Office 365 – DSGVO-konforme Verwendung im Unternehmen?

Microsoft Office hat sich über Jahrzehnte hinweg als Standardanwendung für Bürotätigkeiten etabliert und eine Verzicht auf den Einsatz der Microsoft-Programme ist für viele Unternehmen einfach undenkbar.

Aus Datenschutzsicht ist der Einsatz der cloud-basierten Büroanwendungen Office 365 jedoch nicht unbedenklich. Zum einen wird vermutet, dass US-Geheimdienste Zugriff auf Anwenderdaten auch in der Europäischen Union haben. Zum anderen können zB Office-365-Administratoren exakt sehen, welche Aktionen einzelne Anwender in ihren E-Mail-Konto ausführten.

Microsoft Office 365 ist eine Kombination bestehend aus einem Online-Dienst, einer Office-Webanwendung und einem Office-Software-Abonnement. Enthalten sind dabei bekannte Programme wie Outlook, Word, Excel, PowerPoint, Access und Publisher, sowie der Cloud-Speicher-Dienst OneDrive. Microsoft bietet Office 365 in mehreren Tarifen und Editionen an, wobei die Varianten für Non-Profit-Organisationen und Behörden jenen der Business-Essentials-, Business-Premium- und der Enterprise-Varianten entsprechen:

Datenschutz-Folgenabschätzung für Office 365

Das Niederländische Ministerium für Justiz und Sicherheit gab zum Einsatz von Office 365 eine Datenschutz-Folgenabschätzung in Auftrag. Darin stellte das beauftragte Unternehmen Ende 2018 fest, dass der Einsatz von Office 365 nicht mit dem geltenden Datenschutzrecht in Einklang gebracht werden könne.

Dabei kritisierte man acht Punkte, zu denen unter anderem die Intransparenz und Nichteinstellbarkeit der Übermittlung von Diagnosedaten gehörten, sowie eine exzessive Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft. [1]

Nach erneuten Verhandlungen hat das Niederländische Ministerium nun eine aktualisierte Version der Datenschutz-Folgenabschätzung veröffentlicht. Es handelt sich dabei ausschließlich um eine Bewertung der Office 365 ProPlus Version 1905 als Installation. Die mobilen Anwendungen und Web-Zugänge für Office wurden in einer gesonderten Prüfung als datenschutzrechtlich unzulässig erachtet.

Die neuerliche Datenschutz-Folgenabschätzung zu Office 365 ProPlus Version 1905 hingegen kam zu dem Ergebnis, dass dessen Einsatz in Hinblick auf die im konkrten Einzelfall zwischenzeitlich getroffenen Maßnahmen zur Minimierung des hohen Datenschutzrisikos wohl zulässig sein wird.

Quelle:

[1] Datenschutz & Office 365: DSGVO-konformer Einsatz im Unternehmen?
https://www.datenschutzbeauftragter-info.de/datenschutz-office-365-dsgvo-konformer-einsatz-im-unternehmen/

Aktualisierte Version der Datenschutz-Folgenabschätzung für Office 365 ProPlus; https://www.government.nl/documents/publications/2019/07/22/dpia-office-365-proplus-version-1905

Anmerkungen

  • Der standardmäßige Einsatz von Office 365 Installationen im Unternehmen ist aus datenschutzrechtlicher Sicht mit hoher Wahrscheinlichkeit unzulässig;
  • Ein datenschutzkonformer Einsatz von einer Office 365 Installation im Unternehmen ist im Einzelfall immer abhängig von den – nach einer Datenschutz-Folgenabschätzung – getroffenen Maßnahmen zur Reduktion des Datenschutzrisikos;
  • Empfehlungen für den DSGVO-konformen Betrieb einer Office 365 Installation sind den oa Quellen zu entnehmen;
  • Die mobilen Anwendungen und Web-Zugänge für Office werden als datenschutzrechtlich unzulässig erachtet.

800 Euro Schadenersatz bei unrechtmäßiger Datenverarbeitung

Einem Bericht der Recherche-Plattform addendum zu Folge, hat das LG Feldkirch die österreichische Post AG zu einem immateriellen Schadenersatz von 800 Euro (nicht rechtskräftig) verurteilt.

Die Post AG hatte als Datenhändler sogenannte Parteiaffinitäten von Millionen Kunden berechnet und gespeichert. Das heißt, bestehende Kundendaten wurden mit Präferenzen zu einer möglichen Parteinähe erweitert und zB an wahlwerbende Parteien verkauft. Als die Datenschutzbehörde feststellte, dass die Post diese sensiblen Daten nicht hätte speichern und schon gar nicht verkaufen dürfen, kündigte das Unternehmen an, sensible Daten zur politischen Meinung aus ihren Datensätzen zu löschen.

Da die Post weiterhin bestritt, dass es sich bei den Parteiaffinitäten um sogenannte sensible, also besonders zu schützende, Daten handle, klagte ein Vorarlberger Anwalt die Post im März auf immateriellen Schadenersatz über 2.500 Euro.

