wurden drei Verstöße gegen die DSGVO genannt:

  • Verstoß gegen den Grundsatz der Datenminimierung (Art 5 DSGVO (1) c)
  • Verletzung des Grundsatzes der Integrität und Vertraulichkeit
    (Art 5 DSGVO (1) f)
  • Fehlende bzw unzureichende Maßnahmen zur Sicherheit der Verarbeitung (Art 32 DSGVO (1) b)

In Hinblick auf die Planung und Umsetzung eigener datenschutzkonformer Prozesse sowie technischer und organisatorischer Maßnahmen zur Datensicherheit sind vor allem die von der Aufsichtsbehörde bei der Bemessung der Bußgeldhöhe aufgedeckten Mängel interessant.

Fehlende Dokumentation von Benutzerprofilen

Die Aufsichtsbehörde stellte fest, dass wegen fehlender Dokumentation der Aufgaben und Zugriffsrechten einzelner Benutzer nicht nachvollziehbar war, in wie weit bestehende Zugangsrechte für einzelne Benutzer auch berechtigt bzw erforderlich waren.

So hatten 9 Techniker einen uneingeschränkten Zugang zu den für Medizinern vorbehaltenen Informationen im Krankenhaussystem. Zudem bestand für alle Mediziner, unabhängig von ihrer Fachrichtung, zu jeder Zeit ein Zugang zu allen Patienteninformationen im gesamten Krankenhaus.

Mängel bei der Benutzerverwaltung

Die Aufsichtsbehörde stellte zudem fest, dass insbes in Hinblick auf die Erstellung und Löschung von Benutzern gravierende Mängel bei der Benutzerverwaltung bestanden.

Im System gab es 985 Benutzer mit dem Profil „Doktor“. Im Krankenhaus selbst waren aber nur 296 Doktoren beschäftigt. Insgesamt gab es nur 18 inaktive Benutzerkonten, von denen das letzte im November 2018 deaktiviert worden war.

Faktoren bei der Bußgeld-Festlegung

Bei der Strafbemessung zog die Aufsichtsbehörde nach Art 83 (2) DSGVO insbes Art, Schwere und Dauer des Verstoßes sowie die Art, den Umfangs oder ds Zweck der betreffenden Verarbeitung sowie die Zahl der von der Verarbeitung betroffenen Personen in Betracht.

Eine Rolle bei der Bußgeldbemessung spielte selbstverständlich auch, dass es sich bei den verarbeiteten Daten um Gesundheitsdaten handelte, welche zur besonderen Kategorie von personenbezogenen Daten zählen.

Als Gründe für eine Bußgeldminderung sah die Aufsichtsbehörde ua die bei den Ermittlungen gezeigte Kooperationsbereitschaft und bisherige Unbescholtenheit des Verantwortlichen sowie dessen Maßnahmen zur Eindämmung von Schäden bei betroffenen Personen an.

Empfehlungen

In Hinblick auf die Planung und Entwicklung eines eigenen rechtskonformen Datenschutz Management Systems sind nachfolgende Maßnahmen empfehlenswert:

  • Prüfung und Dokumentation bestehender Zugangs- und Zugriffsrechte hinsichtlich ihrer Erforderlichkeit zur Erfüllung von Benutzeraufgaben;
  • Regelungen zur Erstellung und Löschen von Benutzerprofilen, insbes im Zusammenhang mit der Beendigung von Beschäftigungsverhältnissen;
  • Regelmäßige Kontrolle bestehender Benutzerprofile in Hinblick auf Rechte und Aktualität;
  • Festlegung von Verantwortlichkeiten für die Kooperation mit der Aufsichtsbehörde;

Datenschutzgrundverordnung – Unwort des Jahres

Datenschutzgrundverordnung wurde jüngst zum Unwort des Jahres 2018 gewählt. Für mich als Datenschutzbeauftragten ist das natürlich ziemlich unverständlich.

Und ich frage mich: Warum nur?

Eine zufriedenstellende Antwort kann ich so schnell nicht finden. Sicher, Diskussionen darüber, ob Namensschilder an Haustüren, digitale Weihnachtswünsche beim Adventkalender oder gar das Versenden von Weihnachtskarten datenschutzrechtlich zulässig seien, haben nicht gerade zur Popularität des Begriffs beigetragen. 

