Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
BvD-Herbstkonferenz
Security Breach Notification - Risiken der Meldepflicht
Stuttgart, 25.10.2018
RA Dr. Jens Eckhardt
Fachanwalt IT-Recht Datenschutz-Auditor (TÜV) und Compliance-Officer (TÜV)
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
2
� PflichtzurMeldungnachAr4.33,34DS-GVO
� WeristzurMeldungundBenachrichEgungverpflichtet?
� AufdenzweitenBlick:MöglicheKonsequenzender(Nicht-)Meldung
� ÜberlegungfürdieOrganisaEonunddieHandhabungimUnternehmen
� FragenundDiskussion
Security Breach Notification - Risiken der Meldepflicht Agenda
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
3
� Melde-/BenachrichAgungspflichto Art.4Nr.12,ArW.33,34,ErwGr59,67ff.DS-GVOo Handhabung:Art.29Gruppe,WP250rev.01:“Guidelineson…”
� ZweistufigkeitMeldepflicht� Auslöser:VerletzungdesSchutzespersonenbezogenerDateno 1.Stufe:MeldunganAufsichtsbehörde(Art.33DS-GVO)
o Ausschluss,falls„voraussichtlichnichtzueinemRisikofürdiepersönlichenRechteundFreiheitenführt“o Art.29Gruppe,WP250rev.01:RisikoklassifizierungeninAnhangB
èGrundsatz:Meldepflicht,aberAusnahmeno 2.Stufe:BenachrichAgungderbetroffenenPersonen(Art.34DS-GVO)
o sofern:fallsWahrscheinlichkeitfürhohesRisikoo aberdennoch:Ausnahmenmöglich
ènichtallein:VerletzungdesSchutzespers.bez.Dateno Aufsichtsbehörden:VerlangenderUnterrichtung
Pflicht zur Meldung nach Artt. 33, 34 DS-GVO
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
4
� „VerletzungdesSchutzespersonenbezogenerDaten“(Art.4Nr.12DS-GVO)„eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, obzufällig oder unrechtmäßig, oder zur unbefugten Weitergabe von beziehungsweise zumunbefugtenZugangzupersonenbezogenenDaten führt,dieübermiKelt,gespeichertoderaufsonsLgeWeiseverarbeitetwurden“o keineBeschränkungaufbesEmmtepersonenbezogeneDateno nichterforderlich:Verschuldeno erforderlich:Kenntnis(„ihmdieVerletzungbekanntwurde“)
� RisikofürdieRechteundFreiheitennatürlicherPersonen
o Risiko(Art.33DS-GVO)oderhohesRisiko(Art.34DS-GVO)o keineDefiniEoninderDS-GVOo ErwGr.76S.2DS-GVO:„…RisikosollteanhandeinerobjekQvenBewertung…“o (keine)DeckungsgleicheitmitRisikoklassifizierungderDSFA?o Art.29Gruppe,WP250rev.01:RisikoklassifizierungeninAnhangB
Pflicht zur Meldung nach Artt. 33, 34 DS-GVO
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
5
� MeldunganAufsichtsbehörde(Art.33DS-GVO)o ohneunangemesseneVerzögerungundmöglichstbinnenhöchstens72
StundenabKenntniso fallsspäter,dannBegründungserfordernis
o angemäßArEkel51DS-GVOzuständigeAufsichtsbehördeo Ausnahme:„voraussichtlichnichtzueinemRisikofürdiepersönlichenRechte
undFreiheitenführt“o VorgabenzuInhaltderBenachrichEgungundDokumentaEon(Art.33Abs.3)
o ArtderVerletzungdesSchutzespersonenbezogenerDatenplus(soweitmöglich)KategorienundderungefährenZahlderbetroffenenPersonen,betroffenenKategorienundderungefährenZahlderbetroffenenpersonenbezogenenDatensätze
o denNamenunddieKontaktdatendesDatenschutzbeauiragtenodereinersonsEgenAnlaufstellefürweitereInformaEonen
o BeschreibungderwahrscheinlichenFolgenderVerletzungdesSchutzespersonenbez.Dateno BeschreibungdervondemVerantwortlichenergriffenenodervorgeschlagenenMaßnahmen
zurBehebungderVerletzungdesSchutzespersonenbezogenerDatenundgegebenenfallsMaßnahmenzurAbmilderungihrermöglichennachteiligenAuswirkungen.
o teilweise:Online-Meldeformularebzw.FormularederAufsichtsbehördeno RisikenderVerwendung?
