Kategorie: FAQ

Datenpanne? Das müssen Sie jetzt beachten!

In der heutigen digitalen Welt sind Datenpannen keine Seltenheit mehr. Unternehmen müssen daher genau wissen, wann eine Datenpanne vorliegt und welche Schritte sie unternehmen müssen. In diesem Artikel finden Sie eine klare Anleitung und Handlungsempfehlungen für den Umgang mit Datenpannen.

Wann spricht man von einer Datenpanne?

Die fortschreitende Digitalisierung, die Nutzung von Cloud-Services und künstliche Intelligenz erhöhen das Risiko von Fehlern und Beeinträchtigungen des Datenschutzes. Eine Datenpanne tritt auf, wenn der Schutz personenbezogener Daten verletzt wird und dadurch die Rechte und Freiheiten von betroffenen Personen gefährdet sind.

Was ist eine meldepflichtige Datenpanne?

Eine Datenpanne ist meldepflichtig, wenn sie eine Verletzung des Schutzes personenbezogener Daten darstellt. Dies kann beispielsweise durch den versehentlichen Versand sensibler Informationen an die falsche Person, den Diebstahl von personenbezogenen Daten oder einen Hackerangriff geschehen.

Was ist keine meldepflichtige Datenpanne?

Nicht jede Datenschutzverletzung erfordert eine Meldung. Es gibt bestimmte Situationen, in denen eine Datenpanne als unbedenklich angesehen werden kann und daher nicht gemeldet werden muss. Hier sind einige Beispiele, die verdeutlichen, wann keine Meldepflicht besteht:

  1. Wirksame Verschlüsselung und Backups: Wenn die betroffenen Daten wirksam verschlüsselt sind und durch Backups leicht wiederhergestellt werden können, besteht ein geringeres Risiko für die Rechte und Freiheiten der Betroffenen. Ein Verlust oder eine unbefugte Offenlegung der Daten ist in solchen Fällen unwahrscheinlicher.
  2. Öffentlich verfügbare Daten: Wenn die betroffenen Daten bereits öffentlich zugänglich sind und keine zusätzlichen sensiblen Informationen preisgeben, wird die Datenpanne oft nicht als meldepflichtig angesehen. Beispielsweise, wenn Kontaktdaten auf der Unternehmenswebsite veröffentlicht sind.
  3. Unschädliche Verletzung: Manchmal kann es zu Verletzungen des Datenschutzes kommen, bei denen keine ernsthafte Beeinträchtigung der Rechte und Freiheiten der Betroffenen zu erwarten ist. Ein klassisches Beispiel wäre der unbeabsichtigte Versand einer E-Mail an einen internen Verteiler ohne sensible Informationen.

Es ist wichtig zu betonen, dass die Einschätzung, ob eine Datenschutzverletzung meldepflichtig ist oder nicht, sorgfältig erfolgen sollte (auch wenn dies in der kurzen Frist sicher nicht ganz leicht ist). Die oben genannten Beispiele dienen als Anhaltspunkte. Unternehmen sollten stets bestrebt sein, die Privatsphäre und den Datenschutz zu schützen und bei Zweifeln eine Meldung in Erwägung ziehen, um rechtliche Konsequenzen zu vermeiden. Natürlich mit dem Wissen, dass dann auch die Aufsichtsbehörde sich den Fall ansieht.

Meldepflichten im Falle einer Datenpanne

Wenn eine Datenpanne auftritt, muss schnell gehandelt werden, um die gesetzliche Meldefrist von 72 Stunden einzuhalten. Unternehmen müssen entscheiden, ob eine Meldung erforderlich ist und sie dann der zuständigen Aufsichtsbehörde melden.

Wann muss gemeldet werden?

Die Meldung bei der zuständigen Aufsichtsbehörde muss unverzüglich und innerhalb von 72 Stunden erfolgen. Die genauen Angaben für die Meldung sind in der Datenschutz-Grundverordnung (DSGVO) festgelegt.

Was muss gemeldet werden?

Art der Datenschutzverletzung: Die Art und Entstehung der Datenschutzverletzung sowie die Art der betroffenen personenbezogenen Daten sollten detailliert beschrieben werden.

Betroffene Parteien: Es sollte angegeben werden, wie viele Personen von der Verletzung betroffen sind und welche Gruppen sie umfassen könnten, wie zum Beispiel Kunden, Mitarbeiter oder andere involvierte Personen.

Potenzielle Konsequenzen: Die möglichen Folgen der Datenschutzverletzung für die betroffenen Personen, einschließlich eventueller Risiken für ihre Rechte und Freiheiten, sollten erläutert werden.