Was war oder ist passiert?

Nun die Einführung der DSGVO im Mai 2018 war begleitet von einer noch nie dagewesenen Hysterie. Mögliche Geldbußen (bis zu 20 Mio Euro und mehr) erzeugten eine beispiellose Umsetzungspanik. Die Vernunft ist dabei vielfach auf der Strecke geblieben. Die Aufregung wurde durch Medien und Berater verstärkt, die nicht müde wurden, mittels überzogener Beispiele und Warnungen die Furcht vor dem Datenschutzmonster noch zu steigern. Gut gemeint, ist eben nicht gut gemacht. 

Dabei scheint es doch so einfach, einen Konsens zur Sinnhaftigkeit und Zweckmäßigkeit der Datenschutzgrundverordnung zu finden.

Ein besserer Schutz von Betroffenen bei der Verarbeitung ihrer eigenen Daten durch Behörden und Unternehmen. Mehr Rechte für Betroffene bei der Durchsetzung persönlicher Ansprüche und für Unternehmen mehr Möglichkeiten durch freien Verkehr von personenbezogenen Daten. Da kann doch wirklich niemand ernsthaft etwas dagegen haben?

Nun wir wissen es alle.  Die DSGVO wird anders wahrgenommen, ganz anders. Die Rede ist vom, Bürokratiemonster mit überbordenden Nachweispflichten, Ressourcenfresser oder gar, existenzbedrohenden Hindernis für Unternehmen. Die Datenschutzgrundverordnung, ungeliebt wie das Rauchverbot in der Gastronomie, die Registrierkasssenpflicht oder Allergenkennzeichnungsverordnung. Nur noch komplizierter und folgenschwerer.

Muss das so sein?

Nein, Hoffnung bringt die eigene Erfahrung bei Datenschutzprojekten. Bei einer praxisbezogenen und firmengerechten Umsetzung kommt nämlich viel Gutes zu Tage. Digitale Prozesse werden dann nicht nur in Hinblick auf auferlegte Datenschutzpflichten betrachtet, sondern auch bezüglich vorhandener Wertschöpfungspotenziale durchleuchtet. Entdecken und aktivieren heißt die Devise. Schnell wächst das Bewusstsein für den Wert von personenbezogenen Daten. Nicht umsonst heißt es, Daten sind das Öl des 21. Jahrhunderts. Proaktive Datenschutzstrategien schaffen zukünftige Erfolgspotenziale und Differenzierungsmerkmale in der digitalen Wirtschaft. Und ein marktgerechter Datenschutz wird zum Aktivposten in der Umweltbilanz des Unternehmens. 

Persönlich wünsche ich mir also für das kommende Jahr mehr Konzentration auf wesentliche Ziele der DSGVO: Rechtmäßige und sichere Verarbeitung von personenbezogenen Daten, mehr Transparenz und Rechte für Betroffene sowie weniger Hysterie und Skurrilität im täglichen Umgang mit einem persönlichen Grundrecht.

Das wird doch machbar sein, Oida, oder?

3. OÖ-Datenschutztag – Ein Rückblick

previous arrow
next arrow
Slider

Erste Erfahrungen mit der DSGVO

Am 23. Oktober referierten namhafte Datenschutzexperten beim 3. OÖ-Datenschutztag in der Welser Villa Muthesius über erste Erfahrungen und Herausforderungen bei der Umsetzung der seit 25. Mai 2018 zur Anwendung kommenden neuen Datenschutzbestimmungen.

Interessante Expertenvorträge beim Datenschutztag

Mag Ursula Illibauer, Wirtschaftskammer Österreich, berichtete über erste Anzeichen eines wachsenden Unwillens der Wirtschaftstreibenden bei der aufwändigen Umsetzung der zahlreichen Pflichten und Aufgaben aus der DSGVO in der täglichen betrieblichen Praxis. Die anerkannte Datenschutzexpertin verwies dabei auf zahlreiche Hilfsmittel der Wirtschaftskammer, welche allen Verantwortlichen und Auftragsverarbeitern meist kostenlos zur Verfügung stehen und eine weite Verbreitung gefunden haben.

