BvD-Herbstkonferenz · BvD-Herbstkonferenz Security Breach Notification - Risiken der Meldepflicht Stuttgart, 25.10.2018 RA Dr. Jens Eckhardt Fachanwalt IT-Recht Datenschutz-Auditor

BvD-Herbstkonferenz

Security Breach Notification - Risiken der Meldepflicht

Stuttgart, 25.10.2018

RA Dr. Jens Eckhardt

Fachanwalt IT-Recht Datenschutz-Auditor (TÜV) und Compliance-Officer (TÜV)

RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin

2

�  PflichtzurMeldungnachAr4.33,34DS-GVO

�  WeristzurMeldungundBenachrichEgungverpflichtet?

�  AufdenzweitenBlick:MöglicheKonsequenzender(Nicht-)Meldung

�  ÜberlegungfürdieOrganisaEonunddieHandhabungimUnternehmen

�  FragenundDiskussion

Security Breach Notification - Risiken der Meldepflicht Agenda


3

�  Melde-/BenachrichAgungspflichto  Art.4Nr.12,ArW.33,34,ErwGr59,67ff.DS-GVOo  Handhabung:Art.29Gruppe,WP250rev.01:“Guidelineson…”

�  ZweistufigkeitMeldepflicht�  Auslöser:VerletzungdesSchutzespersonenbezogenerDateno  1.Stufe:MeldunganAufsichtsbehörde(Art.33DS-GVO)

o  Ausschluss,falls„voraussichtlichnichtzueinemRisikofürdiepersönlichenRechteundFreiheitenführt“o  Art.29Gruppe,WP250rev.01:RisikoklassifizierungeninAnhangB

èGrundsatz:Meldepflicht,aberAusnahmeno  2.Stufe:BenachrichAgungderbetroffenenPersonen(Art.34DS-GVO)

o  sofern:fallsWahrscheinlichkeitfürhohesRisikoo  aberdennoch:Ausnahmenmöglich

ènichtallein:VerletzungdesSchutzespers.bez.Dateno  Aufsichtsbehörden:VerlangenderUnterrichtung

Pflicht zur Meldung nach Artt. 33, 34 DS-GVO


4

�  „VerletzungdesSchutzespersonenbezogenerDaten“(Art.4Nr.12DS-GVO)„eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, obzufällig oder unrechtmäßig, oder zur unbefugten Weitergabe von beziehungsweise zumunbefugtenZugangzupersonenbezogenenDaten führt,dieübermiKelt,gespeichertoderaufsonsLgeWeiseverarbeitetwurden“o  keineBeschränkungaufbesEmmtepersonenbezogeneDateno  nichterforderlich:Verschuldeno  erforderlich:Kenntnis(„ihmdieVerletzungbekanntwurde“)

�  RisikofürdieRechteundFreiheitennatürlicherPersonen

o  Risiko(Art.33DS-GVO)oderhohesRisiko(Art.34DS-GVO)o  keineDefiniEoninderDS-GVOo  ErwGr.76S.2DS-GVO:„…RisikosollteanhandeinerobjekQvenBewertung…“o  (keine)DeckungsgleicheitmitRisikoklassifizierungderDSFA?o  Art.29Gruppe,WP250rev.01:RisikoklassifizierungeninAnhangB



5

�  MeldunganAufsichtsbehörde(Art.33DS-GVO)o  ohneunangemesseneVerzögerungundmöglichstbinnenhöchstens72

StundenabKenntniso  fallsspäter,dannBegründungserfordernis

o  angemäßArEkel51DS-GVOzuständigeAufsichtsbehördeo  Ausnahme:„voraussichtlichnichtzueinemRisikofürdiepersönlichenRechte

undFreiheitenführt“o  VorgabenzuInhaltderBenachrichEgungundDokumentaEon(Art.33Abs.3)

o  ArtderVerletzungdesSchutzespersonenbezogenerDatenplus(soweitmöglich)KategorienundderungefährenZahlderbetroffenenPersonen,betroffenenKategorienundderungefährenZahlderbetroffenenpersonenbezogenenDatensätze

o  denNamenunddieKontaktdatendesDatenschutzbeauiragtenodereinersonsEgenAnlaufstellefürweitereInformaEonen

o  BeschreibungderwahrscheinlichenFolgenderVerletzungdesSchutzespersonenbez.Dateno  BeschreibungdervondemVerantwortlichenergriffenenodervorgeschlagenenMaßnahmen

zurBehebungderVerletzungdesSchutzespersonenbezogenerDatenundgegebenenfallsMaßnahmenzurAbmilderungihrermöglichennachteiligenAuswirkungen.

o  teilweise:Online-Meldeformularebzw.FormularederAufsichtsbehördeno  RisikenderVerwendung?