Anfang Juli wurde der Fall am Landesgericht Feldkirch verhandelt. Das nun ergangene Urteil ist folgenschwer: denn der Betroffene bekam mit seiner Klage recht. Ihm wurden 800 Euro immaterieller Schadensersatz vom Gericht zuerkannt.

Die Begründung im Urteil lautet wie folgt:

„Die Tatsache, dass die beklagte Partei (Anm.: die Post) Parteiaffinitäten des Klägers ohne dessen Einwilligung und Information ermittelt und gespeichert hat, rechtfertigt einen immateriellen Schadenersatz. In Anbetracht der Tatsache, dass es sich einerseits bei der politischen Meinung einer Person um besonders schützenswerte und sensible Daten handelt, andererseits die von der beklagten Partei gespeicherten Parteiaffinitäten des Klägers feststellungsmäßig nicht an Dritte übermittelt wurden, erscheint ein Betrag in Höhe von EUR 800,– zur Abgeltung des vom Kläger erlittenen immateriellen Ungemachs angemessen.“

Sowohl der klagende Anwalt als auch die Post werden gegen das Urteil Berufung einlegen (das rechtskräftige Urteil wird dann für Anfang 2020 erwartet).

Quelle: https://www.addendum.org/datenhandel/schadenersatz/

Anmerkungen

  • Das Gericht hat klar festgelegt, dass die gespeicherten zur personenbezogenen Parteiaffinität unter die besonderen Kategorien personenbezogener Daten fallen;
  • Das Urteil bestätigt nicht nur, dass die Post als Verantwortliche die personenbezogenen Daten ohne dessen Einwilligung und Information nicht hätte verarbeiten dürfen, sondern spricht dem Betroffenen auch einen immateriellen Schadenersatz zu;
  • Dieser Schadenersatz würde aber – geht man von der Argumentation des Gerichts aus – auch allen anderen Betroffenen zustehen, welcher durchaus noch höher ausfallen könnte, wenn die sensiblen Daten auch noch weiterverkauft worden wären;
  • Im Klartext, bei der nicht rechtmäßigen Verarbeitung von personenbezogenen Daten, vor allem bei besonderen Kategorien personenbezogener Daten, besteht ein immaterieller Schadenersatzanspruch der betroffenen Personen. Bei 2.2 Mio betroffenen Personen kommt dabei ein ganz schönes Sümmchen zusammen;
  • Als Konsequenz für Verantwortliche empfiehlt es sich, vor allem jene Verarbeitungstätigkeiten bei denen (besondere Kategorien) von personenbezogenen Daten einer großen Zahl von betroffenen Personen verarbeitet werden, einer sorgfältigen Prüfung in Hinblick die Rechtmäßigkeit der Verarbeitung zu unterziehen.

Auskunftsbegehren: Identifikation des Betroffenen?

Im Zuge von Auskunftsbegehren nach Art 15 DSGVO kommt der eindeutigen Identifikation der betroffenen Person eine zentrale Bedeutung zu. Die Feststellung der Personalien dient zur Abwehr von missbräuchlichen Auskunftsbegehren und soll gewährleisten, dass Auskünfte nur an befugte Personen erteilt werden.

Identifikation bei begründetem Zweifel

Hat der Verantwortliche begründete Zweifel an der Identität der anfragenden Person, so können zur eindeutigen Identifikation der betroffenen Person weitere Informationen angefordert werden. Eine Überprüfung der Identität wird in der Regel nicht erforderlich sein, wenn die Anfrage von einer der betroffenen Person zugeordneten Anschrift oder E-Mail-Adresse kommt.

Mittel zur Identifikation

Wenn Zweifel an der Identität des Antragstellers vorliegen, stellt sich die Frage, welche zusätzlichen Informationen zur Identifizierung angefordert werden können.

Mögliche Verfahren zur Identifikation sind ua die telefonische Abfrage von personenbezogenen Daten wie Geburtsdatum, Mobilfunknummer, Datum und Höhe der letzten Bestellung. Die Vereinbarung einer Sicherheitsabfrage oder die Verwendung einer bereits bekannten postalischen Adresse wie der Rechnungsanschrift kann der Identifizierung dienen. Die Auswahl der Mittel zur Identifizierung des Antragstellers wird wohl auch von der Art der verarbeiteten Daten abhängig sein.

Kann der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten einen Antragsteller nicht identifizieren, so sollte er nicht verpflichtet sein, zusätzliche Daten einzuholen. Allerdings sollte er sich nicht weigern, zusätzliche Informationen entgegenzunehmen, die von der betroffenen Person angeboten werden. Die Überprüfung sollte auch digitale Authentifizierungsverfahren bei dem von dem Verantwortlichen bereitgestellten Online-Dienst einschließen.