Der Welser IT-Rechtsspezialist Dr Michael Pachinger skizzierte mögliche Haftungsfragen und Schadenansprüche gegenüber den Verantwortlichen bei Datenschutzverletzungen. Der langjährige EuroPrise Experte erörterte zudem Möglichkeiten einer Datenschutzzertifizierung als Nachweis für eine DSGVO-konforme Verarbeitung von personenbezogenen Daten.

Mag Georg Lechner, langjähriger Mitarbeiter der Datenschutzbehörde, betonte mehrmals die Notwendigkeit, dass sich Verantwortliche und Auftragsverarbeiter bei der Verarbeitung von personenbezogenen Daten mit den Anforderungen der DSGVO ernsthaft auseinandersetzen müssten. Besonders wichtig sei dabei, eine nachvollziehbare Dokumentation einzelner Entscheidungen. Die österreichische Datenschutzbehörde würde dann im konkreten Schadensfall für aufgetretene Fehler eher Verständnis zeigen können. Eine völlige Ignoranz der gesetzlichen Bestimmungen aber absolut nicht goutieren.

Mag Sabine Brunner, Datenschutz-Expertin von pwc Legal, sprach über Besonderheiten bei der Verarbeitung von personenbezogenen Daten im Unternehmensverbund und zeigte verschiedene Lösungen für eine rechtskonforme Umsetzung der DSGVO bei der Verarbeitung und Übermittlung von Daten in Konzernen, zB Corporate Binding Rules.

Aussteller zeigten Tools und Geräte

Begleitet wurde die Veranstaltung von einer frei zugänglichen Ausstellung. Hier präsentierten unter anderem das Welser Datenschutz-Start-Up DataReporter das gleichnamige Datenschutz Management Tool mit einer Vielzahl von Funktionen zur Umsetzung von DSGVO-Aufgaben und Pflichten.  Und der Welser Büroausstatter SSI Schäfer Shop zeigte gemeinsam mit seinem Partner HSM unterschiedliche Geräte zur DSGVO-konformen Vernichtung von Akten und Papierdokumenten.

Datenschutztag ein Erfolg

„Der dritte OÖ-Datenschutztag war aus meiner Sicht ein voller Erfolg. Das Feedback der Teilnehmerinnen und Teilnehmer war überaus positiv. Es gibt in Oberösterreich keine vergleichbare Veranstaltung, bei der sie so direkten Kontakt zu namhaften Experten finden können“, zeigte sich Veranstalter Horst Greifeneder vom Welser Büro für Datenschutz & Datensicherheit zufrieden mit dem Verlauf des heurigen Datenschutztages.

Am Ende der Veranstaltung war klar, dass die Anforderungen einer gesetzeskonformen Umsetzung der neuen Datenschutzbestimmungen für Verantwortliche, Auftragsverarbeiter, Datenschutzbeauftragte oder Behörden eine enorme Herausforderung darstellen und noch lange nicht abgeschlossen sein werden.

3. OÖ-Datenschutztag | 23.10.2018 | Wels

Seit mehr als 100 Tagen ist die DSGVO nun in Kraft und zeigt bereits Wirkung. Die Anzahl der Beschwerden und Meldungen von Datenschutzverletzungen bei der österreichischen Datenschutzbehörde sind signifikant angestiegen. Trotzdem sind noch immer mehr als die Hälfte der Unternehmen damit beschäftigt, die erforderlichen Maßnahmen zur Umsetzung der neuen Aufgaben und Pflichten in die betriebliche Praxis einzuführen.

DSGVO echte Herausforderung

„Die DSGVO ist in der Umsetzung eine echte Herausforderung. Gröbere Schwierigkeiten bereitet vor allem die Tatsache, dass hinsichtlich der konkreten praktischen Umsetzung der zahlreichen gesetzlichen Vorgaben weitgehend Unklarheit besteht. Vor allem kleinere und mittlere Unternehmen kämpfen mit den damit verbundenen Unwägbarkeiten und Bußgeld-Risiken“, verweist der Welser Datenschutzbeauftragte Horst Greifeneder, auf bestehende Herausforderungen für Verantwortliche in den Unternehmen.

