Datenpannen müssen gemeldet werden

Seit Mai 2018 gilt europaweit die neue Datenschutz-Grundverordnung (DSGVO). Bis jetzt wurden bereits 40.000 Datenpannen registriert, die meisten davon in Deutschland (12.256 bis Ende 2018). Ein aktuelles Beispiel: ein Hackerangriff auf Politiker, der sich Anfang Januar 2019 zugetragen hat. Dieser Vorfall gehörte zu den meldepflichtigen Verstößen.

Die Meldepflicht bei Datenpannen ist äußerst ernst zu nehmen: So müssen verantwortliche Datenverarbeiter nach Artikel 33 der DSGVO eine Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden den Aufsichtsbehörden melden. Nach Artikel 34 der DSGVO müssen die Verantwortlichen in bestimmten Fällen auch die Betroffenen informieren. Dafür gibt es zwei Voraussetzungen.: Zum einen müssen es personenbezogenen Daten sein, die als sehr sensibel gelten, was z.B. bei Bank- und Gesundheitsdaten der Fall ist. Zum anderen muss davon auszugehen sein, dass die Verletzung "ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge" hat.

Selbst der Verlust eines Arbeits-Laptops wäre meldepflichtig, sofern der Laptop Kundendaten enthält – was bei einem Dienstgerät sehr wahrscheinlich ist. Sind die Daten auf einem verlorenen Laptop hingegen verschlüsselt, müssen zumindest die Betroffenen nicht informiert werden. Demnach gibt es Ausnahmen bezüglich der Meldepflicht. Nicht von der Meldepflicht betroffen sind Datenpannen, bei denen es sich nicht um ein hohes Risiko für die Betroffenen handelt. Auch ist eine Information des Betroffenen nicht erforderlich, wenn geeignete technische und organisatorische Maßnahmen vorhanden sind, die den Unbefugten Zugang auf die personenbezogenen Daten praktisch nicht ermöglichen – wie bereits erwähnt, wird dies u.a. durch Verschlüsselung gewährleistet. Wurden wirksame Maßnahmen zur Schadensbegrenzung ergriffen, welche das hohe Risiko eliminieren, erlischt auch die Meldepflicht.

Wir bei IOTIQ sehen Sicherheit vor allem bei mobilen Geräten, die leicht gestohlen oder vergessen werden können als eines unserer wichtigsten Versprechen an die Kunden, damit es überhaupt nicht zu einer Datenpanne kommt. Durch Verschlüsselung sowie Fernsteuerung der Daten über ein zentrales Verwaltungssystem haben wir stets einen Plan B parat. Mehr dazu hier.

 

___________________________________________________________

In unserem Blog behandeln wir regelmäßig Themen, die uns persönlich oder unserer Leidenschaft IoT nahestehen.