Ausweiskopien zur Identifikation

Die Erforderlichkeit von Ausweiskopien, vor allem Kopie von Personalausweis oder Pass, bedarf gesonderter Prüfung und in der Regel der Einwilligung des Betroffenen. Gegebenenfalls genügt bereits die Vorlage des Ausweises und ein entsprechender Vermerk. Nach deutscher Rechtslage ist eine etwaige Ablichtung (auch Scan) des Ausweises eindeutig und dauerhaft als Kopie zu kennzeichnen. Die Ausweiskopie darf vom Verantwortlichen nicht an Dritte weiter gegeben werden und ist nach Überprüfung der Daten bzw erfolgter Identifikation zu vernichten. Der Betroffene ist darauf hinzuweisen, dass für die Identifikation nicht benötigte Informationen geschwärzt werden können.

Anmerkung: Aus persönlicher Sicht halte ich die Anforderung von Ausweiskopien zur Identitätsfeststellung für problematisch. In der Regel stellt dies eine zusätzliche Datenerhebung statt, wobei rechtlich unklar ist, ob neben der Einwilligung des Betroffenen auch andere Erlaubnistatbestände für die Verarbeitung der Ausweisdaten herangezogen werden können. In Hinblick auf bestehende alternative Möglichkeiten zur Identitätsfeststellung könnte bei der Verarbeitung der Ausweisdaten möglicherweise auch ein Verstoß gegen den Grundsatz auf Datenminimierung vorliegen.

Keine Identifizierung bei Negativauskünften

Bei reinen Negativauskünften ( dh keine personenbezogenen Daten zu möglichen Identitäten gespeichert) ist eine Identifizierung nicht erforderlich.

Keine Auskunft bei fehlender Identifizierung

Kann der Verantwortliche die betroffene Person nicht identifizieren, dann kann er sich weigern, das Auskunftsbegehren zu erfüllen.

GPS-Ortung von Firmenfahrzeugen unzulässig

Zur Vorgeschichte der GPS-Ortung. Die Niedersächsische Datenschutzaufsichtsbehörde hatte ein Bußgeld gegenüber einer Reinigungsfirma erlassen, die ihre Firmenfahrzeuge mit einem GPS-Ortungssystem überwacht. Die Überwachung war nach den Auffassungen der Aufsichtsbehörde eine nicht erforderliche Verarbeitung von Beschäftigtendaten. Die Firma erhob daraufhin eine Anfechtungsklage beim zuständigen Verwaltungsgericht.

Zweck der GPS-Ortung

Die Reinigungsfirma gab in der Anfechtungsklage an, dass die GPS-Ortung dazu dienen würde, die Touren der Beschäftigten zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber Auftraggebern zu erbringen und die Fahrzeuge vor Diebstahl zu schützen bzw. gestohlene Fahrzeuge wieder aufzufinden. Außerdem werde damit ein Wochenendfahrtverbot und das Verbot der Privatnutzung durchgesetzt. Die GPS-Ortung sei dafür erforderlich, da kein milderes, gleich wirksames Mittel verfügbar sei..

Das Gericht prüfte daraufhin zwei Erlaubnistatbestände bei Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Zum einen, ob die Verarbeitung erforderlich zur Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses ist, zum anderen, ob die Beschäftigten in die Verarbeitung eingewilligt hatten.

Erforderlichkeit der GPS-Ortung

Die im Rahmen der Anfechtungsklage von der Reinigungsfirma angeführten Begründungen für die Erforderlichkeit der GPS-Überwachung der Firmenfahrzeuge wurden vom Gericht allesamt abgewiesen.

Das Gericht stellte in seinem Urteil fest, dass die Verarbeitung von Positionsdaten der Beschäftigten im Rahmen der ordnungsgemäßen betrieblichen Nutzung der Firmenfahrzeuge durch das von der Klägerin eingerichtete Ortungssystem nicht im Einklang mit dem nach deutschen Datenschutzrecht zu gewährleistenden Beschäftigtendatenschutz steht.

Einwilligung der Beschäftigten

Die Reinigungsfirma legte im Rechtsstreit zwar einige „Einwilligungserklärungen“ der Beschäftigten vor. Die meisten davon erfüllten jedoch nicht die datenschutzrechtlichen Voraussetzungen für eine wirksame Einwilligung im Beschäftigtenverhältnis. Diese Erklärungen erfüllten entweder nicht die notwendigen Informationspflichten oder es fehlte die Belehrung über das Widerrufsrecht der Betroffenen. Die Klägerin konnte demnach die Verarbeitung auch nicht auf eine Einwilligung stützen.

Anmerkungen

  • Das Urteil bezieht sich in Hinblick auf den Beschäftigtendatenschutz auf die deutsche Rechtslage nach dem BDSG, welche, im Gegensatz zum österreichischen DSG, explizite Regelungen für den Schutz von personenbezogenen Daten von Beschäftigten enthält. Somit wäre in Österreich eine Prüfung der Rechtmäßigkeit der GPS-Ortung nach der DSGVO erforderlich.
  • Die Entscheidung verdeutlicht, dass es, in Hinblick auf die Rechtmäßigkeit einer GPS-Überwachung, nicht nur auf die Verarbeitung an sich ankommt, sondern ganz entscheidend auch auf den Zweck und die Umstände der jeweiligen Verarbeitung. Die im Urteil angeführten Entscheidungsgründe bilden somit einen praxisgerechten Kriterienkatalog für Unternehmen, die ihre Fahrzeugflotte mittels GPS orten wollen.
  • Grundsätzlich ist es unbedingt empfehlenswert, die Zulässigkeit der GPS-Überwachung von Firmenfahrzeugen immer im Einzelfall zu prüfen.