3. OÖ-Datenschutztag in Wels

Am 23. Oktober 2018 findet bereits zum dritten Mal der OÖ-Datenschutztag in der Welser Villa Muthesius statt. Das Programm der Veranstaltung ganz im Zeichen der ersten Erfahrungen mit den neuen Datenschutzregelungen in der betrieblichen Praxis. In vier Vorträgen beleuchten namhafte Experten auf praxisnahe Art und Weise offene Fragen und bestehende Herausforderungen in den ersten Monaten der Gültigkeit der neuen Datenschutzregeln.

Ergänzend zu den Experten-Vorträgen präsentieren Anbieter von Datenschutz-Management-Tools und -Dienstleistungen ihre Produkte und Angebote in einer begleitenden Ausstellung.

Programm 3. OÖ-Datenschutztag

Ein spannendes und informatives Programm erwartet die Teilnehmerinnen und Teilnehmer beim 3. OÖ-Datenschutztag in der Welser Villa Muthesius.

  • Die Datenschutz-Expertin der Wirtschaftskammer Österreich, Frau Mag. Ursula Illibauer, spricht über erste Erfahrungen, bestehende Herausforderungen und praktische Hilfsmittel bei der DSGVO-Umsetzung aus Sicht der Unternehmen.
  • Rechtsanwalt Dr. Michael Pachinger, Partner bei SCWP Schindhelm und Experte für IP & IT sowie Datenschutzrecht, erörtert Haftungsfragen und Schadenersatzansprüche der Betroffenen  bei Datenschutzverletzungen und versucht die Farge zu beantworten, ob Zertifizierung eine mögliche Compliance Garantie darstellen könnte.
  • Der langjährige Mitarbeiter der Datenschutzbehörde, Mag. Georg Lechner, spricht über die Notwendigkeit von Datenschutzfolgenabschätzungen und gibt einen Einblick hinsichtlich möglicher Untersuchungen vor Ort und die Zusammenarbeit mit der Datenschutzbehörde.
  • Mag. Sabine Brunner, Expertin für Datenschutzrecht bei PwC Legal, beschäftigt sich mit Spezialfragen der rechtskonformen Umsetzung der DSGVO in einer Unternehmensgruppe und der Möglichkeit zur Benennung eines Konzerndatenschutzbeauftragten.

Die Veranstaltung bietet den Teilnehmerinnen und Teilnehmer zudem die Möglichkeit, sich direkt mit den anwesenden Experten und KollegInnen über laufende Datenschutz-Projekte auszutauschen und in der begleitenden Ausstellung über praxiserprobte Datenschutz Management-Tools zu informieren.

Frühbucher-Bonus

Ticket bis zum 25. September 2018 zum Vorzugspreis von 190 Euro statt 240,- Euro, exkl MwSt. Tickets jetzt online bestellen unter www.bdsb.at/.

KURZINFO

3. OÖ-Datenschutztag, 23.10.2018, 13 – 17 Uhr,
Villa Muthesius Wels, Pollheimerstraße 4, 4600 Wels.
Programm & Anmeldung unter www.bdsb.at oder T 07242-77715.
Veranstalter: Büro für Datenschutz & Datensicherheit, Wels.

Rückfragen?

Gerne stehe ich Ihnen für Fragen zur Veranstaltung oder zum Datenschutz persönlich für Auskünfte zur Verfügung.

Getagged mit: , , ,

Verpflichtung zur Datenschutz-Folgenabschätzung

Die DSGVO sieht bei Verarbeitungen von personenbezogenen Daten mit einem hohen Risiko für die Rechte und Freiheiten des Betroffenen eine verpflichtende, vorab durchzuführende, Datenschutz-Folgenabschätzung durch den Verantwortlichen vor.

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Art 35 DSGVO

Im Kern geht es also darum, für bestimmte (hoch riskante) Formen von Verarbeitungen vorab einzuschätzen, welche möglichen Folgen für Betroffene entstehen können.

Verordnungen zur Datenschutz-Folgenabschätzung

Laut DSGVO hat die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge zu erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, und diese zu veröffentlichen und mit anderen Aufsichtsbehörden abzustimmen.

Die österreichische Datenschutzbehörde hat bereits im Mai 2018 eine Verordnung für Ausnahmen der Datenschutzfolgenabschätzung (DSFA-AV), eine sogen White-List, verlautbart. Und hat nun in den Sommermonaten, einen Entwurf für eine Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V), die sogen Black-List, zur Begutachtung nachgereicht. Seit der Aussendung ist nicht viel passiert, dennoch lohnt sich ein Blick auf die in der Blacklist aufgezählten Verarbeitungen, bei denen die Datenschutzbehörde von einem hohen Risiko für Betroffene ausgeht.