Pflicht zur Meldung nach Artt. 33, 34 DS-GVO
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
6
� BenachrichAgungderbetroffenenPersonen(Art.34DS-GVO)o VoraussetzungderBenachrichAgungspflicht
„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohesRisikofürdiepersönlichenRechteundFreiheitennatürlicherPersonenzurFolge,…“
o InhaltderBenachrichAgung„… beschreibt in klarer und einfacher Sprache die Art der Verletzung des SchutzespersonenbezogenerDatenundenthältmindestensdieinArQkel33Absatz3Buchstabenb,cunddgenanntenInformaQonenundEmpfehlungen.“
o AusnahmenvonderPflichtzurBenachrichAgung(Art.34Abs.3DS-GVO)o geeignetetechnisch-organisatorischeMaßnahmeno AusschlussdeshohenRisikosdurch„Folgemaßnahmen“o UnverhältnismäßigkeitdesAufwandsfürindividuelleBenachrichEgung:„öffentlicheBekanntmachungodereineähnlicheMaßnahmezuerfolgen,durchdiediebetroffenenPersonenvergleichbarwirksaminformiertwerden“
Pflicht zur Meldung nach Artt. 33, 34 DS-GVO
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
7
� PflichtzurMeldungnachArW.33,34DS-GVO
� WeristzurMeldungundBenachrichAgungverpflichtet?
� AufdenzweitenBlick:MöglicheKonsequenzender(Nicht-)Meldung
� ÜberlegungfürdieOrganisaEonunddieHandhabungimUnternehmen
� FragenundDiskussion
Security Breach Notification - Risiken der Meldepflicht Agenda
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
8
� RolledesVerantwortlicheno Art.33Abs.1DS-GVO:„…meldetderVerantwortliche…,nachdemihmdieVerletzungbekanntwurde…“
o Art.34Abs.1DS-GVO:„…benachrichQgtderVerantwortliche…“� RolledesAucragsverarbeiters
o Art.33Abs.2DS-GVO:„WenndemAuZragsverarbeitereineVerletzungdesSchutzespersonenbezogenerDatenbekanntwird,meldeterdiesedemVerantwortlichenunverzüglich.“
� JointControllership(Art.26DS-GVO)o „LegenzweiodermehrVerantwortlichegemeinsamdieZweckederunddieMi]elzurVerarbeitungfest,sosindsiegemeinsamVerantwortliche.SielegenineinerVereinbarungintransparenterFormfest,wervonihnenwelcheVerpflichtunggemäßdieserVerordnungerfüllt…“
� RolledesDatenschutzbeaucragten(vgl.Art.33Abs.3lit.b,Art.34Abs.2DS-GVO)o „…denNamenunddieKontaktdatendesDatenschutzbeauZragtenodereinersonsQgenAnlaufstellefürweitereInformaQonen“
Wer ist zur Meldung und Benachrichtigung verpflichtet?
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
9
� PflichtzurMeldungnachArW.33,34DS-GVO
� WeristzurMeldungundBenachrichEgungverpflichtet?
� AufdenzweitenBlick:MöglicheKonsequenzender(Nicht-)Meldung
� ÜberlegungfürdieOrganisaEonunddieHandhabungimUnternehmen
� FragenundDiskussion
Security Breach Notification - Risiken der Meldepflicht Agenda
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
10
� MöglicheKonsequenzenderNicht-Meldungo GeldbußenachArt.83Abs.4lit.aDS-GVO
o sowohlArt.33alsauchArt.34DS-GVOo „…vonbiszu10000000EURoderimFalleinesUnternehmensvonbiszu2%seines
gesamtenweltweiterzieltenJahresumsatzesdesvorangegangenenGeschäZsjahrsverhängt,jenachdem,welcherderBeträgehöherist…“
o gegenVerantwortlichenundAuiragsverarbeitero VerschuldenalsVoraussetzungeneinerSankEon(scheinbarstr.)
