IMPULS: DATENSCHUTZ

Umgang mit Datenschutzvorfällen

Im Umgang mit Datenschutzvorfällen ist es wichtig, schnell zu handeln. Dafür ist ein strukturiertes Vorgehen – im Idealfall auf Basis eines Notfallplans – unerlässlich. Legen Sie daher schon im Vorfeld fest, wer wofür zuständig ist, wie Ergebnisse erreicht werden können und welche Maßnahmen wann notwendig sind und halten Sie dies auch schriftlich fest. Es ist auch wichtig, dass geregelt ist, wer den Datenschutzvorfall melden darf bzw. den Inhalt der Meldung formuliert (z.B. das Datenschutzteam).

Kommt es zu einem Vorfall, muss das Datenschutzteam umgehend informiert werden. Das ist allein deshalb überaus wichtig, weil es möglicherweise enge Fristen zu beachten gilt. 

Im ersten Schritt prüft das Datenschutzteam, ob es durch den Vorfall zu Schäden für Betroffene gekommen ist und wie hoch das Risiko für die Betroffenen ist. In jedem Fall muss der Vorfall bewertet und dokumentiert werden.

Je nach Ergebnis der Risikoabschätzung muss das Datenschutzteam den Vorfall – in der Regel innerhalb von 72 Stunden ab Kenntnisnahme – der zuständigen Aufsichtsbehörde melden. Bei einem hohen Risiko für die Betroffenen muss es zusätzlich die Betroffenen benachrichtigen. Auch hier gibt es Mindestinhalte für diese Benachrichtigung.
Um diese Fristen wahren zu können, müssen Ihre Mitarbeitenden und Ehrenamtlichen wissen, in welchen Situationen sie sich an wen wenden können. Führen Sie daher regelmäßig Sensibilisierungen und Schulungen durch und kommunizieren Sie die Verantwortlichkeiten auf Basis Ihres Notfallplans.

Betroffenenanfragen: Hintergrund und Vorgehensweisen

Im Folgenden gehen wir zunächst auf die Grundlagen von Betroffenenanfragen ein, um anschließend anhand des Auskunftsersuchens beispielhaft zu zeigen, wie die Beantwortung von Betroffenenanfragen aussehen kann.

Die DSGVO dient primär dem Schutz von Privatpersonen. Daher räumt das Datenschutzgesetz Personen auch bestimmte Rechte in Bezug auf ihre Daten ein. Dazu gehört auch die Möglichkeit, Betroffenenanfragen gemäß Art. 15-18 zu stellen:

Auskunftsrecht
Recht auf Berichtigung
Recht auf Löschung („Vergessenwerden“)
Recht auf Einschränkung der Verarbeitung.

Durch diese Rechte behalten Personen die Hoheit über ihre Daten und können aktiv entscheiden, was damit passieren soll. Für Organisationen bedeutet das allerdings, dass sie eigene Prozesse für die Bearbeitung der jeweiligen Betroffenenrechte benötigen – nicht zuletzt, um die vorgegebenen Fristen einzuhalten. Das ist für Organisationen auch deshalb wichtig, damit es nicht zu einem Datenschutzverstoß und möglicherweise zu einem Bußgeld kommt.

Beispiel Auskunftsersuchen

Für jede Art von Betroffenenanfrage bedarf es eines eigenen Prozesses. Im Folgenden zeigen wir, wie dieser für ein "Auskunftsersuchen" aussehen kann. 
Bitte beachten Sie, dass bei den Anfragen von Betroffenen in manchen Fällen sowohl Auskunftsersuchen als auch Löschersuchen oder weitere Themen angefragt werden können. Somit kann es durchaus mehrere parallel laufende Themen geben, die dann bei den Antworten an die Person wieder zusammengeführt werden sollten.

1. Eingang des Auskunftsersuchens

Ein Auskunftsersuchen kann postalisch, telefonisch, per E-Mail oder über die Homepage an Ihren Verein  / Verband herangetragen werden. Der erste Schritt ist sicherzustellen, dass das Ersuchen auch bei den verantwortlichen Mitarbeitenden bzw. im Datenschutzteam landet. Die Mitarbeitenden, bei denen Auskunftsersuchen eingehen, sollten diese entsprechend weiterleiten. Aus Höflichkeit und Transparenz können Sie dem / der Betroffenen zudem eine Eingangsbestätigung schicken. Das ist allerdings keine Pflicht.

2. Identitätsprüfung

Im nächsten Schritt überprüfen Sie, ob es sich bei der anfragenden Person auch tatsächlich um die betroffene Person handelt. Dafür vergleichen Sie – je nachdem, über welchen Weg das Ersuchen eingegangen ist – die Post- oder E-Mail-Adressen mit den in der Datenbank hinterlegten Stammdaten. Stimmen diese nicht überein und sollten Sie Zweifel an der Identität des / der Anfragenden haben, leiten Sie ein Authentifizierungsverfahren auf Basis der zu erwartenden Risiken ein.