Verpflichtende Datenschutz-Folgenabschätzung

Grundsätzlich unterscheidet die Verordnung zwischen Verarbeitungsvorgängen bei denen schon beim Vorliegen eines Kriteriums eine Datenschutz-Folgenabschätzung durchzuführen ist und Verarbeitungen bei denen mindestens zwei Kriterien erfüllt sein müssen. Eine weiterführende, detaillierte Auseinandersetzung mit den einzelnen Kriterien würde den Rahmen des Newsletters sprengen. Ich habe aber nachfolgend, drei für die betriebliche Praxis relevante Verarbeitungen ausgewählt und in Stichworten kurz zusammengefasst:

  • Verarbeitungen, welche die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben und Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der betroffenen Person bewerten und negative rechtliche, physische oder finanzielle Auswirkungen haben können.
  • Netzwerk-basierte Bild-/Tonverarbeitung, welche die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel oder auf eine systematische, umfangreiche
    Überwachung öffentlich zugänglicher Bereiche abzielen bzw öffentliche Örtlichkeiten oder Straßen erfassen.
  • Verarbeitungen, bei denen Daten aus mehreren, von verschiedenen Verantwortlichen durchgeführten Verarbeitungszwecken zusammengeführt oder abgeglichen werden und die über die von einem Betroffenen üblicherweise zu erwartenden Verarbeitungen hinausgehen, sofern diese für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt beim
    Betroffenen erhoben wurden, oder automatisierte Entscheidungen getroffen werden können, welche die betroffenen Personen in erheblicher Weise beeinträchtigen.
  • Verarbeitung von besonderen Kategorien personenbezogener Daten bei schutzbedürftigen Betroffenen, wie unmündigen Minderjährigen, Arbeitnehmern, Patienten, psychisch Kranken und Asylwerbern.

Ausnahmen bestehen hier allenfalls, im Zusammenhang mit Beschäftigungsverhältnissen, wenn eine Betriebsvereinbarung oder Zustimmung der Personalvertretung vorliegt.

Die oa Ausführungen geben die Verordnung in Kurzfassung wieder. Zu beachten ist ferner, dass nach den mir vorliegenden Informationen die Verordnung noch nicht in Kraft getreten ist, dh. der endgültige Regelungsgehalt der Verordnung ist noch offen. In Hinblick auf die Notwendigkeit und Vorbereitung eigener, erforderlicher Datenschutz-Folgenabschätzungen liefert der Entwurf aber eine wertvolle Orientierung für Verantwortliche.

Links

Save the Date: 3. OÖ-Datenschutztag, 23.10.2018.

Am Dienstag, den 23. Oktober 2018, 13 – 17 Uhr, findet der OÖ-Datenschutztag bereits zu dritten Mal in der Welser Villa Muthesius statt. 4 Expertinnen und Experten von der Datenschutzbehörde, Datenschutzkanzleien und der Wirtschaft sprechen über erste Erfahrungen, Herausforderungen und Best-Practice-Beispiele bei der Umsetzung der DSGVO in die betriebliche Praxis.

Für Schnellentschlossene gibt es einen Frühbucher-Bonus bis zum 18. September 2018.

Programm und Anmeldung unter www.datenschutzbeauftragter.co.at.

Getagged mit: , ,

Datenschutzverletzung – Was ist nun zu tun?

Die DSGVO ist seit knapp 6 Wochen in Anwendung und schon kam es zu einer Datenschutzverletzung bei der österreichischen Nummer 1 bei Markenelektronik. Laut Benachrichtigung der Firma zum Datensicherheitsvorfall (data breach notification) besteht der Verdacht, dass Kundendaten in krimineller Absicht von den Webservern des Unternehmens entwendet wurden. Im gleichen Atemzug versucht das Unternehmen zu beruhigen und teilt mit, dass „zu keinem Zeitpunkt relevante Zahlungsdaten (Kreditkarte, Kontonummer, Paypal-Account usw.) gespeichert wurden und diese daher nicht betroffen sind.“