Quelle:

Recht auf Auskunft: Umfang der Kopie der Daten

Ein im April 2019 bekannt gewordenes arbeitsgerichtliches Urteil aus Deutschland liefert Anlass sich genauer mit dem Recht auf Auskunft für betroffenen Personen auseinanderzusetzen.

Das LAG Baden-Württemberg hat einen namhaften deutschen Automobilkonzern verurteilt, einem langjährigen Mitarbeiter „eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten, die Gegenstand der vom Arbeitgeber vorgenommenen Verarbeitung sind, zur Verfügung zu stellen.“

Recht auf Kopie

Das Recht auf Kopie ist Bestandteil des Auskunftsrechts nach Art. 15 DSGVO und ergänzt dieses mit der eine Verpflichtung des Datenverarbeiters, dem Betroffenen „eine Kopie der personenbezogenen Daten“, zur Verfügung zu stellen, „die Gegenstand der Verarbeitung sind“.

Das Recht auf eine Kopie lässt sich so verstehen, dass dem Betroffenen jede E-Mail in Kopie herauszugeben ist, die er je geschrieben oder empfangen hat. Jedes Dokument, jede Notiz und jeder Vermerk, in dem der Betroffene namentlich erwähnt wird, wäre davon umfasst. Selbst wenn der Betroffene in einer Mail weder namentlich noch als Absender oder Empfänger in Erscheinung tritt, kann sich die Mail auf seine Person beziehen, wenn die Mail sich zu Vorgängen verhält, an denen der Betroffene beteiligt war.

Die im Urteil angeführten “Leistungs- und Verhaltensdaten“ sind schwammige Begriffe und erreichen im Rahmen eines Beschäftigungsverhältnisses schnell einmal umfangreiche Ausmaße. In Akten und E-Mails, in Vermerken und Protokollen werden sich zahlreiche personenbezogene Daten zu einem Beschäftigten finden, die sich als „Leistungsdaten“ oder „Verhaltensdaten“ bezeichnen lassen.

Anmerkungen

  • Das Recht auf Auskunft in Verbindung mit dem Recht auf Kopie kann sich in arbeitsrechtlichen Auseinandersetzungen mit Arbeitnehmern zum wahren Albtraum für jeden Verantwortlichen entwickeln. Zu befürchten ist etwa, dass Prozessbeteiligte die DSGVO demnächst trickreich nutzen werden, um Druck auf Arbeitgeber in Hinblick auf einen günstigen Prozessausgang auszuüben;
  • Das Gericht hat im Urteil recht ausführlich erwogen, ob sich wegen überwiegender Geheimhaltungsinteressen des Arbeitgebers möglicherweise Einschränkungen des Rechts auf Kopie ergeben können, dies jedoch im konkreten Fall verneint, da es an hinreichend konkretem Sachvortrag zu diesen Geheimhaltungsinteressen fehlte. Auch § 4 DSG schränkt das Auskunftsrecht ein, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.
  • Nicht befasst hat sich das Gericht mit Zumutbarkeitsgrenzen beim Recht auf Kopie. Vieles spricht nach Meinung deutscher Datenschutzexperten dafür, Zumutbarkeitsregelungen bei der Informationspflicht analog auf das Recht auf Kopie anzuwenden. Dies würde zwar das Recht auf Kopie nicht vollständig ausschließen, ermöglicht jedoch in jedem Einzelfall eine Abwägung zwischen dem Aufwand, den ein Ersuchen für den Verantwortlichen bedeutet, und dem Nutzen, den der Betroffene aus den Kopien ziehen kann.

Amtswegiges Prüfverfahren der Datenschutzbehörde

Die Datenschutzbehörde hat nach einem amtswegigen Prüfverfahren wegen Verletzungen von Pflichten nach der DSGVO einen rechtskräftigen Bescheid erstellt, der interessante Einblicke in die Vorgehensweise bei aufsichtsbehördlichen Ermittlungen gibt.

Ausgangspunkt des Verfahrens war die Meldung einer Datensicherheitsverletzung durch den im Gesundheitsbereich tätigen Verantwortlichen bei der Datenschutzbehörde.