Getroffene Maßnahmen: Es ist wichtig, die bereits ergriffenen oder geplanten Maßnahmen zur Bewältigung der Datenschutzverletzung und zur Begrenzung ihrer Auswirkungen zu beschreiben.

Benachrichtigung der Betroffenen

Wenn eine Datenpanne voraussichtlich ein hohes Risiko für die Betroffenen darstellt, muss der Verantwortliche diese auch den Betroffenen transparent und verständlich mitteilen.

Beginn der 72-Stunden-Frist

Die Meldefrist beginnt, sobald jemand im Unternehmen von der Datenpanne erfährt. Eine vorläufige Meldung sollte erfolgen, gefolgt von weiteren Untersuchungen.

Effektive Prozesse für den Umgang mit Datenpannen

Angesichts der kurzen Frist und der komplexen Situationen ist es entscheidend, effektive Prozesse und Kommunikationswege für den Umgang mit Datenpannen zu etablieren. Dies hilft, Bußgelder zu vermeiden und die Einhaltung der Meldefrist sicherzustellen.

Die USA gewährleisten (wieder) ein angemessenes Schutzniveau für personenbezogene Daten

Nachdem das EU-US Privacy Shield im Juli 2020 durch den Europäischen Gerichtshof für unwirksam erklärt wurde und hierdurch eine Vielzahl von Vorgaben hinsichtlich der Übertragung personenbezogener Daten in die USA zu beachten waren, hat die Europäische Kommission nunmehr am 10. Juli 2023 durch die Annahme des Angemessenheitsbeschlusses hinsichtlich des neuen EU-US Data Privacy Frameworks (EU-US DPF) festgelegt, dass die Vereinigten Staaten ein angemessenes Schutzniveau – vergleichbar mit dem der Europäischen Union – für personenbezogene Daten gewährleisten.

Welche Auswirkungen hat das EU-US DPF?
Aufgrund des nun vorliegenden gleichwertigen Schutzniveaus können personenbezogene Daten wieder sicher von der EU in die USA übertragen werden. Voraussetzung hierfür ist lediglich, dass das jeweilige US-Unternehmen unter dem EU-US DPF zertifiziert ist. Eine solche Zertifizierung kann u.a. daran erkannt werden, dass das Unternehmen über die Teilnahme an dem EU-US DPF informiert und einen Link zu dem Vertragswerk bereitstellt.
Es ist dann keine gesonderte Einwilligung des Nutzers hinsichtlich der Datenübertragung in die USA mehr erforderlich. Gleiches gilt für entsprechende Hinweise innerhalb des Cookie-Banners oder der Datenschutzerklärung.

Was muss beachtet werden?
Falls jedoch personenbezogene Daten über das erforderliche Maß hinaus verarbeitet bzw. technisch nicht notwendige Cookies gesetzt werden sollen (technisch nicht notwendig sind Cookies, soweit diese nicht unbedingt erforderlich sind, vgl. § 25 Abs. 2 Nr. 2 TTDSG), ist nach wie vor eine Einwilligung (z.B. im Rahmen eines Cookie-Banners) des jeweiligen Nutzers notwendig.

Im Rahmen dieser Einwilligung muss der Nutzer in klarer und deutlicher Sprache u.a. eingehend über das jeweilige US-Unternehmen sowie die Art der verarbeiteten personenbezogenen Daten sowie den Zweck der Verarbeitung informiert werden (s. Annex I, Section II. 1. EU-US DPF), und zwar bevor das jeweilige Unternehmen die personenbezogenen Daten verarbeitet.

Den Nutzern muss hierbei eine einfache Möglichkeit geboten werden (z.B. durch Opt-Out), zu wählen, ob ihre personenbezogenen Daten an das US-Unternehmen weitergegeben werden sollen, soweit es sich bei dem jeweiligen US-Unternehmen nicht um einen Auftragsverarbeiter des Datenverantwortlichen handelt.

ACHTUNG: Abweichend hiervon ist bei der Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. rassische/ethnische Herkunft, politische Meinung, genetische Daten, biometrische Daten zur eindeutigen Identifizierung) durch ein US-Unternehmen immer eine ausdrückliche Zustimmung des Nutzers (d.h. Opt-in) notwendig.

Der EuGH hat das Privacy-Shield-Abkommen gekippt

ACHTUNG, seit dem 10.7.2023 ist dieser Beitrag veraltet, Hinweise zur aktuellen Rechtslage folgen noch heute!