Bei der Verletzung des Schutzes personenbezogener Daten sieht die DSGVO zwei wesentliche Pflichten für den Verantwortlichen vor:

  1. Meldung bei der Aufsichtsbehörde (Art 33 DSGVO)
  2. Benachrichtigung der betroffenen Personen (Art 34 DSGVO)

Meldung bei der Aufsichtsbehörde

Im Falle einer Datenschutzverletzung mit einem voraussichtlichen Risiko für die Rechte und Freiheiten natürlicher Personen hat der Verantwortliche diese unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der Datenschutzbehörde zu melden. Die Datenschutzbehörde stellt hierfür ein eigenes Formular zur Meldung der Verletzung des Schutzes personenbezogener Daten zur Verfügung.

Eine entsprechende, unverzügliche Meldepflicht bei einer bekannt gewordenen Datenschutzverletzung trifft ebenfalls den Auftragsverarbeiter gegenüber dem Verantwortlichen. Die Meldung bei der Datenschutzbehörde hat allerdings immer durch den Verantwortlichen zu erfolgen. Den Datenschutzbeauftragten trifft keine Meldepflicht, aber sehr wohl die Aufgabe zur Zusammenarbeit im Zuge etwaiger Ermittlungen der Aufsichtsbehörde im Zusammenhang mit dem Datenschutzvorfall.

Informationen bei einer Meldung einer Datenschutzverletzung

Art 33 Abs 3 sieht vor, dass die Meldung zumindest nachfolgende Informationen enthält:

  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Dokumentationspflicht bei Datenschutzverletzung

Zusätzlich zur Meldepflicht trifft den Verantwortlichen auch noch eine Dokumentationspflicht bei Datenschutzverletzungen. Insbesondere sind alle im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und ergriffene Abhilfemaßnahmen zu erfassen. Die Dokumentation dient der Aufsichtsbehörde zur Überprüfung der Einhaltung der Bestimmungen zur Meldung der Verletzung des Schutzes personenbezogener Daten. Eine sorgfältige und umfangreiche Dokumentation sollte sich bei einer etwaigen Geldbuße strafmildernd auswirken.

Benachrichtigung der betroffenen Personen

Bei einer Datenschutzverletzung mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen ist im Hinblick auf transparente Information und der Möglichkeit zur Ergreifung eigener Schutzmaßnahmen die betroffene Person vom Verantwortlichen unverzüglich zu benachrichtigen.

Die Benachrichtigung hat in klarer und einfacher Sprache die Art der Datenschutzverletzung und zumindest die, in den Punkten 2. – 4. angeführten Informationen der Meldung an die Aufsichtsbehörde zu enthalten.

Eine Benachrichtigung der betroffenen Personen ist nicht erforderlich, wenn

  1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und die von der Verletzung betroffenen personenbezogenen Daten dadurch unzugänglich gemacht wurden, etwa durch Verschlüsselung,
  2. der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
  3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

Die Benachrichtigung sollte neben der Beschreibung der Datenschutzverletzung auch Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen für die betroffene Person enthalten. Empfehlenswert ist aus Sicht des Verantwortlichen zudem eine enge Absprache der Vorgehensweise mit der Aufsichtsbehörde bzw Strafverfolgungsbehörden. Auch hierbei fungiert ein Datenschutzbeauftragter als Anlaufstelle für die mit dem Datenschutzvorfall befassten Behörden.

Im konkreten, oben angeführten Fall, wurden vom Verantwortlichen als unmittelbare Sicherheitsmaßnahme die Passwörter der Kunden im Webshop außer Kraft gesetzt. Diese Maßnahme ist insofern bemerkenswert, da sie die Vermutung nahelegt, dass, im schlimmsten Fall, ungeschützte Kundenpasswörter ebenfalls entwendet wurden. Angesichts der Angewohnheit zahlreicher Internetnutzer gleiche Anmeldedaten bei verschiedenen Online-Shops zu verwenden, würde das Risiko für einen etwaigen Identitätsbetrug erheblich erhöht werden.

Pflichten für Facebook-Seiten Betreiber

Viele Unternehmen, große und kleine, nutzen Soziale Medien wie Facebook, Google+ ua um ihre Marktpräsenz zu erweitern. Im konkreten Fall stellt sich die Frage, inwieweit man als Betreiber einer betrieblichen Facebook-Seite bzw Facebook-Gruppe im Sinne der DSGVO verantwortlich und haftbar ist.

