Wie die DSGVO den Umgang mit Datenpannen neu regelt
Wie die DSGVO den Umgang mit Datenpannen neu regelt Wer eine Datenschutzverletzung beichtet, muss in den sauren Apfel beißen. Schließlich weiß jeder um die Folgen – im schlimmsten Fall sogar arbeitsrechtliche. Darum schweigen manche lieber. Doch dabei ist Vorsicht geboten: Denn seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO). Demzufolge kann das Verschweigen von Datenpannen noch größere Probleme nach sich ziehen. Beispiel-Szenario: ein verschwundener Laptop Ein Laptop samt Kundendaten ist verschwunden. Vielleicht wurde er vor ein paar Tagen einfach im Zug liegengelassen. Das Gerät selbst ist fünf Jahre alt und wurde nur hin und wieder benutzt – wirklich vermissen wird es also niemand. Die Kundendaten im EDV-System sind natürlich noch vorhanden, wer sollte da misstrauisch werden … Also lieber Stillschweigen bewahren? Seit Mai 2018 kann diese Taktik übel enden. Unternehmen in der Meldepflicht Schon vor Inkrafttreten der DSGVO waren Unternehmen dazu verpflichtet, bestimmte Datenpannen an die Datenschutzaufsicht zu melden. Ausgangspunkt dabei: unbefugt übermittelte Daten. Vereinfacht gesagt bedeutet das, dass die Daten zu Unrecht in die Hände von Außenstehenden gelangt sind – was aber nicht ausreichte, um eine Meldepflicht entstehen zu lassen. Vielmehr musste noch hinzukommen, dass „schwerwiegende Beeinträchtigungen“ für die Rechte der Personen drohen, um deren Daten es geht. Bis dato oft keine Meldepflicht Diese Einschränkung führte bisher dazu, dass im Endeffekt häufig keine Meldepflicht besteht. Analog zum oben genannten Beispiel: Ein Laptop geht verloren, die Daten darauf sind jedoch nach dem Stand der Technik verschlüsselt. Dann kann davon ausgegangen werden, dass keine schwerwiegenden Beeinträchtigungen drohen. Die Folge: keine Meldepflicht. DSGVO für neue Meldepflicht-Regelungen Die Regelungen zur Meldepflicht, die sich aus der Datenschutz-Grundverordnung ergeben, wenden das Blatt. Sie kennen o.g. Einschränkungen nicht. Vielmehr muss ein Unternehmen fortan jede „Verletzung des Schutzes personenbezogener Daten“ der Datenschutzaufsicht melden. Diese Meldepflicht ist in keiner Weise eingeschränkt. Das bedeutet: Der Verlust eines Laptops mit personenbezogenen Daten muss auch dann gemeldet werden, wenn wahrscheinlich alles ausreichend verschlüsselt war. Brisant: Meldefrist von 72 Stunden Wer an die Datenschutzaufsicht meldet, hat eine Frist von 72 Stunden zu beachten. Wird sie grundlos überschritten, droht dem Unternehmen bereits ein Bußgeld. Ausreden à la „Unser Mitarbeiter hat uns die Panne intern verschwiegen“ zählen dabei nicht. Die Antwort der Aufsichtsbehörde könnte nämlich lauten: „Dann bringen Sie Ihren Mitarbeitern doch bei, Datenpannen umgehend zu melden.“ Meldungen per Online-Formular In der Praxis wird es darauf hinauslaufen, dass eine Meldung an die Datenschutzaufsicht in der Zukunft häufiger notwendig ist. Die ersten Aufsichtsbehörden, etwa das Bayerische Landesamt für Datenschutzaufsicht, stellen dafür bereits Online-Formulare zur Verfügung. Benachrichtigung der Betroffenen als Ausnahme Ob den Betroffenen, um deren Daten es geht, „etwas passieren“ kann, spielt im Zusammenhang mit der Meldepflicht keine Rolle. Dieser Aspekt wird erst dann wichtig, wenn es um die Benachrichtigung der Betroffenen geht. Sie ist gesondert geregelt in Art. 34 der DSGVO: Die Betroffenen müssen demnach nur dann benachrichtigt werden, wenn ihnen „voraussichtlich ein hohes Risiko droht“. Das Beispiel des verschlüsselten Laptops zeigt wieder, was das in der Praxis heißt: Sind die Daten auf dem Laptop nach dem Stand der Technik verschlüsselt, droht kein hohes Risiko, wenn er Unbefugten in die Hände gerät. Die Folge: Die Betroffenen müssen nicht benachrichtigt werden. Die neuen Spielregeln auf einen Blick Die neuen Spielregeln gelten seit dem 25. Mai 2018 und lassen sich wie folgt zusammenfassen:
|
Datenschutz bei Smartphone-Apps
Während der Corona-Pandemie haben mobile Geräte und Anwendungen noch weiter an Bekanntheit und Beliebtheit gewonnen. Die Zahl der installierten Smartphone- und Tablet-Apps steigt und steigt. Doch wie ist es bestellt um den Datenschutz bei den mobilen Anwendungen? Die Antwort ist nicht immer einfach. Eine App für jedes Thema Soziale Netzwerke, Online-Banking, Handyspiele, Lernplattformen, Büroanwendungen, Antivirenprogramme
Gilt das Auskunftsrecht auch bei Kontoauszügen?
Das wohl wichtigste Recht in der Datenschutz-Grundverordnung (DSGVO) ist das Recht auf Auskunft. Doch auch dieses Recht hat Grenzen. Gutes Beispiel: Kontoauszüge. Das Auskunftsrecht als oberes Gut Bekanntlich hat eine Person ein Recht auf Auskunft über alle Daten, die sie betreffen. Es ist klar, wie wichtig dieses Recht ist. Nur wenn jemand weiß, ob etwa
Schadensersatz bei Datenschutzverstößen
Verletzungen gegen den Datenschutz können schnell zu Schadensersatzansprüchen führen. Wer es also mit den Regeln des Datenschutzes genau nimmt, beugt Streitigkeiten vor. 2.000 € Schmerzensgeld müssen nicht sein Der tägliche E-Mail-Versand geht mit einigen Spielregeln des Datenschutzes einher. Die Devise: Extrem sorgfältig arbeiten! Das hätte ein Mitarbeiter einer Krankenversicherung besser beherzigen sollen. Denn wegen einer
Wenn der Firmen-PC nicht funktioniert: Privatgeräte notfalls nutzbar?
Die Deadline für ein wichtiges Projekt rückt immer näher – doch der Rechner des Arbeitgebers will nicht hochfahren. Da bietet sich schnell die Möglichkeit an, das private Notebook zu nutzen. Schließlich handelt es sich um einen Notfall. Doch wie steht es hierbei um den Datenschutz? Wenn alles zusammenkommt … Um elf Uhr ist Abgabetermin eines
Vertraulichkeit im Datenschutz: Was genau bedeutet das?
Bestimmt ist Ihnen der Begriff „Vertraulichkeit“ geläufig, vielleicht bringen Sie ihn gar mit IT und IT-Sicherheit in Verbindung. Doch ist Vertraulichkeit im Datenschutz auch wirklich das, was Sie darunter verstehen?
Messenger-Apps: Schnell. Einfach. Riskant?
Messenger-Anwendungen wie WhatsApp und Facebook Messenger erfreuen sich starker Beliebtheit beliebt. Kein Wunder, denn sie ermöglichen eine schnelle und unkomplizierte Kommunikation. Doch leider können solche Chat-Programme auch zum Datenrisiko werden – nicht nur bei privater, sondern auch bei beruflicher Kommunikation.