Ermittlungsschwerpunkte

Die Behörde nahm die Meldung zum Anlass, vom Verantwortlichen nachfolgende Informationen bzw Unterlagen einzufordern:

  • das Verzeichnis der Verarbeitungstätigkeiten;
  • die an die Betroffenen auszuhändigenden Datenschutzerklärungen;
  • Bekanntgabe, ob bzw. unter welchen Umständen Daten nicht direkt bei der betroffenen Person ermittelt werden;
  • die Gründe zu nennen, warum kein Datenschutzbeauftragter benannt wurde;
  • die von der Verantwortlichen durchgeführten Datenschutz-Folgenabschätzungen (DSFA), oder die Gründe bekannt zu geben, warum DSFA aus Sicht der Verantwortlichen unterbleiben durfte(n);
  • die Gründe zu nennen, warum (auf der Website des Verantwortlichen) ein Hinweis auf Cookies unterbleiben dürfte bzw. ein Opt-Out nicht vorzusehen war;
  • soweit keine DSFA vorzunehmen war, bekannt zu geben, welche Datensicherheitsmaßnahmen bestehen und welche Datenminimierungsmaßnahmen ergriffen wurden bzw. werden;
  • soweit sich dies nicht aus dem Verzeichnis ergibt, die Speicherdauer der Daten bekannt zu geben und mitzuteilen, ob eine Speicherung in Cloud-Diensten oder auf Servern im EWR oder in Drittländern stattfindet;
  • Auftragsverarbeiter und Übermittlungsempfänger bekannt zu geben;
  • die gemäß § 30 Abs. 3 DSG und die gemäß § 9 Verwaltungsstrafgesetz 1991 (VStG) bestellte Person bekannt zu geben.

Gegenstand der Datenschutzüberprüfung war, ob bzw. inwiefern die Verpflichtungen der DSGVO durch die Verantwortliche eingehalten werden. Der Maßstab der Prüfung bezog sich auf die von der Behörde vermuteten Datenschutzverletzungen und auf die Tatsachen, die durch die Überprüfung hervorkamen.

Bei der Überprüfung nutzte die Behörde ua mehrere Ermittlungsansätze ua “wurden (Beweise) aufgenommen durch die Eingaben der Verantwortlichen samt Beilagen sowie aufgrund des Amtswissens der Behörde und amtswegigen Recherchen auf der Webseite (sic!) der Verantwortlichen.

Im Ergebnis wurde dem Verantwortlichen aufgetragen, die beanstandeten Pflichtverletzungen innerhalb einer achtwöchigen Frist bei sonstiger Exekution zu beheben.

Quelle: GZ: DSB-D213.692/0001-DSB/2018 vom 16.11.2018

Anmerkungen

  • Im konkreten Fall hat die Behörde das Prüfverfahren vor allem deshalb eingeleitet, weil “in den Meldungen der Verletzung der Datensicherheit jeweils lediglich ein „Datenschutz-Koordinator“ benannt wurde”. Das könnte ein Hinweis darauf sein, dass die Behörde, die immer wieder geübte Praxis, anstelle eines Datenschutzbeauftragten einen Datenschutz-Koordinator zu benennen, durchaus kritisch sieht und zum Anlass nimmt, ein Prüfverfahren einzuleiten.
  • Im Zuge des Prüfverfahren stellte die Behörde zudem fest, dass der Verantwortliche mit einem eingesetzten Online-Formular betroffene Personen zu einer gesetzwidrigen Einwilligung verpflichtete.
  • Ein Verweis auf Cookies auf der Impressum-Seite, ein Hinweis-Text zum Datenschutz und ein Cookie-Hinweis-Banner auf der Startseite von der Behörde bei der Verwendung von Cookies auf der Website als ausreichend angesehen wird.
  • Die Erfüllung der Nachweis- und Rechenschaftspflichten des Verantwortlichen überprüfte die Behörde durch das Verlangen auf Vorlage nachfolgender Dokumentationen: Verarbeitungsverzeichnis, Datenschutzerklärungen, Dokumentation der Datensicherheitsmaßnahmen, Datenschutzfolgenabschätzungen und Auftragsverarbeitungen.
  • Die gesetzte Frist von 8 Wochen zur Beseitigung der beanstandeten Pflichtverletzungen ist ambitioniert.

Was tun bei einem Datenschutzvorfall?

Bei einem Hinweis auf eine mögliche Datenschutzverletzung ist der Vorfall unverzüglich zu dokumentieren und bei einem Risiko für die Rechte und Freiheiten von Personen der Datenschutzbehörde zu melden.

Als Unterstützung für die Dokumentation stellen wir Ihnen gerne unser Tool zur Meldung einer Datensicherheitsverletzung zur Verfügung.

Meldepflicht bei Datenschutzverletzung

Die irische Datenschutzbehörde (DPC Irland) hat in ihrem kürzlich veröffentlichten Jahresbericht einen Einblick über die Meldungen einer Datenschutzverletzung gegebenen.

Interessant ist nicht nur die – im Berichtszeitraum (05 – 12.2018) – deutlich gestiegene Anzahl von Meldungen (3.687, +27% im Vergleich zu 2017), sondern auch die im Bericht vorgenommenen Klassifikation der Arten von gemeldeten Datenschutzverletzungen.

Arten von Datenschutzverletzungen

Erstaunliche 85 Prozent der Datenschutzverletzungen erfolgten durch die Offenlegung von personenbezogenen Daten an nicht autorisierte Empfänger.

