Navigation und Service

Direkt zu:

Logo der Stiftung Datenschutz

Eine Plattform für die Datendebatte

Wie können personenbezogene Daten effektiv und effizient geschützt werden? Wie bleibt Innovation trotzdem möglich? Die Bundesstiftung bietet ein Forum für die notwendige Diskussion.

Eine Plattform für die Datendebatte

Wie können personenbezogene Daten effektiv und effizient geschützt werden? Wie bleibt Innovation trotzdem möglich? Die Bundesstiftung bietet ein Forum für die notwendige Diskussion.

Inhalt

Datenpannen und Sanktionen

Rechtsgrundlagen

Artikel 33, 34 Datenschutzgrundverordnung und Erwägungsgründe 85 bis 88 (Meldung und Benachrichtigung von Datenschutzverstößen)

Artikel 83 Datenschutzgrundverordnung und Erwägungsgründe 148 bis 152 (Allgemeine Bedingungen für die Verhängung von Geldbußen)

Datenpannen und Meldepflichten

Nach altem Recht (BDSG) galt eine Meldepflicht  bei Datenschutzverstößen nur bei einer unrechtmäßigen Übermittlung von sensiblen Daten (auch Kontodaten) an Dritte, wobei zusätzlich eine schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen musste.

Nach der Datenschutzgrundverordnung (Artikel 33 DSGVO) besteht immer eine unverzügliche Meldepflicht (binnen höchstens 72 Stunden) an die zuständige Aufsichtsbehörde, es denn der Verantwortliche kann nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt.  Ob ein solches Risiko vorliegt, kann zu Untersicherheiten bei den Unternehmen führen. Als Hilfestellung hat die Datenschutzkonferenz ein entsprechendes Kurzpapier zur Einschätzung eines Risikos für die Rechte und Freiheiten natürlicher Personen veröffentlicht (siehe unter Links). 

Entfällt die Meldepflicht bei Datenpannen, wenn das Unternehmen keine Niederlassung in Europa besitzt? 

  • Bei Online-Aktivitäten können unter Umständen mehrere Personen in unterschiedlichen (Bundes-)Ländern von einer Datenpanne betroffen sein.
  • Es wird die Auffassung vertreten, dass es ausschließlich auf den Sitz des datenverarbeitenden Unternehmens ankommt und der Wohnsitz der betroffenen Person unerheblich ist, so dass es für Unternehmen mit Sitz außerhalb der EU keine zuständige Aufsichtsbehörde gibt, welcher innerhalb von 72 Stunden die Datenschutzverletzung zu melden ist. Eine Meldepflicht dem Vertreter gegenüber, der von Unternehmen ohne Niederlassung in der EU  als Ansprechpartner für die Datenschutzaufsichtsbehörden zu ernennen ist, normiert die Datenschutzgrundverordnung nicht. 
  • Daher sollte die Datenschutzkonferenz oder der Europäische Datenschutzausschuss eine klarstellende Empfehlung aussprechen.

Sanktionen

Den Aufsichtsbehörden stehen nach der Datenschutzgrundverordnung unterschiedliche Instrumente zur Verfügung, um die Einhaltung von Datenschutz bei den Verantwortlichen und Auftragsverarbeitern durchzusetzen. Ein Überblick findet sich im Kurzpapier „Aufsichtsbefugnisse und Sanktionen“ der Datenschutzkonferenz. Diesen Ausführungen ist zu entnehmen, dass es für die Aufsichtsbehörden die Möglichkeit gibt, vorsorgliche Warnungen oder im Falle von Datenschutzverletzungen Verwarnungen (Artikel 58 DSGVO) zusätzlich oder anstelle einer Sanktion in Form einer Geldbuße (Artikel 83 DSGVO) auszusprechen. Bei Nichtbefolgung ihrer Anordnungen kann sie Zwangsgelder verhängen. Eine Aufsichtsbehörde kann zudem erteilte Zertifikate widerrufen. 

Die Sanktionen des Artikels 83 DSGVO lassen bei schwerwiegenden Verstößen Geldbußen bis 20 Millionen EURO oder 4% des weltweiten Gesamtumsatzes des vergangenen Geschäftsjahres zu. 

Insgesamt werden hierzu Leitlinien des Europäischen Datenschutzausschusses erwartet.

Links

Das Bayerische Landesamt für Datenschutzaufsicht

Das Bayerische Landesamt für Datenschutzaufsicht weist in seinem Kurzpapier „Umgang mit Datenpannen“ unter https://www.lda.bayern.de/media/baylda_ds-gvo_8_data_breach_notification.pdf darauf hin, dass die Einschätzung dieses Risikos im Alltag eines Unternehmens als große Herausforderung betrachtet werden könnte. Von daher sei zu erwarten, dass sich die Aufsichtsbehörden über die vorzunehmende Risikobewertung näher abstimmen werden.

Das Bayerische Landesamt für Datenschutzaufsicht wird zudem einen Online-Service für verantwortliche Stellen zur effizienten Datenpannen-Meldung zur Verfügung stellen.

