Blog

DSGVO: Erläuterung der Definitionen ‘Betroffene Person’, ‘Verletzung des Schutzes personenbezogener Daten’, und ‘Meldungen’

Thumbnail
Die DSGVO führt eine eine Reihe von Schlüsselkontrollen und Maßnahmen in Bezug auf betroffene Personen und personenbezogene Daten auf, einschließlich Meldepflichten für Datenschutzverletzungen und der Bestellpflicht eines Datenschutzbeauftragten.

Im ersten Blog dieser Reihe haben wir die DSGVO vorgestellt und untersucht, welchen Einfluss sie auf Unternehmen weltweit hat. Die DSGVO wird häufig als eine der strengsten Datenschutzbestimmungen angesehen. Sie beschreibt die zulässige Nutzung personenbezogener Daten durch Unternehmen, wie sie den Umgang mit diesen Daren strukturieren sollten und welche Strafen (oder Risiken) für den nicht ordnungsgemäßen Schutz personenbezogener Daten anfallen. Die Geldbußen können sehr hoch sein, bis zu 4% des weltweiten Jahresumsatzes eines Unternehms (dies wird in einem zukünftigen Blog näher erklärt).

Die DSGVO ist die erste EU-Verordnung, die ausdrücklich eine "Verletzung des Schutzes personenbezogener Daten" definiert und eine Meldung verlangt, wenn eine solche auftritt. "Personenbezogene Daten" werden in der DSGVO als "Angaben über eine bestimmte oder eine bestimmbare Person" definiert. Hervorzuheben ist, dass keine spezifischen Informationen (oder Datenfelder) aufgeführt wurden, die eine Person definieren. Im Sinne der Verordnung bezeichnen personenbezogene Daten:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“

Obwohl typische Felder aufgelistet werden, bezieht sich der entscheidende Teil dieser Definition auf diejenigen Daten, die zur Identifizierung (auf welche Weise auch immer) einer bestimmten Person verwendet werden können. Um ein Beispiel zu geben:

identity

Das erste Beispiel reicht eindeutig aus, um eine betroffene Person zu identifizieren. Dies könnte jedoch auch bei Letzterem der Fall sein - selbst wenn der Name der betroffenen Person nicht vorhanden ist, aber ihr Alter oder Geschlecht, könnte dies als personenbezogenes Datum angesehen werden, wenn die Angaben ausreichen, um eine Person zu identifizieren. Zum Beispiel könnte ein Unternehmen nur einen einzigen 23-jährigen oder einen einzigen Mann beschäftigen. Die Datenmenge, die unter die DSGVO fällt, ist also größer als ursprünglich erwartet. Die Herausforderung steigt also, wenn sich Nutzerdaten über mehrere Tabellen (oder Datenbanken) erstrecken. Wenn wir zur Datenpseudonymisierung kommen, werden wir noch einmal betrachten, welche Daten identifiziert und anonymisiert werden müssen und welche Herausforderungen damit verbunden sind.

Die DSGVO führt eine eine Reihe von Schlüsselkontrollen und Maßnahmen in Bezug auf betroffene Personen und personenbezogene Daten auf. Die ersten beiden beziehen sich auf die Meldepflicht bei Datenschutzverletzungen und der Bestellpflicht eines Datenschutzbeauftragten.

Benachrichtung bei Datenschutzverletzungen

Einfach gesagt, verlangt die DSGVO, dass Unternehmen, die eine Datenverletzung erleiden, dies so schnell wie möglich melden.

Genauer gesagt, bezeichnet ein "Datenschutzverstoß" im Sinne der DSGVO "einen Verstoß gegen die Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt". Beachten Sie, dass die Definition von personenbezogenen Daten, wie sie oben beschrieben ist, sich auf alles bezieht, was zur Identifizierung einer oder mehrerer Personen führen kann.

Im Falle einer Verletzung des Datenschutzes müssen Unternehmen die Aufsichtsbehörde informieren. Die DSGVO definiert zwei separate Konzepte, die sich typischerweise (aber nicht immer) auf Unternehmen beziehen - Datenverantwortlicher (oder Verantwortlicher) und Auftragsverarbeiter (oder Verarbeiter).

  • Der Datenverantwortliche ist die Entität (in den meisten Fällen ein Unternehmen, manchmal aber auch eine Person), die den Grund für die Verarbeitung personenbezogener Daten anführt. Zum Beispiel möchte ein Mitfahrunternehmen seine Fahrernutzungsmuster analysieren, um Fahrer besser zuordnen zu können. Beachten Sie, dass die Entität, die der Controller ist, nicht diejenige sein muss, die Daten analysiert / verarbeitet.
  • Der Auftragsverarbeiter ist die Entität (wiederum: Person, Unternehmen usw.), die tatsächlich die Verarbeitung oder Analyse von Daten durchführt. Zum Beispiel lagern Banken ihre Analyse von Betrugsfällen häufig an Dritte aus. In diesem Fall ist die Bank die verantwortliche Stelle (leitet an, was mit Daten getan wird), und die dritte Partei ist der Auftragsverarbeiter (der tatsächlich die Analyse durchführt).

