Österreich: Neues EU-Datenschutzrecht: Datenschutzverstöße

Datenschutzverstöße können ab dem 25. Mai 2018 nach der DSGVO schärfer und erleichtert sanktioniert werden. Unternehmen und anderen datenverarbeitenden Stellen drohen nicht nur erleichtert durchsetzbare Schadensersatzansprüche Betroffener, sondern darüber hinaus die Verhängung höherer Bußgelder der Aufsichtsbehörden.

Hinzu tritt das gestiegene Risiko von Reputationsschäden, die aus meldepflichtigen Datenschutzverstößen resultieren können.

Unternehmen und sonstige datenverarbeitende Stellen sollten ihre Organisation daher so gestalten, dass sie nicht nur fähig sind, auf Datenschutzverstöße schnell und effektiv zu reagieren, sondern alles Notwendige unternehmen, um sie im Vorfeld zu vermeiden.

Erkennen

Das Wichtigste ist, Datenschutzverstöße überhaupt erkennen zu können. Nur wer weiß, dass etwas nicht in Ordnung ist, kann es in Ordnung bringen. Um diese Erkenntnisfähigkeit sicherzustellen, sind regelmäßige Schulungen der Mitarbeiter und die Einbeziehung des Datenschutzbeauftragten unumgänglich.

Dokumentieren

Nach der DSGVO sind alle Datenschutzverstöße samt dessen Ursachen und Auswirkungen zu dokumentieren. Anhand dieser Dokumentation kann insbesondere auch abgeleitet werden, ob und welche vorhandenen Schnittstellen, Prozesse und Maßnahmen effektiv sind oder optimiert werden müssen.

Maßnahmen ergreifen

Natürlich sind Erkennen und Dokumentieren allein nicht ausreichend. Gemeinsam mit der zuständigen Fachabteilung, des IT-Administrators und dem Datenschutzbeauftragten sollten vielmehr zudem die zu ergreifenden Maßnahmen abgesprochen werden. Unabhängig vom Vorliegen eines Datenschutzverstoßes ist anzuraten, die Datensicherheitsmaßnahmen regelmäßig auf Effektivität und Effizienz zu prüfen und das jeweilige Prüfungsergebnis zu dokumentieren.

Risiko prüfen

Unmittelbar im Anschluss an die Entscheidung über die zu ergreifenden Maßnahmen sollte das bereits entstandene Risiko für die Rechte und Interessen derjenigen, deren Daten betroffen sind, und das Maß der Risikoreduzierung, das infolge der zu treffenden Maßnahmen eintritt, betrachtet und auf das verbleibende Restrisiko durch den Datenschutzbeauftragten überprüft werden. Im Rahmen der Risikobetrachtung ist zu analysieren, ob und inwiefern infolge der offengelegten Daten Aussagen insbesondere über die wirtschaftliche Lage, Gesundheit, Zuverlässigkeit oder Arbeitsleistung der Betroffenen möglich sind und wie viele Personen dies betrifft.

Verstöße melden

Abhängig von dem Ergebnis der Risikoprüfung ist zu entscheiden, ob es sich um ein geringfügiges, normales oder hohes Restrisiko handelt. Die getroffene Entscheidung und die dieser zugrundeliegenden Erwägungen sind zu dokumentieren. Bei geringfügigen Restrisiken kann auf eine Meldung verzichtet werden. Bei als normal eingeschätzten Restrisiken ist die jeweils zuständige Aufsichtsbehörde über die Art des Datenschutzverstoßes, die Art und Anzahl der betroffenen Datensätze und Betroffenen sowie die festgestellten Restrisiken und geplanten bzw. bereits ergriffenen Maßnahmen zu informieren. Im Anschluss werden das OB und WIE von weiteren Maßnahmen mit der Aufsichtsbehörde abgesprochen. Bei als hoch eingestuften Restrisiken sind sowohl die Aufsichtsbehörde als auch die Betroffenen selbst zu informieren. Sprachlich ist gegenüber den Betroffenen besonderes Augenmerk auf Verständlichkeit und Transparenz der übermittelten Informationen zu legen.

Es empfiehlt sich, den Prozess zum Vorgehen bei Datenschutzverstößen in einem sog. Krisenplan festzuhalten.

Bei weiteren Fragen stehen die KollegInnen der jeweiligen Standorte jederzeit gerne zur Verfügung.

Weitere Artikel zum Themenschwerpunkt „Datenschutzgrundverordnung 2018“