Der Angemessenheitsbeschluss CH: Datenaustausch Schweiz – EU
In diesem Rechtstipp der Woche stellen wir die wichtigsten Informationen zu der Erneuerung des Angemessenheitsbeschlusses der Schweiz vor.
Kaum ein Online-Shop kann sich davon freisprechen: Früher oder später sehen sich die allermeisten Händler*innen mit einer Datenpanne konfrontiert.
Doch was ist eine Datenpanne eigentlich genau und wie reagiere ich richtig, wenn es zu einer solchen Datenpanne in meinem Unternehmen kommt? Eine Antwort wird im folgenden Beitrag erläutert.
Gemäß Art. 4 Nr. 12 DSGVO ist eine Datenpanne eine die Datensicherheit betreffende Verletzung des Schutzes personenbezogener Daten
Eine solche Datenpanne reicht dabei von dem Versenden einer E-Mail oder eines Paketes an einen falschen Empfänger, über das Beschädigen einzelner Datensätze durch bspw. ein Software-Fehler, bis hin zum gänzlichen Verlust oder Vernichtung aller gespeicherten Daten, bspw. durch einen Hackerangriff oder ein zerstörtes Speichermedium.
Die viel wichtigere Frage ist jedoch: Wie habe ich mich nach einer solchen Datenpanne entsprechend den Vorschriften der DSGVO zu verhalten? Die DSGVO schreibt dem verantwortlichen Unternehmen hier gleich zwei Handlungsmaßnahmen vor.
Die Meldepflicht besteht unabhängig davon, ob ein Schaden bereits eingetreten ist oder nicht.
Eine Meldung hat hierbei an die Aufsichtsbehörde zu erfolgen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt; eine Benachrichtigung an die betroffene Person nur, wenn die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Spätestens bei der Risikoermittlung sollten Sie Ihre*n Datenschutzbeauftragte*n einbeziehen.
Aber auch ohne vorliegendes Risiko müssen Verantwortliche zumindest den Vorfall dokumentieren und, sofern angebracht, ihre technischen und organisatorischen Schutzmaßnahmen überprüfen und anpassen.
Risiko / Pflichten |
Interne Dokumentationspflicht |
Meldepflicht an Aufsichtsbehörde |
Benachrichtigungspflicht an Betroffene |
Kein oder geringes Risiko |
Ja |
Nein |
Nein |
Risiko |
Ja |
Ja |
Nein |
Hohes Risiko |
Ja |
Ja |
Ja |
Demnach hat bei Vorliegen einer Datenpanne, in welcher Form auch immer, eine Risikoeinschätzung zu erfolgen, ob die Gefahr der Verletzung von Grundrechten bzw. Grundfreiheiten möglich erscheint.
Der Begriff Risiko wird in der DSGVO nicht definiert. Lediglich aus den Erwägungsgründen des Gesetzes ergeben sich Anhaltspunkte, was genau unter dem Risikobegriff zu verstehen ist. Die Datenschutzbehörden der Länder beschreiben den Begriff folgendermaßen:
„Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.
Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die
Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.“
Liegt die Verletzung von personenbezogenen Daten vor, sind für eine Risikobeurteilung insbesondere folgende Fragen zu stellen:
So führt beispielsweise der Verlust von Kreditkartendaten durch ein Serverleck zum Risiko eines Kreditkartenmissbrauchs und ggf. zu einem materiellen Schaden in Form einer unbefugten Kreditkartennutzung.
Die Risikoanalyse obliegt dabei dem für die Datenverarbeitung verantwortlichen Unternehmer, sollte aber unter Zuhilfenahme datenschutzrechtlicher Unterstützung durch Fachpersonal durchgeführt werden. Sie müssen bei einer Datenpanne Rechenschaft ablegen und detailliert darlegen können, ob ein Risiko besteht oder nicht.
Gemäß Art. 33 DSGVO ist der Verantwortliche dazu verpflichtet, die Datenpanne unverzüglich an die zuständige Aufsichtsbehörde zu melden. Für Datenverarbeitungen innerhalb Deutschlands sind dabei die jeweiligen Landesdatenschutzbehörden zuständig. Die Meldung muss innerhalb von 72 Stunden erfolgen. Maßgeblicher Zeitpunkt für die Bestimmung des Fristbeginns ist die Kenntnis des Verantwortlichen von der Verletzung des Schutzes personenbezogener Daten. Welche Aufsichtsbehörde für Sie zuständig ist, richtet sich danach, in welchem Bundesland Sie ihre Hauptniederlassung haben. Die Aufsichtsbehörden haben für die elektronische Abgabe von Meldungen auf ihren Webseiten Portale eingerichtet, sodass ein postalischer Versand nicht zwingend erforderlich ist (bspw. Nordrhein-Westfalen, Baden-Württemberg oder Bayern).
Die Meldung sollte in jedem Fall folgende Informationen enthalten:
Die konkreten erforderlichen Inhalte einer Meldung können auch den jeweiligen Meldeportalen entnommen werden. Da im Regelfall nicht alle notwendigen Informationen bereits 72 Stunden nach Bekanntwerden des Vorfalls vorhanden sind, können auch unvollständige Erstmeldungen abgegeben werden, welche beizeiten zu ergänzen sind.
In bestimmten Fällen müssen Sie die Datenpanne auch den betroffenen Kund*innen melden. Wann das so ist, regelt Art.34 DSGVO. Voraussetzung ist, dass die Verletzung voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Sie müssen also eine Prognose treffen, ob ein solcher Fall eintreten wird. Hier muss die Benachrichtigung unverzüglich erfolgen und zudem in einer klaren und einfachen Sprache übermittelt werden.
Inhaltlich soll die Benachrichtigung an Betroffene folgenden Mindestinhalt umfassen:
Eine Benachrichtigung an Kund*innen ist in den folgenden Fallkonstellationen nicht erforderlich:
In jedem Fall müssen Sie sich an die oben genannten Vorschriften halten, denn ein Verstoß gegen die Meldepflicht kann für den Verantwortlichen einen Ersatzanspruch für materielle und immaterielle Schäden gem. Art. 82 DSGVO begründen. Ein solcher Verstoß kann zudem von Mitbewerbern oder auch Verbraucherschutzverbänden abgemahnt bzw. beklagt werden – mehr darüber können Sie auch diesem Beitrag des Shopbetreiber-Blogs entnehmen. Darüber hinaus kann die Aufsichtsbehörde bei einem Verstoß gegen Art. 34 DSGVO gegen den Verantwortlichen eine Geldbuße verhängen. Bereiten Sie sich daher am besten schon jetzt für den Fall der Fälle vor und beugen Sie mögliche Datenpannen im Unternehmen vor.
Sollte es dennoch zum Eintritt einer Verletzung von personenbezogenen Daten kommen, sollten Sie Maßnahmen ergreifen, die es Ihnen erleichtern, die oben genannten Vorschriften innerhalb der vorgeschriebenen Zeit einzuhalten. So können Sie sich bspw. schon jetzt informieren, wer die für Sie zuständige Aufsichtsbehörde ist und einen Prozess beschreiben, wie intern mit der Betreuung einer Datenpanne umgegangen wird.
19.07.24In diesem Rechtstipp der Woche stellen wir die wichtigsten Informationen zu der Erneuerung des Angemessenheitsbeschlusses der Schweiz vor.
Elektronik-Shops aufgepasst! Ab 28.12.2024 gelten für bestimmte Produkte neue Kennzeichnungspflichten hinsichtlich eines eventuell enthaltenen Ladegeräts.