Für jede Weitergabe von personenbezogenen Daten braucht es die Gewissheit, dass ein angemessenes Schutzniveau beim Empfänger herrscht. Das ist in Deutschland und den übrigen Teilen der EU kein Problem, da überall dort die DSGVO gilt und so ein gleichmäßiges Datenschutzniveau garantiert ist. Bisher konnte man sich bei den meisten Datenweitergaben in die USA darauf berufen, dass das dortige Unternehmen sich dem Privacy-Shield-Abkommen unterworfen hat, denn das haben hierzulande die meisten gängigen Anbieter getan. Gekippt wurde dieses Abkommen durch den EuGH, weil US-Behörden zu leicht Zugriff auf die Daten von Betroffenen haben, ohne dass diese eine Rechtsschutzmöglichkeit haben.

Wie geht es also jetzt weiter? Worauf ist  zu achten?

Wer ausschließlich Technologien oder Programme derjenigen großen amerikanischen Anbieter, wie Facebook oder Google, nutzt, die -auch- einen Sitz in Irland haben, für diejenigen ändert sich nichts. In diesen Fällen ist es Sache des Unternehmens, Datenweitergaben in ihr Heimatland zu unterbinden oder eben andere rechtliche Möglichkeiten zu nutzen, unter denen eine Datenweitergabe noch immer möglich ist, den sogenannten Standardvertragsklauseln. Dabei handelt es sich um von der EU-Kommission vorgegebenen Verträgen, in denen sich die Parteien bei der Datenübermittlung zur Einhaltung angemessener Datenschutzstandards verpflichten. Problematisch ist hierbei allerdings, dass viele, gerade kleinere Unternehmen, noch nicht mit Standardvertragsklauseln arbeiten und zum andern, dass hiesige Datenschutzbehörden die prüfen können und müssen, wenn sie Anhaltspunkte dafür haben, die Standardvertragsklauseln würden im jeweiligen Land, in das die Übermittlung erfolgt, nicht eingehalten werden. Dann kann eine solche Übermittlung untersagt werden. Wer nicht abwarten will, ob es dazu kommt oder ob amerikanische Anbieter zukünftig auf europäische Clouds zur Speicherung und Verarbeitung setzen oder es eine Einschränkung der behördlichen Befugnisse in Amerika und damit verbunden ein neues Abkommen gibt, dem können wir nur raten, auf europäische Anbieter zu setzen.

Was es mit diesen Standardvertragsklauseln auf sich hat, und wie diese aussehen, ist sehr gut von der hessischen Datenschutzbehörde erläutert unter: https://datenschutz.hessen.de/datenschutz/internationales/eu-standardvertragsklauseln

Gern können wir prüfen, ob Sie bisher unter dem nun nicht mehr gültigen EU-US-Privacy-Shield Daten in den USA verarbeiten ließen und daher nun auf die Standardvertragsklauseln ausweichen müssen bzw. können.

Conora, Homeoffice und die DSGVO

Wie ich unter https://anwalt-für-datenschutz.eu/coronavirus-homeoffice-und-dsgvo/ ausgeführt habe, ist es datenschutzrechtlich notwendig, einige Grundlagen beim Start von Homeoffice zu beachten.

Ein wesentliches Element ist die entsprechende datenschutzrechtliche Belehrung. Diese können Sie unter nachfolgendem Link herunterladen und verwenden.

Natürlich ersetzt dieses Muster nicht eine individuelle Beratung in Bezug auf mögliche arbeitsvertragliche Regelungen, aber besser zumindest die datenschutzrechtlichen Hinweise und Regelungen einhalten, als blindlings nichts zu regeln und dann bei einer Datenpanne ein Bußgeld zu riskieren.

Homeoffice-Belehrung – Worddokument

Homeoffice-Belehrung – PDF

Google Analytics auch 2020 nutzen

ACHTUNG, dieser Artikel ist auf dem Stand 2020 und berücksichtigt nicht die neuen Regelungen des TTDSG und die zwischenzeitlichen Verfahren der Datenschutzbehörden. Hauptproblem heutzutage ist die Datenweitergabe trotz Anonymisierung in die USA.

Wer einigermaßen professionell seine Website betreiben möchte, wird nicht auf Analysetools verzichten können. Das wohl bekannteste ist hier Google Analytics.

Wer nun ohne weiter Modifikation einfach Google Analytics auf seine Website einbindet, riskiert gegen geltendes Datenschutzrecht zu verstoßen.

