Was bedeutet Data Breach Notification?

Wie sieht eine Data Breach Notification aus?

• Zu Beginn muss die Art der Datenverletzung detailliert beschrieben werden. Dabei muss angegeben werden, welche Datenkategorien betroffen sind. Außerdem muss sowohl genannt werden, wie viele Personen ungefähr betroffen sind, als auch die Anzahl der personenbezogenen Datensätze.

Beispiel: Verlust eines unverschlüsselten USB-Sticks durch den Geschäftsführer im Zug. Darauf gespeichert: Stammdaten (Namen, Adressen, Bankdaten, Kontaktdaten, Geburtsdatum) von 200 Mitarbeitern, insgesamt 1.000 Datensätze.

• Weiters muss angeführt werden, welche Folgen die Panne wahrscheinlich für die Betroffenen mit sich bringt. Beispiel: Auf dem USB-Stick befanden sich die Stammdaten der Mitarbeitenden; der Einschätzung nach besteht ein hohes Risiko für Betroffene, da private Adressen und Bankverbindungen in den Stammdaten verarbeitet waren.
• Besonders wichtig ist auch, dass die Kontaktdaten eines Ansprechpartners angeführt werden. Dabei kann es sich um den Datenschutzbeauftragten – sofern vorhanden – , um den intern zuständigen Datenschutzkoordinator, oder auch um die Geschäftsführung handeln.
• Die Datenschutzbehörde verlangt in der Meldung zusätzlich eine genaue Beschreibung der Maßnahmen, die betrieblich umgesetzt werden, um das Risiko unmittelbar einzudämmen und künftig einen Vorfall dieser Art zu verhindern.

Beispiel: Unmittelbare Maßnahmen: Mitarbeiter wurden über die Datenpanne informiert. Lost&Found des Bahnbetreibers wurde um Mithilfe gebeten. Geplante Maßnahmen: Neuerliche Schulung aller Mitarbeiter zur Zugriffskontrolle (Verschlüsselung von externen Datenträgern).

Unsere Praxistipps

• Halten Sie sich genau an die Inhaltspunkte, die wir oben aufgelistet haben. Die Datenschutzbehörde ist eine echte Straf-Behörde, und die Schonzeit ist vorbei. Stellen Sie sich vor, Ihre Daten wurden „verloren“ – da möchten Sie auch geschützt werden, nicht wahr?
• Sollten Sie vor der Aufgabe stehen, eine Data Breach Notification durchführen zu müssen, kontaktieren Sie uns jederzeit gerne und wir kümmern uns darum, Sie sicher und fristgerecht durch die Datenpanne zu geleiten.

Vorraussetzungen für eine Datenverarbeitung

1. Eine Einwilligung der betroffenen Personen zur Verarbeitung ihrer Daten liegt vor. Für Werbezusendungen oder die Verarbeitung sensibler Daten oder auch bei der Verwendung und Veröffentlichung von Fotos ist eine solche beispielsweise immer notwendig. Ganz neu: Nach dem Fall des „EU-US Privacy Shields“ benötigt die Beauftragung amerikanischer Unternehmen nun meistens eine Einwilligung der Betroffenen. Denken Sie dabei an die Dienste, die beispielsweise Google für Webseiten anbietet (Maps, Analytics).
2. Die Datenverarbeitung ist nötig, um einen Vertrag zu erfüllen. Ein Beispiel hierzu ist ein Vertrag zwischen Unternehmen und Kunden oder Lieferanten.
3. Es besteht eine rechtliche Verpflichtung zur Verarbeitung bestimmter personenbezogener Daten. Beispielsweise ist jeder Arbeitgebende dazu verpflichtet, Mitarbeitenden bei der Krankenkasse anzumelden.
4. Eine Datenverarbeitung unterliegt den berechtigten Interessen des Verantwortlichen. Wann ist das der Fall? Ein Beispiel hierzu sind technische Analysen in Form von Cookies, die als Ziel eine effizientere Website-Nutzung haben.

Beispiele für rechtmäßige Datenverarbeitungen

• Eine Verarbeitung ist zum Schutz lebenswichtiger Interessen notwendig. Ein Beispiel dazu ist die Erste Hilfe bei einem Unfall und die Verständigung der Rettung oder von Verwandten.
• Die Erfüllung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, erfordert eine Datenverarbeitung. Behörden dürfen beispielsweise zum Schutz der Gesundheit der Bevölkerung Daten verarbeiten.

Unsere Praxistipps

• Stellen Sie sicher, dass ausnahmslos jede Verarbeitung personenbezogener Daten, die in Ihrem Unternehmen getätigt wird, durch eine der beschriebenen Rechtsgrundlagen gerechtfertigt und dokumentiert wird. Ansonsten drohen sehr hohe DSGVO-Strafen.
• Lesen Sie sich weitere Beiträge in unseren News durch um zu erfahren, was bei Nichteinhalten droht.
• Kontaktieren Sie uns bei Unklarheiten oder wenn Sie Unterstützung benötigen.

Ein Email, das versehentlich an den falschen Empfänger geschickt wird, das Entsorgen eines Formulars mit Namen eines Kunden oder der Verlust des unverschlüsselten Diensthandys in der Straßenbahn: Auch Ihnen kann eine Datenpanne passieren – und zwar schneller als Sie denken!