Weitere meldepflichtige Datenschutzverletzungen erfolgten durch

  • Verlust von nicht-verschlüsselten Datenträgern, zB USB-Sticks
  • Verlust oder Diebstahl bzw der unsachgemäßen Entsorgung von Papierdokumenten
  • Datenschutzverletzungen in der Folge von erfolgreichen Hacking-Angriffen oder Phishing Mails

Meldepflicht bei Datenschutzverletzung

Artikel 33 DSGVO sieht bei Verletzung des Schutzes personenbezogener Daten eine Meldepflicht für den Verantwortlichen vor. Die Meldung hat möglichst binnen 72 Stunden, nach Bekanntwerden, bei der Aufsichtsbehörde zu erfolgen. Eine Ausnahme von der Meldepflicht besteht nur dann, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.

Die Meldung an die Aufsichtsbehörde hat gesetzlich festgelegte Mindestinformationen zu enthalten. Falls nicht alle Informationen zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche die Informationen ohne unangemessene weitere Verzögerung der Aufsichtsbehörde schrittweise zur Verfügung stellen.

Dokumentationspflicht bei Datenschutzverletzung

Darüber hinaus ist der Verantwortliche stets verpflichtet, alle aufgetretenen Datenschutzverletzungen einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und ergriffener Abhilfemaßnahmen zu dokumentieren. Diese Dokumentation ist der Aufsichtsbehörde, nach Aufforderung, zugänglich zu machen.

Schulung und internes Meldeverfahren

Zentrale Bedeutung bei der Erfüllung der Meldepflichten bei Datenschutzverletzungen ist die Schulung und Sensibilisierung der mit personenbezogenen Daten befassten Mitarbeiter. Der Verantwortliche ist gut beraten, die Mitarbeiter für die Erkennung von möglichen Datenschutzverletzungen zu schulen und ein Verfahren zur internen Meldung eines entsprechenden Vorfalls vorzusehen.

Zur internen Erhebung und Dokumentation von Infomationen zu einer etwaigen Datenschutzverletzung steht Ihnen unser Datenschutz-Tool „Meldung einer Datenschutzverletzung“ zur Verfügung.

Risikoabwägung und Schadensabwehr

In der Folge hat durch den Verantwortlichen, nach Möglichkeit, in Abstimmung mit dem Datenschutzbeauftragten unverzüglich eine dreistufige Risikoabwägung (kein Risiko, Risiko oder Hohes Risiko) hinsichtlich der Auswirkungen des Vorfalls auf die Rechte und Freiheiten natürlicher Personen durchzuführen und dessen Ergebnis schriftlich festzuhalten. Zusätzlich sind alle auf den Vorfall bezogenen Fakten und ergriffenen Abwehrmaßnahmen zu dokumentieren.

Meldung bei der Aufsichtsbehörde

Bei einem bestehenden Risiko für die Rechte und Freiheiten der betroffenen Person hat der Verantwortliche, binnen 72 Stunden, die Datenschutzverletzung an die zuständige Aufsichtsbehörde zu melden. In Österreich erfolgt die Meldung an die Datenschutzbehörde, welche dafür auf ihrer Website ein entsprechendes Formular zur Verfügung stellt.

Links

Hohes Bußgeld wegen unzureichender Datensicherheit

Die portugiesische Datenschutz-Aufsichtsbehörde CNPD hat ein Bußgeld in der Höhe von 400.000 Euro gegen ein Krankenhaus verhängt. Nach einem kürzlich veröffentlichten Artikel der IAPP erfolgte die Strafe wegen der Verletzung von Grundsätzen der Verarbeitung von personenbezogenen Daten und unzureichender Datensicherheitsmaßnahmen.

Verstöße gegen die DSGVO

In der Begründung für die Verhängung des Bußgelds wurden drei Verstöße gegen die DSGVO genannt:

  • Verstoß gegen den Grundsatz der Datenminimierung (Art 5 DSGVO (1) c)
  • Verletzung des Grundsatzes der Integrität und Vertraulichkeit
    (Art 5 DSGVO (1) f)
  • Fehlende bzw unzureichende Maßnahmen zur Sicherheit der Verarbeitung (Art 32 DSGVO (1) b)

In Hinblick auf die Planung und Umsetzung eigener datenschutzkonformer Prozesse sowie technischer und organisatorischer Maßnahmen zur Datensicherheit sind vor allem die von der Aufsichtsbehörde bei der Bemessung der Bußgeldhöhe aufgedeckten Mängel interessant.

Fehlende Dokumentation von Benutzerprofilen

Die Aufsichtsbehörde stellte fest, dass wegen fehlender Dokumentation der Aufgaben und Zugriffsrechten einzelner Benutzer nicht nachvollziehbar war, in wie weit bestehende Zugangsrechte für einzelne Benutzer auch berechtigt bzw erforderlich waren.

So hatten 9 Techniker einen uneingeschränkten Zugang zu den für Medizinern vorbehaltenen Informationen im Krankenhaussystem. Zudem bestand für alle Mediziner, unabhängig von ihrer Fachrichtung, zu jeder Zeit ein Zugang zu allen Patienteninformationen im gesamten Krankenhaus.