6

�  BenachrichAgungderbetroffenenPersonen(Art.34DS-GVO)o  VoraussetzungderBenachrichAgungspflicht

„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohesRisikofürdiepersönlichenRechteundFreiheitennatürlicherPersonenzurFolge,…“

o  InhaltderBenachrichAgung„… beschreibt in klarer und einfacher Sprache die Art der Verletzung des SchutzespersonenbezogenerDatenundenthältmindestensdieinArQkel33Absatz3Buchstabenb,cunddgenanntenInformaQonenundEmpfehlungen.“

o  AusnahmenvonderPflichtzurBenachrichAgung(Art.34Abs.3DS-GVO)o  geeignetetechnisch-organisatorischeMaßnahmeno  AusschlussdeshohenRisikosdurch„Folgemaßnahmen“o  UnverhältnismäßigkeitdesAufwandsfürindividuelleBenachrichEgung:„öffentlicheBekanntmachungodereineähnlicheMaßnahmezuerfolgen,durchdiediebetroffenenPersonenvergleichbarwirksaminformiertwerden“



7

�  PflichtzurMeldungnachArW.33,34DS-GVO

�  WeristzurMeldungundBenachrichAgungverpflichtet?






8

�  RolledesVerantwortlicheno  Art.33Abs.1DS-GVO:„…meldetderVerantwortliche…,nachdemihmdieVerletzungbekanntwurde…“

o  Art.34Abs.1DS-GVO:„…benachrichQgtderVerantwortliche…“�  RolledesAucragsverarbeiters

o  Art.33Abs.2DS-GVO:„WenndemAuZragsverarbeitereineVerletzungdesSchutzespersonenbezogenerDatenbekanntwird,meldeterdiesedemVerantwortlichenunverzüglich.“

�  JointControllership(Art.26DS-GVO)o  „LegenzweiodermehrVerantwortlichegemeinsamdieZweckederunddieMi]elzurVerarbeitungfest,sosindsiegemeinsamVerantwortliche.SielegenineinerVereinbarungintransparenterFormfest,wervonihnenwelcheVerpflichtunggemäßdieserVerordnungerfüllt…“

�  RolledesDatenschutzbeaucragten(vgl.Art.33Abs.3lit.b,Art.34Abs.2DS-GVO)o  „…denNamenunddieKontaktdatendesDatenschutzbeauZragtenodereinersonsQgenAnlaufstellefürweitereInformaQonen“

Wer ist zur Meldung und Benachrichtigung verpflichtet?


9








10

�  MöglicheKonsequenzenderNicht-Meldungo  GeldbußenachArt.83Abs.4lit.aDS-GVO

o  sowohlArt.33alsauchArt.34DS-GVOo  „…vonbiszu10000000EURoderimFalleinesUnternehmensvonbiszu2%seines

gesamtenweltweiterzieltenJahresumsatzesdesvorangegangenenGeschäZsjahrsverhängt,jenachdem,welcherderBeträgehöherist…“

o  gegenVerantwortlichenundAuiragsverarbeitero  VerschuldenalsVoraussetzungeneinerSankEon(scheinbarstr.)

o  ZivilrechtlicheAnsprüchebeiUnterlassenderBenachrichAgungnachArt.34o  SchadensersatzanspruchnachArt.82DS-GVO,Vertrag,etc.o  SchadeninfolgeUnterlassenderBenachrichEgung

Auf den zweiten Blick: Mögliche Konsequenzen der (Nicht-)Meldung


11

�  MöglicheKonsequenzenderMeldungo  NeueProblemfelder/Risikolagen

o  MiWeilungderVerletzungdesSchutzespersonenbezogenerDateno  bspw.bisherkeineSankEonbeiVerstoßgegen§9BDSGèMiWeilungeinesbußgeldbewehrtenVorfalls

o  OrganisaEonspflichtenderDS-GVOo  bspw.bisherkeineOrganisaEonspflichtwieArt.24DS-GVO)