Auch in Bezug auf die Benachrichtigung der betroffenen Personen (Artikel 34 DSGVO), die bei einem hohen Risiko für deren Rechte und Freiheiten erfolgen muss, muss nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht geklärt werden, wann auf eine solche verzichtet werden kann.

Zu der Einschätzung eines solchen Risikos stellt die Datenschutzkonferenz ein Kurzpapier zum Download bereit, https://www.lda.bayern.de/media/dsk_kpnr_18_risiko.pdf.

Datenschutzkonferenz

Zur Einschätzung eines Risikos für die Rechte und Freiheiten natürlicher Personen stellt die Datenschutzkonferenz ein Kurzpapier zum Download bereit, https://www.lda.bayern.de/media/dsk_kpnr_18_risiko.pdf. Der Begriff des Risikos taucht an mehreren Stellen in der Datenschutzgrundverordnung auf, so auch bei den Regelungen zum Umgang mit einer Verletzung des Schutzes personenbezogener Daten (Artikel 33, 34 DSGVO)

Gemäß den Ausführungen der Datenschutzkonferenz ist Ziel dieses Kurzpapieres, das Risiko im Kontext der DSGVO zu definieren und aufzuzeigen, wie Risiken für die Rechte und Freiheiten natürlicher Personen bestimmt und in Bezug auf ihre Rechtsfolgen bewertet werden können. Die Eindämmung von Risiken durch Ergreifen geeigneter technischer und organisatorischer Maßnahmen sei allerdings nicht Gegenstand des Papiers. Zunächst definiert die Datenschutzkonferenz das Risiko als Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Im weiteren Verlauf des Kurzpapiers erfolgen Ausführungen zu möglichen Schäden, Ereignissen und Risikoquellen, sowie der Hinweis, dass sowohl für die Differenzierung der Eintrittswahrscheinlichkeit als auch für mögliche Schäden jeweils Abstufungen in Form von „geringfügig, überschaubar, substanziell oder groß“ verwendet werden könnten, wobei die Einordnung in die Stufen zu begründen sei. Damit ist auch die Durchführung einer Datenschutz-Folgenabschätzung erforderlich, da das Risiko einer Datenverarbeitung objektiv ermittelt und beurteilt werden muss. Der Nachweispflicht gemäß Artikel 5 Absatz DSGVO ist dabei besonders Rechnung zu tragen.

Artikel-29-Datenschutzgruppe

Unter http://ec.europa.eu/newsroom/article29/document.cfm?doc_id=49827 stellt die Artikel-29-Datenschutzgruppe eine Orientierungshilfe zum Umgang mit Datenschutzverletzungen bereit, insbesondere auch dahingehend, wann ein solcher zu melden ist (wp250rev.01 vom 06. Februar 2018, Guidelines on Personal data breach notification under Regulation 2016/679). 

Aufsichtsbefugnisse/Sanktionen

Datenschutzkonferenz

Die Datenschutzkonferenz hat ein Kurzpapier zu Befugnissen der Aufsichtsbehörden und deren Sanktionsmöglichkeiten veröffentlicht, abrufbar unter 

https://www.lda.bayern.de/media/dsk_kpnr_2_sanktionen.pdf. Letztendlich bleiben jedoch sowohl die Durchführung in der Praxis als auch mögliche Leitlinien des Europäischen Datenschutzausschusses abzuwarten. Dieses Kurzpapier hat im Übrigen das Kurzpapier zu Sanktionsmöglichkeiten des Bayerischen Landesamtes für Datenschutzaufsicht (https://www.lda.bayern.de/media/baylda_ds-gvo_7_sanctions.pdf) abgelöst. 

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Unter https://www.datenschutz-berlin.de/aufsicht-kontrolle-reform.html gibt die Berliner Landesdatenschutzbeauftragte einen Überblick über Befugnisse der Aufsichtsbehörden.

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
In den FAQ der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen sind erläuternde Ausführungen zu Sanktionsmöglichkeiten der Aufsichtsbehörden enthalten, abrufbar unter https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/EU-Datenschutzreform__FAQ_/Welche_Sanktionen_und_Durchsetzungsm__glichkeiten_gibt_es_nach_der_DS-GVO_.php

Artikel-29-Datenschutzgruppe
Die Artikel-29-Datenschutzgruppe hat eine Orientierungshilfe zur Anwendung von Sanktionsmöglichkeiten veröffentlicht. Die englische Fassung steht unter http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47889 zur Verfügung (Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (wp253), 3.Oktober 2017); deutsche Fassunghttp://www.lda.brandenburg.de/cms/detail.php/bb1.c.545391.de

EU Kommission
Die EU-Kommission hat auf ihrer Webseite einen Überblick über Aufgaben der Aufsichtsbehörden und Sanktionsmöglichkeiten veröffentlicht, abrufbar unter https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/enforcement-and-sanctions_de

Information Commissioner (Datenschutzbehörde Isle of Man)
Die Datenschutzbehörde der Isle of Man stellt ebenso unter https://www.inforights.im/information-centre/data-protection/the-general-data-protection-regulation/gdpr-in-depth/fines-penalties-and-sanctions/ einen Überblick über Sanktionsmöglichkeiten zur Verfügung.