Die Datenschutz-Grundverordnung der EU

Sichere Datenverarbeitung und Meldepflicht bei Datenpannen

| Redakteur: Stephan Augsten

In Artikel 32 der EU-weiten Richlinie heißt es:

1. Der für die Verarbeitung Verantwortliche benachrichtigt im Anschluss an die Meldung nach Artikel 31 die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten, wenn die Wahrscheinlichkeit besteht, dass der Schutz der personenbezogenen Daten, die Privatsphäre, die Rechte oder die berechtigten Interessen der betroffenen Person durch eine festgestellte Verletzung des Schutzes personenbezogener Daten beeinträchtigt wird.2. (...)3. Die Benachrichtigung der betroffenen Person über die Verletzung des Schutzes personenbezogener Daten ist nicht erforderlich, wenn der für die Verarbeitung Verantwortliche zur Zufriedenheit der Aufsichtsbehörde nachweist, dass er geeignete technische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden. Durch diese technischen Sicherheitsvorkehrungen sind die betreffenden Daten für alle Personen zu verschlüsseln, die nicht zum Zugriff auf die Daten befugt sind.

Was bedeutet das für Unternehmen?

Wenn die Daten zum Zeitpunkt des Verlusts so geschützt waren, dass sie für unbefugte Personen unbrauchbar sind und das Unternehmen dies gegenüber der Aufsichtsbehörde nachweisen kann, muss das Unternehmen die Personen, deren Daten von dem Verlust oder Diebstahl betroffen sind, nicht benachrichtigen.

Erfüllt ein Unternehmen diese Vorschriften nicht (d. h. Einführung interner Richtlinien und Umsetzung geeigneter Maßnahmen, um die Einhaltung der Bestimmungen zu gewährleisten und nachzuweisen, oder Benachrichtigung der Aufsichtsbehörde und gegebenenfalls der von der Verletzung des Schutzes personenbezogener Daten betroffenen Person), dann sieht Artikel 79 („Verwaltungsrechtliche Sanktionen“) vor, dass die Aufsichtsbehörde befugt ist, mindestens eine der folgenden Sanktionen zu verhängen:

a) eine schriftliche Verwarnung im Fall eines ersten und nicht vorsätzlichen Verstoßes,

b) regelmäßige Überprüfungen betreffend den Datenschutz,

c) eine Geldbuße von bis zu 100.000.000 EUR oder im Fall eines Unternehmens bis zu 5 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher der Beträge höher ist.

Ergänzendes zum Thema
 
Reformrelevante Begriffe
 
Weiterführende Informationen

Kurz zusammengefasst: Wenn Sie nicht über die geeignete Technologie zum Schutz sensibler Daten verfügen, müssen Sie unter Umständen zahlen – direkt an die Aufsichtsbehörde und indirekt infolge einer Schädigung der Reputation, des Firmen und Geschäftswerts und des Vertrauens der Kunden. Unternehmen hingegen, die ihre Daten verschlüsseln, schützen ihre Kunden – und sich selbst.

Der zweite Teil dieses Beitrags wird kommende Woche erscheinen und sich mit der eigentlichen Umsetzung der EU-Datenschutzverordnung beschäftigen. Dabei stellen wir folgende Fragen: Wann könnte die Reform kommen? Wer ist davon betroffen? Und wie können Unternehmen dafür sorgen, dass sie den Anforderungen gerecht werden?

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43054158 / Projekte & Initiativen)