èGrundlagefürOrganisaEonsverschuldeno  GeldbußenachArt.83Abs.4lit.aDS-GVO

o  jenachUrsachedesVorfallso  insbesondereArt.32DS-GVOi.V.m.Art.83Abs.4lit.aDS-GVO

o  „…vonbiszu10000000EURoderimFalleinesUnternehmensvonbiszu2%seinesgesamtenweltweiterzieltenJahresumsatzesdesvorangegangenenGeschäZsjahrsverhängt,jenachdem,welcherderBeträgehöherist…“

o  gegenVerantwortlichenundAuiragsverarbeitero  VerschuldenalsVoraussetzungeneinerSankEon(scheinbarstr.)



12

�  [MöglicheKonsequenzenderMeldung–Fortsetzung]o  ZivilrechtlicheAnsprüchebeiMeldungundBenachrichAgung

o  SchadendurchUrsachederMeldungundBenachrichEgungo  materiellerundimmateriellerSchaden

o  SchadensersatzanspruchnachArt.82DS-GVO,Vertrag,etc.o  ArW.79,82DS-GVO:auchgegenAuiragsverarbeitero  Art.82DS-GVO:GesamtschuldnerischeHaiungvonArW.26,28DS-GVO

è Besonderheit:Meldung=GrundlagefürSankLonundSchadensersatzansprüche



13

�  [MöglicheKonsequenzenderMeldung–Fortsetzung]o  str.:reduzierendeWirkunginBezugaufBußgeldinBezugaufUrsache(Art.83Abs.2)o  „c)jeglichevondemVerantwortlichenoderdemAuZragsverarbeitergetroffenen

MaßnahmenzurMinderungdesdenbetroffenenPersonenentstandenenSchadens;“o  „h)ArtundWeise,wiederVerstoßderAufsichtsbehördebekanntwurde,insbesondere

obundgegebenenfallsinwelchemUmfangderVerantwortlicheoderderAuZragsverarbeiterdenVerstoßmitgeteilthat;“

o  Konfliktlageo  BußgeldbewehrungderNicht-Meldungo  VerstoßgegenGrundgesetz:nemotenetur–Grundsatzo  VerstoßgegenArt.8EMRKo  §§42Abs.4,43Abs.4BDSG

o  „Beweisverwendungsverbötchen“beiSelbstanzeigeo  Problem:SchutzdesUnternehmens,nichtderOrganeundHandelndeno  ZivilrechtlicheHaiungsbegrenzung????



14



�  AufdenzweitenBlick:MöglicheKonsequenzenderMeldung

�  ÜberlegungfürdieOrganisaAonunddieHandhabungimUnternehmen




15

�  MeldungoderNicht-Meldungo  UnternehmerischeRisikoentscheidung?o  VermeidungdurchWunschnachVerneinungvonArW.33,34DS-GVO

�  OrganisatorischeVorbereitungimUnternehmeno  SicherstellungderunternehmensinternenMeldungo  Bewertungsschemavorbereiten?o Werentscheidet?

o  UnterscheidungzwischenVorbereitungundfinalerUnterscheidung?�  Aucragsverarbeitung

o  ErfüllungderPflichtnachArt.33Abs.2DS-GVO:Wie?o  VertraglicheAusgestaltungdesArt.33Abs.2DS-GVOo  HaiungsbegrenzungundFreistellung

�  MeldungandieAufsichtsbehördeundBenachrichAgungderbetroffenenPerson(en)o  „hardball“:BeginnderVerteidigunggegenBußgeldundSchadensersatz

o  Sonderfall:Auiragsverarbeitungo Wirdeswirklichsohartgespielt?o WererstelltdieInformaEon?

Überlegung für die Organisation und die Handhabung im Unternehmen

BildRA BildRA

FragenundDiskussion!