o ZivilrechtlicheAnsprüchebeiUnterlassenderBenachrichAgungnachArt.34o SchadensersatzanspruchnachArt.82DS-GVO,Vertrag,etc.o SchadeninfolgeUnterlassenderBenachrichEgung
Auf den zweiten Blick: Mögliche Konsequenzen der (Nicht-)Meldung
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
11
� MöglicheKonsequenzenderMeldungo NeueProblemfelder/Risikolagen
o MiWeilungderVerletzungdesSchutzespersonenbezogenerDateno bspw.bisherkeineSankEonbeiVerstoßgegen§9BDSGèMiWeilungeinesbußgeldbewehrtenVorfalls
o OrganisaEonspflichtenderDS-GVOo bspw.bisherkeineOrganisaEonspflichtwieArt.24DS-GVO)
èGrundlagefürOrganisaEonsverschuldeno GeldbußenachArt.83Abs.4lit.aDS-GVO
o jenachUrsachedesVorfallso insbesondereArt.32DS-GVOi.V.m.Art.83Abs.4lit.aDS-GVO
o „…vonbiszu10000000EURoderimFalleinesUnternehmensvonbiszu2%seinesgesamtenweltweiterzieltenJahresumsatzesdesvorangegangenenGeschäZsjahrsverhängt,jenachdem,welcherderBeträgehöherist…“
o gegenVerantwortlichenundAuiragsverarbeitero VerschuldenalsVoraussetzungeneinerSankEon(scheinbarstr.)
Auf den zweiten Blick: Mögliche Konsequenzen der (Nicht-)Meldung
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
12
� [MöglicheKonsequenzenderMeldung–Fortsetzung]o ZivilrechtlicheAnsprüchebeiMeldungundBenachrichAgung
o SchadendurchUrsachederMeldungundBenachrichEgungo materiellerundimmateriellerSchaden
o SchadensersatzanspruchnachArt.82DS-GVO,Vertrag,etc.o ArW.79,82DS-GVO:auchgegenAuiragsverarbeitero Art.82DS-GVO:GesamtschuldnerischeHaiungvonArW.26,28DS-GVO
è Besonderheit:Meldung=GrundlagefürSankLonundSchadensersatzansprüche
Auf den zweiten Blick: Mögliche Konsequenzen der (Nicht-)Meldung
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
13
� [MöglicheKonsequenzenderMeldung–Fortsetzung]o str.:reduzierendeWirkunginBezugaufBußgeldinBezugaufUrsache(Art.83Abs.2)o „c)jeglichevondemVerantwortlichenoderdemAuZragsverarbeitergetroffenen
MaßnahmenzurMinderungdesdenbetroffenenPersonenentstandenenSchadens;“o „h)ArtundWeise,wiederVerstoßderAufsichtsbehördebekanntwurde,insbesondere
obundgegebenenfallsinwelchemUmfangderVerantwortlicheoderderAuZragsverarbeiterdenVerstoßmitgeteilthat;“
o Konfliktlageo BußgeldbewehrungderNicht-Meldungo VerstoßgegenGrundgesetz:nemotenetur–Grundsatzo VerstoßgegenArt.8EMRKo §§42Abs.4,43Abs.4BDSG
o „Beweisverwendungsverbötchen“beiSelbstanzeigeo Problem:SchutzdesUnternehmens,nichtderOrganeundHandelndeno ZivilrechtlicheHaiungsbegrenzung????
Auf den zweiten Blick: Mögliche Konsequenzen der (Nicht-)Meldung
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
14
� PflichtzurMeldungnachArW.33,34DS-GVO
� WeristzurMeldungundBenachrichEgungverpflichtet?
� AufdenzweitenBlick:MöglicheKonsequenzenderMeldung
� ÜberlegungfürdieOrganisaAonunddieHandhabungimUnternehmen
� FragenundDiskussion
Security Breach Notification - Risiken der Meldepflicht Agenda
RechtsanwaltDr.JensEckhardt–Düsseldorf,Ulm,Berlin
15
� MeldungoderNicht-Meldungo UnternehmerischeRisikoentscheidung?o VermeidungdurchWunschnachVerneinungvonArW.33,34DS-GVO
� OrganisatorischeVorbereitungimUnternehmeno SicherstellungderunternehmensinternenMeldungo Bewertungsschemavorbereiten?o Werentscheidet?
o UnterscheidungzwischenVorbereitungundfinalerUnterscheidung?� Aucragsverarbeitung
o ErfüllungderPflichtnachArt.33Abs.2DS-GVO:Wie?o VertraglicheAusgestaltungdesArt.33Abs.2DS-GVOo HaiungsbegrenzungundFreistellung
� MeldungandieAufsichtsbehördeundBenachrichAgungderbetroffenenPerson(en)o „hardball“:BeginnderVerteidigunggegenBußgeldundSchadensersatz
o Sonderfall:Auiragsverarbeitungo Wirdeswirklichsohartgespielt?o WererstelltdieInformaEon?
