Gesetzt den Fall der Auftragnehmer ist schlampig, der Verantwortliche hat seine Sorgfaltspflicht nicht entsprechend wahrgenommen, und es wird in diesem Zusammenhang ein nicht verschlüsselter Notebook gewartet vom Auftragnehmer, im Rahmen einer Dienstreise im Zug entwendet, wobei mittels dort vorhandener Daten eine Malware verbreitet wird, welche bei zahlreiche Kunden erhebliche Schäden verursacht, da mittels einer missbräuchlich verwendeten dienstlichen E-Mailadresse von diesem Notebook.
Was sind die konkreten Anforderungen des Art. 32?
Art. 32 DSGVO bezieht sich auf die Sicherheit der Verarbeitung, welche auch die Auftragsverarbeiter betrifft.
Wie setzt man diese Anforderungen in der Praxis um?
Dies ist im Rahmen der Verhältnismäßigkeit und des Standes der Technik umzusetzen, einzuhalten und zu kontrollieren mittels eines risikobasierten Ansatzes.
Gut und schön. Aber woran orientiert man sich hier? Es gibt vom BSI eine downloadbare PDF Stand der Technik Ausgabe 2020 mit zahlreichen Tipps zu einzelnen technischen Themenstellungen. Maßnahmen müssen aktuell technisch realisierbar sein, es kommt dabei besonders auf die praktische Umsetzbarkeiten. Dabei gilt es den Grundsatz der Verhältnismäßigkeit zu wahren, vor allem in Bezug auf Kosten und angemessenes Schutzniveau. Wenn dabei ein risikoadäquates Schutzniveau nicht realisierbar ist, dann stellt sich die Frage ob diese Tätigkeit noch Sinn macht oder eben einzustellen ist.
Art. 25 und 32 gegen hier Empfehlungen zur Abwägung der Verhältnismäßigkeit. Dabei ist zu hinterfragen:
Wie fähig ist die Organisation die geforderten Schutzziele sicherzustellen in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit sowie Belastbarkeit?
Pflichten des Verantwortlichen Art 24 – wir sprechen in diesem Zusammenhang von einer Vielzahl von Pflichten:
-
Art. 6ff: Zulässigkeitsprüfung und Risikoabschätzung
-
Art. 12ff: Informationspflichten und Betroffenenrechte
-
Art. 25: Privacy by Design und by Default
-
Art 30: Verarbeitungsverezeichnis
-
Art.32: Sicherheit der Verarbeitung
-
Art.33, Art.34: Data Breach Notification Duty
-
Art.35: Datenschutzfolgenabschätzung (bei hohem Risiko vor der Verarbeitung)
Hier gilt der Grundsatz der Eigenverantwortung und Haftung des Verantwortlichen. Dies bei Anwendung eines risikobasierten Ansatzes und der Rechenschafts und Nachweispflicht. Über geeignete technisch organisatorische Maßnahmen hat der Verantwortliche sicherzustellen, und dabei den Nachweis der Konformität der DSGVO in Bezug auf die Verabeitung zu erbringen.
-
Meldepflichten – Data Breach Notification Duty nach Art. 33:
Datenschutzverletzung (Verletzung des Schutzers pbD) „Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“ (Art 4 Z 12 DSGVO)
Meldung von Datenschutzverletzungen an die Datenschutzbehörde nach Art 33 DSGVO. Wenn die Datenschutzverletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Unverzüglich, möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde (Verzögerungen sind zu begründen)
Meldung an die betroffene(n) Person(en) nach Art 34 DSGVO „unverzüglich“, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, es sei denn:
-
Die Daten sind durch Sicherheitsvorkehrungen (wie z.B. Verschlüsselung) geschützt
-
Nachträgliche Maßnahmen getroffen, sodass hohes Risiko aller Wahrscheinlichkeit nach nicht mehr besteht
-
Unverhältnismäßiger Aufwand; in diesem Fall: öffentliche Bekanntmachung o.ä.
-
-
Die Datenschutzbehörde (DSB)
§22. (1) Die Datenschutzbehörde kann vom Verantwortlichen oder Auftragsverarbeiter der überprüften Datenverarbeitung insbesondere alle notwendigen Aufklärungen verlangen und Einschau in Datenverarbeitungen und diesbezügliche Unterlagen begehren. Der Verantwortliche oder Auftragsverarbeiter hat die notwendige Unterstützung zu leisten. Die Kontrolltätigkeit ist unter möglichster Schonung der Rechte des Verantwortlichen oder des Auftragsverarbeiters und Dritter auszuüben.
(2) Zum Zweck der Einschau ist die Datenschutzbehörde nach Verständigung des Inhabers der Räumlichkeiten und des Verantwortlichen oder des Auftragsverarbeiters berechtigt, Räume, in welchen Datenverarbeitungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen.
Die DSB hat eine Amtswegige Prüfkompetenz
Was ist daraus zu schließen?
Es hat mehrere Ursachen für welche der Verantwortliche hätte sorgen müssen:
- Der betroffene Mitarbeiter hat die Richtlinie für den Transport von externen Geräten (Notebook) nicht eingehalten.
- Vermutlich war auch das Passwort nicht ausreichend, sowie vermutlich auch Kundendaten auf der lokalen Festplatte befindlich.
- Der Notebook war zudem nicht verschlüsselt. – Die interne Aufsichtspflicht war nicht ausreichend um das zu verhindern, bzw. ein eventueller externer Auftragswverarbeiter hat hier nicht nach Stand der Technik gearbeitet.
- Es ist mit der Verbreitung von Malware für die betroffenen Personen ein erhebliches Risiko entstanden.
- Eine DataBreach Meldung an die Behörde muss erfolgen ebenso wie an die betroffenen Personen.
- Umgehende interne Kontroll- und Absicherungsmaßnahmen müssen umgehend erfolgen.
- Eine Anlassfallbezogene Nachschulung muss rasch erfolgen um künftige ebensolche Vorfälle zu vermeiden.
- Der ggf. in Frage kommende externe Dienstleister ist zu auditieren, ggf. auszuscheiden und in Anspruch zu nehmen.
Fazit: Der Verantwortliche hat es nicht leicht, aber mit Zuhilfenahme von fachlicher externer Kompetenz ist es zu schaffen. Die Datenschutz konform GmbH verfügt über kompetente Fachjuristen und mehrerer zertifizierte Datenschutzbeauftragte, welche auch als Leadauditoren nach ISO 27001über jahrelange Praxis in diesem Bereich verfügen.