Im Falle einer Datenschutzverletzung muss das Unternehmen (dies liegt wahrscheinlich in der Verantwortung des Datenschutzbeauftragten und wird in einem künftigen Blogpost näher betrachtet) die Aufsichtsbehörde des jeweiligen Mitgliedstaats informieren, in dem der Datenverantwortliche seine Hauptniederlassung hat, und die der betroffenen Personen. Das heißt, wenn eine Organisation in Frankfurt ansässig ist und die Mehrheit ihrer Kunden in Deutschland hat, sollte die Meldung an die deutsche Aufsichtsbehörde gehen. Artikel 51 der DSGVO umfasst die Schaffung der staatlichen Aufsichtsbehörde. Wir werden sehen, wie dies in der Praxis funktioniert, wenn das Gesetz angewendet wird, aber es ist nicht unbegründet anzunehmen, dass Verstöße zur Meldung bei mehreren Aufsichtsbehörden führen, da Unternehmen häufig in mehreren EU-Staaten tätig sind.

Die Benachrichtigung muss "ohne unangemessene Verzögerung und, wenn möglich, nicht später als 72 Stunden nach Kenntnisnahme" erfolgen. Für diejenigen, die mit der jüngsten Verletzung von Equifax vertraut sind, wartete das Unternehmen sechs Wochen, bevor sie sie öffentlich bekannt gab. Diese Verzögerung der Bekanntmachung scheint die Situation nur noch verschlimmert zu haben: Führungskräfte nahmen sich Zeit, Aktien des Unternehmens zu verkaufen, und die Öffentlichkeit wurde daran gehindert, Maßnahmen zum Schutz ihrer Identität zu ergreifen.

Die Meldung an die Aufsichtsbehörde muss "mindestens" Folgendes enthalten:

  1. Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze.
  2. Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (wir werden diese Rolle in einem künftigen Artikel detailliert behandeln).
  3. Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
  4. Eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die DSGVO enthält Ausnahmen von der Benachrichtigungspflicht gegenüber den einzelnen Betroffenen, wenn:

  1. Der Datenverantwortliche angemessene technische und organisatorische Schutzmaßnahmen ergriffen hat, die die Daten für alle Personen unbrauchbar machen, die nicht authorisiert sind, darauf zuzugreifen (siehe unseren nächsten Blog zur Pseudonymisierung).
  2. Der Datenverantwortliche nach der Verletzung des Schutzes personenbezogener Daten Maßnahmen ergriffen hat, um "sicherzustellen, dass ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen unwahrscheinlich ist."
  3. Die Benachrichtigung an jede betroffene Person mit unverhältnismäßigem Aufwand verbunden wäre. In diesem Fall können alternative Kommunikationsmaßnahmen eingesetzt werden. 

Die Einhaltung der oben genannten Meldepflichten für Verstöße ist nur ein Teil der Verordnung. Um die Verordnung effektiv umzusetzen sind zwei weitere Schritte erforderlich: die Beurteilung, welche Daten eine Organisation als "personenbezogene Daten" betrachtet, und das Verständnis, ob eine Verletzung überhaupt stattgefunden hat. Letzteres liegt weit außerhalb unseres Spezialgebietes, aber wir werden in zukünftigen Blogs wieder auf persönliche Daten zurückkommen, wie wir sie identifizieren können und welche Schritte unternommen werden können, um das Risiko / die Strafe eines Verstoßes zu reduzieren.

Letzten Endes liegt der Anstoß zum Verständnis der Anforderungen dieser Verordnung in den möglichen Strafen. Mit einer Höchstgrenze von 4% des weltweiten Jahresumsatzes (gemessen am Vorjahr) sind die Auswirkungen eines Verstoßes extrem. Die Implikationen gehen jedoch weiter. Unternehmen müssen nicht nur sicherstellen, dass sie die Daten von Einzelpersonen schützen, sondern sie müssen auch organisatorische Änderungen bei den Mitarbeitern einführen, um wirklich zu verstehen, was abgedeckt ist und wie die Mitarbeiter im Tagesgeschäft im besten Interesse der betroffenen Personen handeln können.

Bleiben Sie über die nächsten Wochen dran, wenn wir uns näher mit den notwendigen Rollen und der Identifikation sensibler Daten beschäftigen!

Tags