3. Bearbeitung

Bevor Sie die Daten der betroffenen Person zusammensuchen, kann es sich anbieten, diese um eine Präzisierung ihres Ersuchens zu bitten. Sind nur bestimmte Informationen oder Zeiträume relevant? So können Sie konkret auf die Wünsche der betroffene Person eingehen und sparen sich potenziell, unnötig viele Daten mühsam zusammenzusuchen.

Für eine erfolgreiche Bearbeitung des Auskunftsersuchens ist es unerlässlich, zunächst mit den verschiedenen Fachbereichen zu kommunizieren und in der Datenbank zu überprüfen, wo überall Daten des / der Betroffenen verarbeitet wurden und werden. 

Wenn Sie im nächsten Schritt in Ihr aktualisiertes Verzeichnis der Verarbeitungstätigkeiten (VVT) schauen, können Sie sich direkt auf die betroffenen Bereiche konzentrieren. Hieraus sollten Sie Verarbeitungszwecke, Kategorien von Daten, Empfänger, falls möglich Speicherdauer, Herkunft der Daten und mögliches Profiling etc. ablesen können. 
All diese Daten müssen Sie dem / der Betroffenen zur Verfügung stellen. So können Sie alle benötigen Informationen zusammentragen.

4. Beantwortung

Wenn Sie alle Informationen und ggf. Kopien der Daten gesammelt haben, senden Sie diese der betroffenen Person zu. Dabei müssen Sie auf einen angemessenen Übertragungsweg achten, der ein ausreichendes Sicherheitsniveau – je nach Sensibilität der zu übertragenden Daten – bietet. Außerdem sollte die Beantwortung auf dem gleichen Wege erfolgen, wie das Ersuchen bei Ihnen eingegangen ist. Beachten Sie zudem die Frist und dass die Beantwortung in einfacher Sprache erfolgen sollte.

5. Abschluss des Verfahrens

Mit der Beantwortung des Auskunftsersuchens ist der Bearbeitungsprozess zwar fast, aber noch nicht ganz abgeschlossen. Sie sollten zum Abschluss den Vorgang genau dokumentieren und zudem die Speicherfrist festlegen. Danach können Sie dann das Verfahren schließen.

Angemessenheitsbeschlusses für einen sicheren Datenverkehr mit den USA

Die Europäische Kommission hat am 13.12.2022 das "... Verfahren zur Annahme eines Angemessenheitsbeschlusses für einen sicheren Datenverkehr mit den USA" eingeleitet.
Somit ist es nicht unwahrscheinlich, dass in absehbarer Zeit ein "Angemessenheitsbeschluss für einen sicheren Datenverkehr mit den USA" seitens der EU-Kommission getroffen werden wird. Hier der Link zur Pressemitteilung der EU-Kommission Damit würde der Datenverkehr mit den USA wieder enorm erleichtert werden.

Es wird allerdings aktuell auch davon ausgegangen, dass die NOYB-Organisation rund um Max Schrems nach Abschluss des Verfahrens erneut vor dem Europäischen Gerichtshof klagen wird, was zur Folge haben kann, dass der zu erwartende Angemessenheitsbeschluss durch das Gericht erneut zu Fall gebracht werden könnte.

Beschluss der Datenschutzkonferenz, dass der "Nachweis Microsoft 365 datenschutzkonform zu betreiben, (…) nicht geführt werden (kann)"

Am 24.11.2022 hat die Datenschutzkonferenz (DSK) (bestehend aus den unabhängigen Datenschutzbehörden des Bundes und der Länder) einen Beschluss zu M365 gefasst, in dem folgendes festgelegt wurde:

"Die DSK stellt unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten „Datenschutznachtrags vom 15. September 2022“ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden. 

Link zum Beschlusstest /// Link zum vollständigen, 58 Seiten umfassenden Abschlussbericht /// Link zur 8-seitigen Zusammenfassung

Es wird „nicht“ damit gerechnet, dass sich dieser Beschluss in Zusammenhang mit dem zu erwartenden Angemessenheitsbeschluss der EU-Kommission ändern wird.

Text: Claus Wissing Wissing (Geschäftsführender Gesellschafter beim Sachverständigenbüro Mülot, WiR Solutions GmbH und der mit.data GmbH). Claus Wissing ist einer unserer Experten für das Thema Datenschutz und betreut zusammen mit Toni Niewerth das FA-Datenschutzportal.

Dieser Impulsbeitrag ist ein Auszug aus dem Datenschutz Info-Brief der Führungs-Akademie (Nr. 11, Dez. 2022, S. 3-5), den wir den Abonnentinnen und Abonnenten unseres Datenschutzportals monatlich zusenden.

Werden auch Sie Teil unserer Datenschutz-Comunity!

Toni Niewerth

niewerth@fuehrungs-akademie.de

0221 717997-59

Zum Datenschutzportal: Infos und Anmeldung