Datenpanne – Datenschutzverletzung – Datenschutzvorfall – Data Breach

Die Begriffe werden als synonym verwendet und beschreiben eine äußerst unangenehme Situation:

Bei einer Datenpanne wird die Datensicherheit verletzt, sprich: Ein angemessener Datenschutz kann nicht mehr gewährleistet werden.

Nun sehen wir uns Beispiele für Datenpannen an, um das Thema besonders praxisnah zu verstehen:

• Die Löschung von Daten durch eine nicht autorisierte Person = Datenverlust,
• ein Datendiebstahl (durch Hacking oder physisches Eindringen in ein Büro),
• Verlust eines unverschlüsselten Laptops, Smartphones, USB-Sticks,
• Entsorgen von ungeshredderten Papierakten im Müll,
• Weiterleitung von personenbezogenen Daten an einen unberechtigten Empfänger,
• und so weiter.

Was ist nun zu tun, wenn eine Datenpanne passiert ist?

Für das Vorgehen in einer solchen Situation muss intern ein Prozess festgelegt werden – und zwar vorab, sodass im Datenschutz-Notfall sofort klar ist, wie vorgegangen werden muss. Bei der Erstellung eines solchen Leitfadens stehen wir Ihnen sehr gerne zur Seite.

Melden Sie die Datenpanne unbedingt sofort der dafür intern zuständigen Person – auch wenn es sich nur um einen Verdacht handelt! Das kann Ihr Vorgesetzter, ein Datenschutzbeauftragter oder auch ein interner Datenschutzkoordinator sein.

Zuständige müssen daraufhin eine Risikoabschätzung vornehmen und zusammen mit der Geschäftsführung über weitere Schritte entscheiden.

Meldung einer Datenpanne bei der Datenschutzbehörde

ACHTUNG: Eine Datenpanne muss innerhalb von nur 72 Stunden nach Bekanntwerden – das heißt nachdem die erste Person diese bemerkt hat – erfolgen. Wird diese Frist nicht eingehalten, kann es zu hohen Strafen kommen!

Die Datenschutzbehörde muss allerdings nicht über jede Datenschutzverletzung informiert werden, sondern nur dann, wenn ein Risiko für die betroffenen Personen besteht. Zusätzlich müssen sofort Maßnahmen eingeleitet werden, um das Risiko für Betroffene zu minimieren. Diese Maßnahmen müssen der Behörde in der Meldung ebenfalls mitgeteilt werden.

Wie so eine Verständigung der Datenschutzbehörde nun genau abläuft und was sie alles beinhalten muss, können Sie hier nachlesen.

Unsere Praxistipps

• Wenn Ihnen eine Datenpanne passiert, melden Sie diese unbedingt sofort an die zuständige Person in Ihrem Unternehemen. So können Sie hohe Strafen vermeiden.
• Bei weiteren Fragen, kontaktieren Sie uns. Wir unterstützen Sie auch bei der Kommunikation mit der Datenschutzbehörde.

Zu Beginn ein kurzer Exkurs: Was ist – oder besser – was war das EU-US-Privacy Shield überhaupt?

Hierbei handelte es sich um eine Vereinbarung zwischen dem Europäischen Wirtschaftsraum (EWR), in dem die DSGVO Gültigkeit hat, und den USA. Sie diente dazu, ein einheitliches Datenschutzniveau zu gewährleisten und dadurch Datenaustausch zu ermöglichen. Mit dem Urteil des Europäischen Gerichtshof (EuGH) vom 16. Juli 2020 wurde das Privacy Shield nun für ungültig erklärt.

Wie kam es zum Kippen des EU-US Privacy Shields?

Der österreichische Datenschutzaktivist Max Schrems hatte sich bereits vor sieben Jahren bei der irischen Datenschutzbehörde beschwert, da er eine Übermittlung seiner personenbezogenen Daten von Facebook aus der EU an den amerikanischen Mutterkonzern verhindern wollte. Facebook sei in den USA immerhin dazu verpflichtet, personenbezogene Daten Behörden wie dem FBI sowie der NSA zugänglich zu machen.

Seine Annahme, dass sich diese Tatsache nicht mit der DSGVO vereinbaren ließe, wurde durch das Urteil des EuGHs nun bestätigt.

Was bedeutet das Kippen des EU-US Privacy Shields für Unternehmen?

Ein Datenaustausch bzw. -transfer in die USA ist nach wie vor möglich. Die Voraussetzungen dazu sind nun jedoch deutlich strenger geworden. Unternehmen, die mit amerikanischen Dienstleistern kooperieren, müssen nun umgehend Standarddatenschutzklauseln abschließen. In diesen Klauseln sind Datenschutzbestimmungen für amerikanische Unternehmen geregelt. Die amerikanischen Unternehmen müssen sich vertraglich verpflichten, ein angemessenes Datenschutzniveau einzuhalten.

Unsere Praxistipps

• Überprüfen Sie dringend, ob Sie Datenempfänger in den USA haben – prominente Beispiele dafür sind Google Dienste, wie Google Maps, Google Analytics, ferner MailChimp oder auch Zoom.
• Achtung! Schließen Sie keine (neuen) Verträge ab, denn dann Sie sind nicht mehr rechtskonform unterwegs!
• Sollten Sie Unterstützung bei der Vereinbarung von Standarddatenschutzklauseln (SCC) mit diesen Dienstleistern benötigen, wenden Sie sich sehr gerne an uns. Hier finden Sie unser Kontaktformular.