Das Data Protection Board (EDPB) – der Europäische Datenschutz-Ausschuss – hat in der letzten Woche neue „Guidelines on Examples regarding Data Breach Notification“ veröffentlicht. Dieses Papier stellt die Ergänzung zum Working Paper 250 der einstigen Art. 29 Gruppe dar und ist dazu gedacht, anhand von Beispiel-Datenschutzpannen Datenschutz-Anwendern konkrete Handlungsempfehlungen zur Meldepflicht zu geben.
Hintergrund
Der Europäische Datenschutz-Ausschuss ist der Zusammenschluss der europäischen Aufsichtsbehörden welcher u.a. die Aufgabe hat, die Zusammenarbeit zwischen diesen zu verbessern und eine europaweit möglichst einheitliche Anwendung der Datenschutzvorschriften zu erreichen.
Um dies im Bereich Datenpannen zu erreichen, hat das EDPB einen Entwurf von Richtlinien veröffentlicht, die Beispielsfälle von Datenschutzverstößen enthalten und für jede einzelne empfehlen, wie mit diesen umzugehen ist.
Überblick
Neben einleitenden Worten und allgemeinen Grundsätzen beschreibt der EDSA in den Richtlinien anschaulich:
- wann ein Datenschutzverstoß vorliegt,
- wie mit dem Datenschutzverstoß in welchem Zeitraum umgegangen wurde,
- was mögliche Risiken und Folgen des Datenschutzverstoßes („Risikoanalyse“) sind,
- ob der Datenschutzverstoß an die betroffene Person und/oder die Aufsichtsbehörde gemeldet werden – und warum – sowie
- welche konkreten Maßnahmen zur Aufarbeitung und zur zukünftigen Risikoverringerung eines erneuten Datenschutzverstoßes zu treffen sind.
Unter „konkreten Maßnahmen“ versteht der Ausschuss dabei tatsächlich greifbare Empfehlungen zu Maßnahmen – im Wesentlichen vom technischen Standpunkt (Weiterleitung oder Replikation aller Logs an einen zentralen Log-Server; siehe EDPB Guidelines 01/2021, Rn. 49 (S. 14, dritter Aufzählungspunkt)) – bis hin zu Vorschlägen über Inhalte einer Schulung der Mitarbeitenden (siehe EDPB Guidelines 01/2021, Rn. 49 (S. 14, erster Aufzählungspunkt). Da sich die beschriebenen Datenschutzpannen in Unternehmen bzw. Einrichtungen verschiedenster Art und Größe abspielen, gibt es entsprechend unterschiedliche Handlungsempfehlungen. Die Darstellungsweise des Dokuments sei an folgendem Beispiel kurz erläutert:
Beispiel
Der Mitarbeiter eines Unternehmens kopiert während seiner Kündigungsfrist Geschäftsdaten aus der Datenbank des Unternehmens, auf die er zugreifen darf und die er zur Erfüllung seiner Aufgabe benötigt. Monate später, nachdem er gekündigt hat, nutzt er die so gewonnenen Daten (hauptsächlich grundlegende Kontaktdaten), um die Kunden des Unternehmens zu kontaktieren und sie für sein neues Geschäft zu gewinnen.
Einstufung
Wenig überraschend liegt hier ein Verstoß gegen die Vertraulichkeit der Daten vor, wobei die betroffenen Daten als nicht sensibel eingestuft worden sind, da der Mitarbeiter diese nur benötigt hat, um nach seinem Ausscheiden aus dem Unternehmen mit den Kunden in Kontakt zu treten. Gleichwohl kann der Verantwortliche das Risiko für die betroffenen Personen nicht als gering einstufen, da er keinerlei Gewissheit über die Absichten des Mitarbeiters hat (siehe EDPB Guidelines 01/2021, Rn. 74 (Seite 19), 75 (Seite 20)).
Meldepflicht
Der EDPB geht hier von einer Meldepflicht an die Aufsichtsbehörde aus, verlangt aber keine Benachrichtigung der betroffenen Personen (siehe EDPB Guidelines 01/2021, Rn. 77 (Seite 20)). Die Verletzung führe nicht zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen, daher verbleibe es hier bei einer reinen Dokumentation der Datenpanne gem. Art. 33 Abs. 5 DSGVO.
Maßnahmen zur Vorbeugung
Der EDPB erläutert darüber hinaus, dass es bei dem vorliegenden Sachverhalt schwierig sei, entsprechende Vorbeugungsmaßnahmen zu treffen, da der Mitarbeiter zunächst legitimen Zugang zu den Informationen hatte und diese für seine berufliche Tätigkeit auch benötigte (siehe EDPB Guidelines 01/2021, Rn. 72 (Seite 19)). Trotzdem nennt das EDPB folgende Anregungen:
- Mitarbeitenden, die ihre Absicht zu kündigen signalisiert haben, bestimmte Formen des Zugriffs zu entziehen
- Implementierung von Zugriffsprotokollen, damit unerwünschte Zugriffe protokolliert und gekennzeichnet werden können.
- Erstellen von Klauseln im Vertrag mit den Mitarbeitenden, die solche Handlungen untersagen
- Ständige Kontrolle
Praxishinweis
Auf den konkreten Fall angewendet, sind dies Maßnahmen, die zwar in jeder IT-Sicherheitsrichtlinie zu finden sind – die im Einzelfall jedoch ein Vorgehen wie diesen vorsätzlichen Verstoß nicht verhindern können. Das heißt aber nicht, dass die vom Ausschuss empfohlenen Maßnahmen grundsätzlich ungeeignet sind, im Gegenteil: Die Lektüre verschiedener Empfehlungen bei bestimmten Datenpannen ist durchaus lohnenswert.
Fazit
Die Richtlinien geben bei genauerer Lektüre einen Einblick in die Abwägungskriterien des Ausschusses und sind nicht zuletzt deswegen – und der o.g. Inhalte – für die Beratungspraxis hilfreich. Im Ergebnis handelt es sich hier allerdings noch um einen Entwurf, der für sechs Wochen zur öffentlichen Beratung zugänglich ist.
2. Februar 2021 @ 10:45
Als erstes sollte man beim Reden über Daten“pannen“ vielleicht den verharmlosenden Begriff „Panne“ meiden.