Hier daher eine kurze Anleitung, wie man Google Analytics DSGVO-konform einsetzt:

Google Analytics auch 2020 nutzen weiterlesen

Facebook-Pixel DSGVO-konform einsetzen

ACHTUNG, dieser Artikel ist auf dem Stand 2020 und berücksichtigt nicht die neuen Regelungen des TTDSG!!!

Das Wichtigste vorweg: Es geht auch 2020, aber ob ausreichend Nutzer einwilligen, so dass es für Sie Sinn macht das Facebook-Pixel einzusetzen, müssen Sie selbst entscheiden.

Nachdem im Jahr 2019 die Datenschutzbehörden begonnen haben bei Verstößen gegen die DSGVO Bußgelder in empfindlicher Höhe festzulegen, ist es dringend ratsam sich auch beim Thema Facebook-Pixel rechtskonform zu verhalten.

Facebook-Pixel DSGVO-konform einsetzen weiterlesen

Braucht jede Arztpraxis einen Datenschutzbeauftragten?

Das Gesetz (also weder die DSGVO, noch die Erwägungsgründe der DSGVO noch das deutsche BDSG) enthält keine ausdrückliche Verpflichtung, dass jede Arztpraxis einen Datenschutzbeauftragten benötigt.

Eindeutig ist dies in § 38 BDSG lediglich für Arztpraxen (und alle anderen Unternehmen) vorgeschrieben, soweit diese in der Regel mehr als 9 Personen (bzw. zukünftig 19 Personen) ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Für alle kleineren Arztpraxen muss dies im Einzelfall abgewägt werden. Nach Artikel 37 Abs. 1 c DSGVO ist ein Datenschutzbeauftragter unabhängig von der Zahl der Beschäftigten zu benennen, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 (z.B. Gesundheitsdaten) besteht.

Braucht jede Arztpraxis einen Datenschutzbeauftragten? weiterlesen

Was muss eine E-Mail-Signatur nach der DSGVO enthalten?

Aufgrund der DSGVO stellen sich viele Unternehmen die Frage, welche Informationen zum Datenschutz in einer E-Mail-Signatur zu geben sind.

Muss überhaupt eine Information gegeben werden und wenn ja, reicht nicht vielleicht eine Verlinkung auf die Datenschutzerklärung der eigenen Website reicht.

Eine E-Mail ist doch keine Datenverarbeitung, oder?

Das Schreiben einer E-Mail stellt eigentlich noch keinen Akt der Datenerhebung dar. Aber der Moment, wenn die E-Mail versandt wurde, ist tatsächlich bereits eine Datenerhebung, denn die E-Mail-Adresse des Empfängers ist nun auf dem eigenen Computer, auf dem Mailserver und ggf. in der Cloud und Datensicherung gespeichert. Denn man kann ja irgendwie mit jedem E-Mail-Programm nachvollziehen, welche E-Mail man wann an wen gesendet hat.

Und nicht nur das, sondern auch eine Antwort auf die E-Mail und die gesamte Korrespondenz wird ja entsprechend via Computer, Smartphone oder Cloud etc. gespeichert und verarbeitet. Also ist bereits eine einzelne gesendete E-Mail bereits ein Akt der Datenverarbeitung und somit müssen auch die entsprechenden Vorgaben zu den Datenschutzhinweisen der DSGVO eingehalten werden.

Was sagt das Gesetz?

Wie genau der Betroffene bei Erhebung der Daten über die Datenerhebung und seine daraus resultierenden Rechte informiert werden muss, dazu enthält Artikel 13 der DSGVO keine Angaben. Die Rede ist dort und in Erwägungsgrund 60 lediglich vom Grundsatz der fairen und transparenten Verarbeitung.

Was muss also nun getan werden?

Um den Nutzer darüber zu unterrichten, dass ein Verarbeitungsvorgang stattfindet und zu welchem Zweck, wäre es eine Möglichkeit, entsprechende Informationen direkt standardmäßig mit in die E-Mail-Signatur aufzunehmen. Dies würde E-Mails nicht nur für einen Leser verlängern, man stelle sich nur einmal vor, es werden mehrere E-Mails hin und her geschrieben in einer Konversation, sondern würde im Falle des Ausdruckens auch unnötige Ressourcen beanspruchen. Ein Link auf die Website scheint daher die bessere Option.

Reicht also der Link?

Verlinkt man nun am Ende der E-Mail auf die Datenschutzerklärung der eigenen Website und ist diese sehr lang (nicht selten sieht man 8 DIN A4-Seiten und mehr), fehlen dazu noch Überschriften und Absätze, so ist der Transparents-Grundsatz nicht umgesetzt, denn der Betroffene möchte vermutlich lediglich wissen, was mit seinen Daten passiert, wenn er mit Ihrem Unternehmen per E-Mail kommuniziert.