Grundsätzlich ist also mal zu klären, ob man als Betreiber einer Facebook-Seite auch Verantwortlicher im Sinne der DSGVO ist. Wenn ja, welche Aufgaben und Pflichten erwachsen mir daraus? Und wie kann ich sicherstellen, dass die Verarbeitung von personenbezogenen Daten der Benutzerinnen und Benutzer auch rechtmäßig erfolgt? Eigentlich sind es ja eine ganze Menge mehr an Fragen, die man sich in diesem Zusammenhang stellen kann. Aber ich konzentriere mich jetzt einmal auf diese 3 Kernfragen.

Betreiber einer Facebook-Seite als Verantwortlicher?

Schon diese Frage lässt sich derzeit nicht eindeutig beantworten. Tatsächlich ist sie Gegenstand eines laufenden Verfahrens beim Europäischen Gerichtshof (Rechtssache C-210/16), bei dem es um die Verantwortung des Seiten-Betreibers für Datenschutzverstöße bei der Nutzung von Facebook geht. Folgt man dem Generalanwalt des EuGH, dann ist nämlich neben Facebook in den USA und Europa auch der jeweilige Seiten-Betreiber als (mit)verantwortlich für die Verarbeitungsphase der Erhebung personenbezogener Daten durch Facebook auf der Seite/Gruppe zu sehen. Für den Seiten-Betreiber gelte eine (Mit)Verantwortlichkeit als Administrator der Seite/Gruppe, zumindest für die Phase der Erhebung der Daten. Nationale Instanzen in Deutschland hat diese Mitverantwortung des Seitenbetreibers zuvor klar verneint. Faktum ist, solange der EuGH hier keine  Entscheidung getroffen hat, bleibt die Antwort auf die Frage der Verantwortlichkeit des Seitenbetreibers zumindest offen. Sicherheitshalber sollte man aber beim Betrieb einer Facebook-Seite/Gruppe von einer Rolle als (Mit-)Verantwortlicher ausgehen.

Tolle Übersicht zu dem Thema finden Sie auch bei https://www.dataprotect.at/facebook-fanpages-ga/.

Aufgaben und Pflichten als Seitenbetreiber

Gemeinsam für die Verarbeitung Verantwortliche haben nach Art 26 DSGVO in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche datenschutzrechtlichen Verpflichtungen zu erfüllen hat. Insbesondere ist klarzustellen, wer von ihnen welchen Aufgaben bei der Erfüllung von Betroffenenrechten und Informationspflichten bei der Erhebung der Daten nachzukommen hat. Die wesentlichen Inhalte der Vereinbarung sind der betroffenen Person zur Verfügung zu stellen. Ungeachtet der Einzelheiten der Vereinbarung kann die betroffene Person ihre Rechte bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Empfehlungen für Seitenbetreiber

Seitenbetreiber haben sich idR beim Einrichten der Facebook-Seite/Gruppe den Nutzungsbedingungen von Facebook zum Betrieb von Seiten, Gruppen und Veranstaltungen zu unterwerfen. Die Nutzungsbedingungen legen ua fest, dass bei der Nutzung der Seite/Gruppe, eine direkte Datenerhebung durch den Betreiber, und nicht durch Facebook, erfolgt. Der Betreiber hat lt Facebook auch sicherzustellen, dass die Verarbeitung der Daten rechtmäßig erfolgt. Facebook geht sogar soweit zu verlangen, dass der Betreiber alle erforderlichen Einwilligungen („all necessary permissions“) für die Wiederverwendung sicherzustellen hat. Durch wenn die Wieder- oder Weiterverwendung der erhobenen Daten zulässigerweise erfolgen kann, bleibt unklar.