Mängel bei der Benutzerverwaltung

Die Aufsichtsbehörde stellte zudem fest, dass insbes in Hinblick auf die Erstellung und Löschung von Benutzern gravierende Mängel bei der Benutzerverwaltung bestanden.

Im System gab es 985 Benutzer mit dem Profil „Doktor“. Im Krankenhaus selbst waren aber nur 296 Doktoren beschäftigt. Insgesamt gab es nur 18 inaktive Benutzerkonten, von denen das letzte im November 2018 deaktiviert worden war.

Faktoren bei der Bußgeld-Festlegung

Bei der Strafbemessung zog die Aufsichtsbehörde nach Art 83 (2) DSGVO insbes Art, Schwere und Dauer des Verstoßes sowie die Art, den Umfangs oder ds Zweck der betreffenden Verarbeitung sowie die Zahl der von der Verarbeitung betroffenen Personen in Betracht.

Eine Rolle bei der Bußgeldbemessung spielte selbstverständlich auch, dass es sich bei den verarbeiteten Daten um Gesundheitsdaten handelte, welche zur besonderen Kategorie von personenbezogenen Daten zählen.

Als Gründe für eine Bußgeldminderung sah die Aufsichtsbehörde ua die bei den Ermittlungen gezeigte Kooperationsbereitschaft und bisherige Unbescholtenheit des Verantwortlichen sowie dessen Maßnahmen zur Eindämmung von Schäden bei betroffenen Personen an.

Empfehlungen

In Hinblick auf die Planung und Entwicklung eines eigenen rechtskonformen Datenschutz Management Systems sind nachfolgende Maßnahmen empfehlenswert:

  • Prüfung und Dokumentation bestehender Zugangs- und Zugriffsrechte hinsichtlich ihrer Erforderlichkeit zur Erfüllung von Benutzeraufgaben;
  • Regelungen zur Erstellung und Löschen von Benutzerprofilen, insbes im Zusammenhang mit der Beendigung von Beschäftigungsverhältnissen;
  • Regelmäßige Kontrolle bestehender Benutzerprofile in Hinblick auf Rechte und Aktualität;
  • Festlegung von Verantwortlichkeiten für die Kooperation mit der Aufsichtsbehörde;

Datenschutzgrundverordnung – Unwort des Jahres

Datenschutzgrundverordnung wurde jüngst zum Unwort des Jahres 2018 gewählt. Für mich als Datenschutzbeauftragten ist das natürlich ziemlich unverständlich.

Und ich frage mich: Warum nur?

Eine zufriedenstellende Antwort kann ich so schnell nicht finden. Sicher, Diskussionen darüber, ob Namensschilder an Haustüren, digitale Weihnachtswünsche beim Adventkalender oder gar das Versenden von Weihnachtskarten datenschutzrechtlich zulässig seien, haben nicht gerade zur Popularität des Begriffs beigetragen. 

Was war oder ist passiert?

Nun die Einführung der DSGVO im Mai 2018 war begleitet von einer noch nie dagewesenen Hysterie. Mögliche Geldbußen (bis zu 20 Mio Euro und mehr) erzeugten eine beispiellose Umsetzungspanik. Die Vernunft ist dabei vielfach auf der Strecke geblieben. Die Aufregung wurde durch Medien und Berater verstärkt, die nicht müde wurden, mittels überzogener Beispiele und Warnungen die Furcht vor dem Datenschutzmonster noch zu steigern. Gut gemeint, ist eben nicht gut gemacht. 

Dabei scheint es doch so einfach, einen Konsens zur Sinnhaftigkeit und Zweckmäßigkeit der Datenschutzgrundverordnung zu finden.

Ein besserer Schutz von Betroffenen bei der Verarbeitung ihrer eigenen Daten durch Behörden und Unternehmen. Mehr Rechte für Betroffene bei der Durchsetzung persönlicher Ansprüche und für Unternehmen mehr Möglichkeiten durch freien Verkehr von personenbezogenen Daten. Da kann doch wirklich niemand ernsthaft etwas dagegen haben?

Nun wir wissen es alle.  Die DSGVO wird anders wahrgenommen, ganz anders. Die Rede ist vom, Bürokratiemonster mit überbordenden Nachweispflichten, Ressourcenfresser oder gar, existenzbedrohenden Hindernis für Unternehmen. Die Datenschutzgrundverordnung, ungeliebt wie das Rauchverbot in der Gastronomie, die Registrierkasssenpflicht oder Allergenkennzeichnungsverordnung. Nur noch komplizierter und folgenschwerer.

Muss das so sein?