RechtsanwaltDr.JensEckhardt

FachanwaltfürIT-RechtDatenschutz-Auditor(TÜV)Compliance-Officer(TÜV)

BerlinerAllee5540212Düsseldorf

Tel.:+49211–17520660Fax:+49211–[email protected]

www.derra.eu

Rechtsanwalt Dr. Jens Eckhardt

Fachanwalt für Informationstechnologierecht und Datenschutz-Auditor (TÜV) sowie Compliance-Officer (TÜV) Derra, Meyer & Partner – www.derra.eu – [email protected]

Seit 2001 berät er bundesweit nationale und internationale Unternehmen zu den Themen Datenschutz, Informationstechnologie, Telekommunikation und Marketing. Die Beratung umfasst die gerichtliche Vertretung, Vertretung gegenüber Aufsichtsbehörden, insbesondere im Datenschutz, die strategische Beratung bei der Einführung neuer Systeme, die Bewertung von bestehenden Systemen, das Outsourcing sowie die Vertragsgestaltung.

Funktionen als •  M i t g l i e d i m V o r s t a n d d e s B e r u f s v e r b a n d d e r

Datenschutzbeauftragten Deutschlands (BvD) e.V (Ressort Recht)

•  Mitglied im Vorstand von EuroCloud Deutschland_eco e.V. (Ressort Recht)

•  Dozent zum Datenschutzrecht der udis Ulmer Akademie für Datenschutz und IT-Sicherheit – gemeinnützige Gesellschaft mbH

•  Dozent der DeutscheAnwaltAkademie Gesellschaft für Aus- und Fortbildung sowie Serviceleistungen mbH (Fortbildung im Bereich Fachanwalt IT-Recht)

•  Mitglied im Beirat der ZD Zeitschrift für Datenschutz, Verlag C.H. Beck München

•  Lehrbeauftragter der SRH Fernhochschule Riedlingen zum Internet- und Medienrecht und Datenschutz im Studiengang Medien und Kommunikation

•  Anhörung durch die Datenschutzaufsichtsbehörden als Fachexperte für Werbung und Adresshandel

•  Head of Legal Advisory Board , EuroCloud Star Audit •  M o d e r a t o r u n d R e f e r e n t v e r s c h i e d e n e r

Datenschutzveranstaltungen und Autor von Fachbeiträgen zum Datenschutz-, IT-, Zivil- und Wettbewerbsrecht und zur Datenschutz-Grundverordnung

Auswahl der Veröffentlichungen: •  Herausgeber eines inhaltlichen aufbereiteten Gesetzestextes zur

DS-GVO, TKMmed!a •  Rüpke/v. Lewinski/Eckhardt, Datenschutzrecht, 2018, Verlag C.H.

Beck •  Eckhardt/Kramer/Tausch, DS-GVO-Kompendium, TKMmed!a •  D a t e n s c h u t z u n d M a r k e t i n g – P r a x i s l e i t f a d e n f ü r

Datenschutzbeauftragte und Geschäftsleitung, TKMmed!a, •  Bergmann/Möhrle/Herb, BDSG/DS-GVO , Mit-Autor, Boorberg

Verlag •  Beck‘scher Online-Kommentar, Wolff/Brink, BDSG/DS-GVO , Mit-

Autor, Verlag C.H. Beck München •  Recht der elektronischen Medien, Kommentar, Mitautor seit 1.

Aufl., Verlag C. H. Beck München •  Handbuch IT- und Datenschutzrecht, Mitautor seit 1. Aufl., Verlag

C. H. Beck München •  Beck’scher TKG Kommentar, Mitautor seit 4. Aufl. 2013, Verlag

C. H. Beck München •  Bspw. „Wann ist ein Datum ein personenbezogenes Datum?“,

gemeinsam mit Dr. Brink (Landesbeauftragter für den Datenschutz Baden-Württemberg, ZD Editorial 1/2015 und ZD 2015, 205 ff.

•  Leitfaden – Datenschutz und Cloud Computing, Mitautor und Leiter der Taskforce „Datenschutz“ der AG „Rechtsrahmen im Cloud Computing“, Trusted Cloud-Initiative des BMWi

•  Big Data im Marketing – Chancen und Möglichkeiten für eine effektive Kundenansprache, 2015, Mitautor, Haufe Gruppe

•  Digitalisierung und Transformation im Unternehmen, Mitautor, KS-Energy-Verlag

Documents

BvD-Herbstkonferenz · BvD-Herbstkonferenz Security Breach Notification - Risiken der Meldepflicht Stuttgart, 25.10.2018 RA Dr. Jens Eckhardt Fachanwalt IT-Recht Datenschutz-Auditor