Überlegung für die Organisation und die Handhabung im Unternehmen
BildRA BildRA
FragenundDiskussion!
RechtsanwaltDr.JensEckhardt
FachanwaltfürIT-RechtDatenschutz-Auditor(TÜV)Compliance-Officer(TÜV)
BerlinerAllee5540212Düsseldorf
Tel.:+49211–17520660Fax:+49211–[email protected]
www.derra.eu
Rechtsanwalt Dr. Jens Eckhardt
Fachanwalt für Informationstechnologierecht und Datenschutz-Auditor (TÜV) sowie Compliance-Officer (TÜV) Derra, Meyer & Partner – www.derra.eu – [email protected]
Seit 2001 berät er bundesweit nationale und internationale Unternehmen zu den Themen Datenschutz, Informationstechnologie, Telekommunikation und Marketing. Die Beratung umfasst die gerichtliche Vertretung, Vertretung gegenüber Aufsichtsbehörden, insbesondere im Datenschutz, die strategische Beratung bei der Einführung neuer Systeme, die Bewertung von bestehenden Systemen, das Outsourcing sowie die Vertragsgestaltung.
Funktionen als • M i t g l i e d i m V o r s t a n d d e s B e r u f s v e r b a n d d e r
Datenschutzbeauftragten Deutschlands (BvD) e.V (Ressort Recht)
• Mitglied im Vorstand von EuroCloud Deutschland_eco e.V. (Ressort Recht)
• Dozent zum Datenschutzrecht der udis Ulmer Akademie für Datenschutz und IT-Sicherheit – gemeinnützige Gesellschaft mbH
• Dozent der DeutscheAnwaltAkademie Gesellschaft für Aus- und Fortbildung sowie Serviceleistungen mbH (Fortbildung im Bereich Fachanwalt IT-Recht)
• Mitglied im Beirat der ZD Zeitschrift für Datenschutz, Verlag C.H. Beck München
• Lehrbeauftragter der SRH Fernhochschule Riedlingen zum Internet- und Medienrecht und Datenschutz im Studiengang Medien und Kommunikation
• Anhörung durch die Datenschutzaufsichtsbehörden als Fachexperte für Werbung und Adresshandel
• Head of Legal Advisory Board , EuroCloud Star Audit • M o d e r a t o r u n d R e f e r e n t v e r s c h i e d e n e r
Datenschutzveranstaltungen und Autor von Fachbeiträgen zum Datenschutz-, IT-, Zivil- und Wettbewerbsrecht und zur Datenschutz-Grundverordnung
Auswahl der Veröffentlichungen: • Herausgeber eines inhaltlichen aufbereiteten Gesetzestextes zur
DS-GVO, TKMmed!a • Rüpke/v. Lewinski/Eckhardt, Datenschutzrecht, 2018, Verlag C.H.
Beck • Eckhardt/Kramer/Tausch, DS-GVO-Kompendium, TKMmed!a • D a t e n s c h u t z u n d M a r k e t i n g – P r a x i s l e i t f a d e n f ü r
Datenschutzbeauftragte und Geschäftsleitung, TKMmed!a, • Bergmann/Möhrle/Herb, BDSG/DS-GVO , Mit-Autor, Boorberg
Verlag • Beck‘scher Online-Kommentar, Wolff/Brink, BDSG/DS-GVO , Mit-
Autor, Verlag C.H. Beck München • Recht der elektronischen Medien, Kommentar, Mitautor seit 1.
Aufl., Verlag C. H. Beck München • Handbuch IT- und Datenschutzrecht, Mitautor seit 1. Aufl., Verlag
C. H. Beck München • Beck’scher TKG Kommentar, Mitautor seit 4. Aufl. 2013, Verlag
C. H. Beck München • Bspw. „Wann ist ein Datum ein personenbezogenes Datum?“,
gemeinsam mit Dr. Brink (Landesbeauftragter für den Datenschutz Baden-Württemberg, ZD Editorial 1/2015 und ZD 2015, 205 ff.
• Leitfaden – Datenschutz und Cloud Computing, Mitautor und Leiter der Taskforce „Datenschutz“ der AG „Rechtsrahmen im Cloud Computing“, Trusted Cloud-Initiative des BMWi
• Big Data im Marketing – Chancen und Möglichkeiten für eine effektive Kundenansprache, 2015, Mitautor, Haufe Gruppe
• Digitalisierung und Transformation im Unternehmen, Mitautor, KS-Energy-Verlag