Nein, Hoffnung bringt die eigene Erfahrung bei Datenschutzprojekten. Bei einer praxisbezogenen und firmengerechten Umsetzung kommt nämlich viel Gutes zu Tage. Digitale Prozesse werden dann nicht nur in Hinblick auf auferlegte Datenschutzpflichten betrachtet, sondern auch bezüglich vorhandener Wertschöpfungspotenziale durchleuchtet. Entdecken und aktivieren heißt die Devise. Schnell wächst das Bewusstsein für den Wert von personenbezogenen Daten. Nicht umsonst heißt es, Daten sind das Öl des 21. Jahrhunderts. Proaktive Datenschutzstrategien schaffen zukünftige Erfolgspotenziale und Differenzierungsmerkmale in der digitalen Wirtschaft. Und ein marktgerechter Datenschutz wird zum Aktivposten in der Umweltbilanz des Unternehmens. 

Persönlich wünsche ich mir also für das kommende Jahr mehr Konzentration auf wesentliche Ziele der DSGVO: Rechtmäßige und sichere Verarbeitung von personenbezogenen Daten, mehr Transparenz und Rechte für Betroffene sowie weniger Hysterie und Skurrilität im täglichen Umgang mit einem persönlichen Grundrecht.

Das wird doch machbar sein, Oida, oder?

3. OÖ-Datenschutztag – Ein Rückblick

[smartslider3 slider=5]

Erste Erfahrungen mit der DSGVO

Am 23. Oktober referierten namhafte Datenschutzexperten beim 3. OÖ-Datenschutztag in der Welser Villa Muthesius über erste Erfahrungen und Herausforderungen bei der Umsetzung der seit 25. Mai 2018 zur Anwendung kommenden neuen Datenschutzbestimmungen.

Interessante Expertenvorträge beim Datenschutztag

Mag Ursula Illibauer, Wirtschaftskammer Österreich, berichtete über erste Anzeichen eines wachsenden Unwillens der Wirtschaftstreibenden bei der aufwändigen Umsetzung der zahlreichen Pflichten und Aufgaben aus der DSGVO in der täglichen betrieblichen Praxis. Die anerkannte Datenschutzexpertin verwies dabei auf zahlreiche Hilfsmittel der Wirtschaftskammer, welche allen Verantwortlichen und Auftragsverarbeitern meist kostenlos zur Verfügung stehen und eine weite Verbreitung gefunden haben.

Der Welser IT-Rechtsspezialist Dr Michael Pachinger skizzierte mögliche Haftungsfragen und Schadenansprüche gegenüber den Verantwortlichen bei Datenschutzverletzungen. Der langjährige EuroPrise Experte erörterte zudem Möglichkeiten einer Datenschutzzertifizierung als Nachweis für eine DSGVO-konforme Verarbeitung von personenbezogenen Daten.

Mag Georg Lechner, langjähriger Mitarbeiter der Datenschutzbehörde, betonte mehrmals die Notwendigkeit, dass sich Verantwortliche und Auftragsverarbeiter bei der Verarbeitung von personenbezogenen Daten mit den Anforderungen der DSGVO ernsthaft auseinandersetzen müssten. Besonders wichtig sei dabei, eine nachvollziehbare Dokumentation einzelner Entscheidungen. Die österreichische Datenschutzbehörde würde dann im konkreten Schadensfall für aufgetretene Fehler eher Verständnis zeigen können. Eine völlige Ignoranz der gesetzlichen Bestimmungen aber absolut nicht goutieren.

Mag Sabine Brunner, Datenschutz-Expertin von pwc Legal, sprach über Besonderheiten bei der Verarbeitung von personenbezogenen Daten im Unternehmensverbund und zeigte verschiedene Lösungen für eine rechtskonforme Umsetzung der DSGVO bei der Verarbeitung und Übermittlung von Daten in Konzernen, zB Corporate Binding Rules.

Aussteller zeigten Tools und Geräte

Begleitet wurde die Veranstaltung von einer frei zugänglichen Ausstellung. Hier präsentierten unter anderem das Welser Datenschutz-Start-Up DataReporter das gleichnamige Datenschutz Management Tool mit einer Vielzahl von Funktionen zur Umsetzung von DSGVO-Aufgaben und Pflichten.  Und der Welser Büroausstatter SSI Schäfer Shop zeigte gemeinsam mit seinem Partner HSM unterschiedliche Geräte zur DSGVO-konformen Vernichtung von Akten und Papierdokumenten.

Datenschutztag ein Erfolg

„Der dritte OÖ-Datenschutztag war aus meiner Sicht ein voller Erfolg. Das Feedback der Teilnehmerinnen und Teilnehmer war überaus positiv. Es gibt in Oberösterreich keine vergleichbare Veranstaltung, bei der sie so direkten Kontakt zu namhaften Experten finden können“, zeigte sich Veranstalter Horst Greifeneder vom Welser Büro für Datenschutz & Datensicherheit zufrieden mit dem Verlauf des heurigen Datenschutztages.

Am Ende der Veranstaltung war klar, dass die Anforderungen einer gesetzeskonformen Umsetzung der neuen Datenschutzbestimmungen für Verantwortliche, Auftragsverarbeiter, Datenschutzbeauftragte oder Behörden eine enorme Herausforderung darstellen und noch lange nicht abgeschlossen sein werden.

Top