Damit er dafür nicht durch die gesamte Datenschutzerklärung scrollen muss, ist eine Möglichkeit, in der E-Mail „Datenschutzhinweise“ zu verlinken, anstatt der vollständigen Datenschutzerklärung.

Wenn man sich dafür entscheidet, sollte es sich dabei jedoch um einen sogenannten Deep-Link handeln, also einen direkten Link zu den entsprechenden Hinweisen, ohne dass sich der Betroffenen durch die ganze Website klicken muss. Diese Unterseite sollte jedoch weder über die Website auffindbar sein, ohne dass der exakte Link eingetippt wird, noch über Google (Stichwort: robots.txt), da bei den beiden Optionen die Möglichkeit gegeben ist, dass die Datenschutzhinweise mit der Datenschutzerklärung verwechselt wird. Dies sollte vermieden werden, da die Datenschutzhinweise ja gerade nicht die vollständigen Informationen über die Datenverarbeitungsvorgänge enthalten. Andererseits sollte die Datenschutzerklärung auch auffindbar sein, wenn man sich auf der Seite der Datenschutzhinweise befindet.

Geht das nicht auch einfacher?

Wir denken schon. Wenn eine Datenschutzerklärung so übersichtlich ist, dass für den Betroffenen das, was er sucht, problemlos zu finden ist, kann man sich ein separates Dokument sparen.

Fazit: Mit einer übersichtlichen Datenschutzerklärung, die nicht überladen ist, Absätzen und einer lesbaren Schriftart, ist allen geholfen. Betroffene finden was sie suchen und Verantwortliche ersparen es sich, das Erstellen eines weiteren Dokumentes, sowie das (für den ein oder anderen möglicherweise etwas komplizierte) Implementieren des Deep-Links.

Für welche Variante man sich auch entscheidet, zumindest einen Link sollte man in die eigene E-Mail-Signatur einpflegen.    

Cookies und die DSGVO

Die DSGVO (EU-Datenschutzgrundverordnung) enthält keine ausdrücklichen Regelungen zum Einsatz von Cookies auf Websites und die ePrivacy-Verordnung, die unter anderem den Umgang mit Cookies regeln soll, wird erst noch erscheinen. 

Vor der DSGVO galt in Deutschland die sogenannte Widerspruchslösung nach § 15 III TMG. Danach waren Cookies regelmäßig zulässig, bis die betroffene Person diesen widersprochen hat.

Nach der DSGVO benötigt man für die Verarbeitung von personenbezogenen Daten, wozu in der Regel auch Cookies gehören, immer eine Rechtsgrundlage. Funktioniert eine Website nicht ohne bestimmte Cookies, so sind diese durch Art. 6 Abs. 1 S. 1 lit. f DSGVO gedeckt, da dann den berechtigten Interessen des Unternehmers keine dem entgegenstehenden überragenden Interessen des Verbrauchers gegenüberstehen. Soweit aber ein Cookie genutzt wird, um darüber hinaus z.B. das Marketing zu unterstützen oder im „schlimmsten Fall“ den Nutzer auch zukünftig wieder zu identifizieren, dann ist eine ausdrückliche Einwilligung erforderlich, denn hieran hat sicherlich der Unternehmen weiterhin ein berechtigtes Interesse, aber der Verbraucher hat grundsätzlich ein schützenswertes Interesse nicht von dem Unternehmer bei seinen weiteren Aktivitäten außerhalb der Website des Unternehmers „verfolgt“ zu werden.

Cookies und die DSGVO weiterlesen

Externer oder interner Datenschutzbeauftragter?

Als Unternehmer/in sind und bleiben Sie datenschutzrechtlich der Verantwortliche.

Aber es gibt doch Gründe, sich für oder gegen einen externen Datenschutzbeauftragten zu unterscheiden.

Begrifflich ist ein interner Datenschutzbeauftragte derjenige, welcher bereits Arbeitnehmer des Unternehmens ist. Ein externer Datenschutzbeauftragter ist derjenige, der ohne Arbeitnehmer des Unternehmens zu sein, durch einen Dienstvertrag zur Wahrnehmung der Pflichten eines Datenschutzbeauftragen verpflichtet wird.

Bei der Wahl, ob für ein Unternehmen eher ein interner oder ein externer Datenschutzbeauftragter passend ist, wird man folgende Kriterien berücksichtigen müssen:

Externer oder interner Datenschutzbeauftragter? weiterlesen