14.Januar 2022 | Marco | Thema: Datenschutz

edpb-Leitlinie zur Risikoeinschätzung bei Datenschutzvorfällen

Schlagwörter: Aufsichtsbehörden | DSGVO | Tipps

Seit Geltung der DSGVO im Mai 2018 hat sich die Anzahl der zu prüfenden Datenschutzvorfälle deutlich erhöht. Wie ist mit solchen Vorfällen umzugehen? Wann müssen Sie der Datenschutzbehörde gemeldet werden, wann sind Betroffene zu informieren?
Der Europäische Datenschutzausschuss (EDSA bzw. European Data Protection Board – EDPB) hat Anfang 2022 eine umfangreiche Leitlinie mit zahlreichen Beispielen zum Umgang mit Datenschutzvorfällen veröffentlicht.

Nach Art.33 Abs.1 DSGVO ist eine „Verletzung des Schutzes personenbezogener Daten“ unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Das ist die Regel, von der es nur eine Ausnahme gibt: Die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Aus dem Wörtchen „voraussichtlich“ ergibt sich, dass der Verantwortliche eine Prognoseentscheidung treffen muss. Ist danach von einem Risiko für die betroffene Person auszugehen, muss der Vorfall der Aufsichtsbehörde gemeldet werden.

Unternehmen müssen bei solchen Vorfällen ihre/ ihren Datenschutzbeauftragte(n) hinzuziehen, um das Risiko zu bewerten. Also landen solche Fälle auch auf unseren Schreibtischen.

Der EDSA liefert uns mit seiner neuen Leitlinie eine nützliche Hilfe für diese Risikobewertung, also zur Bewertung der Notwendigkeit der Information der Aufsichtsbehörden und zu sinnvollen Maßnahmen um Risiken für betroffene Personen zu reduzieren.

Wirft man einen Blick auf die 18 beschriebenen Fälle in der Leitlinie, deckt sich die Auswahl zu ca. 80 Prozent mit den Fällen, die wir in den letzten 24 Monaten beraten haben. Wir finden hier Angriffe durch Dritte, Innentäter, Geräteverlust (unser Top 1) sowie den absoluten Klassiker: falsch zugestellte E-Mails.

Verantwortliche sollten zunächst einmal in der Lage sein, eine „Verletzung des Schutzes personenbezogener Daten“ zu erkennen. Die DSGVO definiert solche Vorfälle in Art. 4 Nr. 12 als „eine Verletzung der Sicherheit, die zu einer zufälligen oder unrechtmäßigen Zerstörung, einem Verlust, einer Veränderung oder einer unbefugten Weitergabe von oder einem unbefugten Zugang zu personenbezogenen Daten die übermittelt, gespeichert oder auf andere Weise verarbeitet werden“.

Eine Datenschutzverletzung kann eine Reihe erheblicher nachteiliger Auswirkungen auf Einzelpersonen haben, die physische, materielle oder immaterielle Schäden zur Folge haben können. Eine der wichtigsten Pflichten der Verantwortlichen ist daher die Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und das Ergreifen geeigneter technischer und organisatorischer Maßnahmen, um ihnen zu begegnen.

Dementsprechend verlangt die DSGVO von den Verantwortlichen, dass sie:

  • jede Verletzung des Schutzes personenbezogener Daten dokumentieren und dabei die Fakten der Verletzung des Schutzes personenbezogener Daten, ihre Auswirkungen und die getroffenen Abhilfemaßnahmen darlegen;
  • die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unterrichten, es sei denn, es ist unwahrscheinlich, dass die Verletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, die von der Verletzung des Schutzes personenbezogener Daten betroffenen Personen informieren, wenn die Verletzung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten zur Folge hat.

Die veröffentliche Leitlinie liefert uns nun sowohl Beispiele für Datenschutzverletzungen, als auch dazu passende Empfehlungen zu Schutzmaßnahmen, zur Risikobewertung, zu Abhilfemaßnahmen und zu Verpflichtungen.

Fälle Interne Dokumentation Information der Aufsichtsbehörde Information der Betroffenen
Ransomware mit ordnungsgemäßer Sicherung und ohne Datenexport Ja Nein Nein
Ransomware ohne ordnungsgemäße Sicherung Ja Ja Nein
Ransomware mit Backup und ohne Datenexport in einem Krankenhaus Ja Ja Nein
Datenexport von Bewerbungsdaten von einer Website Ja Ja Ja
Datenexport eines gehashten Passworts von einer Website Ja Nein Nein
Credential-Stuffing-Angriff auf eine Bank-Website Ja Ja Ja
Datenexport von Geschäftsdaten durch einen Mitarbeiter Ja Ja Nein
Versehentliche Übermittlung von Daten an eine vertrauenswürdige dritte Person Ja Nein Nein
Gestohlene Geräte mit verschlüsselten persönlichen Daten Ja Nein Nein
Gestohlene Geräte mit unverschlüsselten persönlichen Daten Ja Ja Ja
Gestohlene Papierakten mit sensiblen Daten Ja Ja Ja
Fehler bei der Postzustellung Ja Nein Nein
Versehentlich per Post verschickte streng vertrauliche personenbezogene Daten Ja Ja Ja
Versehentlich per Post übermittelte personenbezogene Daten Ja Nein Nein
Irrtum bei der Post Ja Ja Nein
Identitätsdiebstahl Ja Ja Ja
E-Mail-Datenexport Ja Ja Ja

Alles in allem eine sehr brauchbare Hilfestellung bei der Risikobewertung und Auswahl risikomindernder Maßnahmen. Das war lange überfällig.

Guidelines 01/2021 on Examples regarding Personal Data Breach Notification (PDF)

Quelle:
edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_de