Nachfolgende Empfehlungen seien Seitenbetreibern und Gruppen-Admins nahegelegt (Kein Anspruch auf Vollständigkeit):

  • Einbindung einer eigenen Datenschutzerklärung auf der eigenen Facebook-Seite/-Gruppe;
  • Die Datenschutzerklärung sollte zumindest nachfolgende Informationen enthalten, den Namen und die Kontaktdaten des Verantwortlichen, Zweck und Rechtsgrundlage für die Verarbeitung der Daten, die Speicherdauer, Informationen zu Betroffenenrechten, insbes. Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit. Zusätzlich noch das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, Informationen zur Erforderlichkeit der Bereitstellung und den Folgen einer Nichtbereitstellung der Daten. Siehe dazu auch Art 13 DSGVO;
  • Festlegung welche Aufgaben bei der Erfüllung von Betroffenenrechten man als Betreiber selbst wahrnehmen kann;
  • Hinweis darauf, dass eine Weiterverwendung der Daten durch Facebook stattfindet;
  • Nutzung eines eigenen, mit starkem Passwort gesicherten Accounts für den Betrieb der Seite;
  • Datenschutzfreundliche Voreinstellungen bei den Statistiken für die Seite/Gruppe, wie Page Insights;
  • Hinweis und Link zu den DSGVO-Informationen von Facebook als Ergänzung zur eigenen Datenschutzerklärung;

Im laufenden Verfahren vor dem EuGH ist in den nächsten Monaten mit einem Urteil zu rechnen. Natürlich werden wir dann, wieder über das Thema berichten.

Getagged mit: , , ,

Informationspflicht des Verantwortlichen, Teil 1

Die DSGVO regelt eine Reihe von Mitteilungs- und Informationspflichten für den Verantwortlichen zum Schutz der Rechte der betroffenen Personen. Im Rahmen unserer Tätigkeit als Datenschutzdienstleister bzw Datenschutzbeauftragter sind wir des öfteren in die Planung und Umsetzung von Maßnahmen zur Erfüllung der datenschutzrechtlichen Informationspflichten  eingebunden. In der mehrteiligen Artikelserie „Informationspflichten des Verantwortlichen“ setzen wir uns für Sie mit den erforderlichen Inhalten zur rechtskonformen Umsetzung der Informationspflichten in verschiedenen Verarbeitungsszenarien auseinander.

Informationspflicht – Die Rechtsgrundlage

Die Informationspflicht des Verantwortlichen wird als Recht des Betroffenen im Kapitel III der DSGVO geregelt. Dort heißt es unter anderem:

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde. (Art 12 Abs 1 DSGVO)

Artikel 13 und 14 betreffen die Informationspflicht bei der Erhebung von personenbezogenen Daten bei bzw nicht bei der Person. Artikel 15 bis 22 beziehen sich auf einzelne Betroffenenrechte wie das Auskunfts-, Berichtigungs-, Löschungs- und Verarbeitungseinschränkungsrecht, einschließlich damit verbundener Mitteilungspflichten des Verantwortlichen, die Rechte auf Datenübertragbarkeit und Widerspruch  sowie das Recht des Betroffenen nicht ausschließlich einer automatisierten Verarbeitung unterworfen zu werden. Art 34 DSGVO beschreibt die Informationspflichten gegenüber dem Betroffenen bei Datenschutzverletzungen.

Im Teil 1 widme ich mich der DSGVO-Informationspflicht bei der Erhebung von Daten direkt beim Betroffenen. Für diesen Fall hat der Verantwortliche dem Betroffenen beim Zeitpunkt der Erhebung nachfolgende Daten mitzuteilen:

Informationspflicht bei der
Erhebung von Daten direkt beim Betroffenen

Bei der Erhebung von Daten direkt beim Betroffenen hat der Verantwortliche nachfolgende Daten zur Verfügung zu stellen.

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  4. wenn die Verarbeitung zur Wahrung der überwiegenden berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln. Anmerkung: In diesem Fall sind noch weitere Aspekte zu beachten.

Um eine faire und transparente Verarbeitung zu gewährleisten, muss der Verantwortliche dem Betroffenen noch weitere Informationen zur Verfügung stellen:

  1. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  2. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung, Löschung oder Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  3. wenn die Verarbeitung auf Grund einer Einwilligung des Betroffenen beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  4. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  5. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  6. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Beabsichtigt der Verantwortliche zB zu einem späteren Zeitpunkt die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten, so hat er den Betroffenen vor der Weiterverarbeitung über den neuen Zweck und alle anderen maßgeblichen Umstände zu informieren.

Die Informationspflicht entfällt, wenn die betroffene Person bereits über die Information verfügt.

 

Top