Art.33 - DSGVO - Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Stand: 25.01.2012 | Stand: 12.03.2014 | Stand: 15.06.2015 | Stand: 27.04.2016 |
Datenschutz-Folgenabschätzung |
Datenschutz-Folgenabschätzung |
Datenschutz-Folgenabschätzung |
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde |
1. Bei Verarbeitungsvorgängen, die aufgrund ihres Wesens, ihres Umfangs oder ihrer Zwecke konkrete Risiken für die Rechte und Freiheiten betroffener Personen bergen, führt der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. |
1. Wenn dies nach Maßgabe von Artikel 32a Absatz 3 erforderlich ist, führt der für die Verarbeitung Verantwortliche oder der in seinem Auftrag handelnde Auftragsverarbeiter vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für die Rechte und Freiheiten der betroffenen Personen, insbesondere für ihr Recht auf den Schutz personenbezogener Daten durch. Eine einzige Abschätzung ist für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlichen Risiken ausreichend. |
1. Wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, wie etwa Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung, unbefugte Umkehr der Pseudonymisierung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile, so führt der für die Verarbeitung Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. 1a. Der für die Verarbeitung Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein. |
1. Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. |
2. Die in Absatz 1 genannten Risiken bestehen insbesondere bei folgenden Verarbeitungsvorgängen: a) systematische und umfassende Auswertung persönlicher Aspekte einer natürlichen Person, beispielsweise zwecks Analyse ihrer wirtschaftlichen Lage, ihres Aufenthaltsorts, ihres Gesundheitszustands, ihrer persönlichen Vorlieben, ihrer Zuverlässigkeit oder ihres Verhaltens oder zwecks diesbezüglicher Voraussagen, die sich auf eine automatisierte Verarbeitung von Daten gründet und ihrerseits als Grundlage für Maßnahmen dient, welche Rechtswirkung gegenüber der betroffenen Person entfalten oder erhebliche Auswirkungen für diese mit sich bringen; b) Verarbeitung von Daten über das Sexualleben, den Gesundheitszustand, die Rasse oder die ethnische Herkunft oder für die Erbringung von Gesundheitsdiensten, für epidemiologische Studien oder für Erhebungen über Geisteskrankheiten oder ansteckende Krankheiten, wenn die betreffenden Daten in großem Umfang im Hinblick auf Maßnahmen oder Entscheidungen verarbeitet werden, welche sich auf spezifische Einzelpersonen beziehen sollen; c) weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels Videoüberwachung; d) Verarbeitung personenbezogener Daten aus umfangreichen Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten; e) sonstige Verarbeitungsvorgänge, bei denen gemäß Artikel 34 Absatz 2 Buchstabe b vorab die Aufsichtsbehörde zu Rate zu ziehen ist. |
2. Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber betroffenen Personen entfalten oder erhebliche Auswirkungen für diese mit sich bringen; b) Verarbeitung spezieller Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1, biometrischen Daten oder Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungs-maßregeln, wenn die Daten in großem Umfang im Hinblick auf Entscheidungen verarbeitet werden, die sich auf spezifische Einzelpersonen beziehen sollen; c) weiträumige Überwachung öffentlich zugänglicher Bereiche, insbesondere mittels optoelektronischer Vorrichtungen; 2a. Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem Europäischen Datenschutzausschuss. 2b. Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Europäischen Datenschutzausschuss. 2c. Vor Festlegung der in den Absätzen 2a und 2b genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gemäß Artikel 57 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten. |
2. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich. | |
3. Die Folgenabschätzung trägt den Rechten und den berechtigten Interessen der von der Datenverarbeitung betroffenen Personen und sonstiger Betroffener Rechnung; sie enthält zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge und eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken sowie der geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden. |
3. Die Folgenabschätzung bezieht sich auf das gesamte Lebenszyklusmanagement personenbezogener Daten, von der Erhebung über die Verarbeitung bis zur Löschung. Zumindest Folgendes ist enthalten: a) eine systematische Beschreibung der b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den c) eine Bewertung der in Bezug auf die d) eine Beschreibung der geplanten
|
3. Die Folgenabschätzung enthält zumindest eine allgemeine Beschreibung der geplanten Verarbeitungsvorgänge und eine Bewertung des Risikos, auf das in Absatz 1 Bezug genommen wird, sowie der geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. 3a. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 38 durch die zuständigen für die Verarbeitung Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Rechtmäßigkeit und der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgängen, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen. |
3. Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen: |
e) eine Aufstellung der Garantien, f) eine allgemeine Angabe der Fristen für die Löschung der verschiedenen h) eine Erklärung, welche Maßnahmen in Bezug auf den Datenschutz durch i) eine Aufstellung der Empfänger oder j) gegebenenfalls eine Liste mit Angaben k) eine Bewertung des Zusammenhangs 3b. Die Folgenabschätzung wird
|
a) (entfällt) |
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. |
|
4. Der für die Verarbeitung Verantwortliche holt die Meinung der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein. |
4. Der für die Verarbeitung Verantwortliche holt den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein. | 4. Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen. | |
5. Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels. |
Im Vegleich zum BDSG stellt die EU-DSGVO abgesenkte Meldepflichten vor. Demnach müssen sogenannte „Datenpannen“ der Aufsichtsbehörde nicht gemeldet werden, wenn diese „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führen. Die Benachrichtigung an den Betroffenen muss widerrum erst dann erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten besteht oder wenn Maßnahmen zur Schadensbegrenzung getroffen wurden, die die Möglichkeiten auf ein Risiko beseitigen. Auch die Information gegenüber Betroffenen ist nicht mehr erforderlich, solange technische und organisatorische Maßnahmen vorhanden sind, die ein Zugang zu personenbezogenen Daten unmöglich machen (bspw. Verschlüsselung).
Die Datenpanne muss innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden. Da sich mit der Verordnung auch die Bußgelder drastisch erhöht haben ist Unternehmen zu raten die Meldepflichten dennoch erst zu nehmen.
Weitere Informationen zu der Meldepflicht nach der EU-DSGVO finden Sie hier
Ist es rechtlich zulässig, dass ein Arbeitgeber von seinen Angestellten verlangt, Apps mit denen das Unternehmen arbeitet auf dem Privathandy zu installieren.
z.B. MicrosoftTeams um Arbeitsanweisungen oder Arbeitszeiterfassung zu Dokumentieren.
Hierbei ist es doch möglich, dass Personenbezogene Daten an Dritte z.B. Microsoft weitergegeben werde oder?
Ist das ein Verstoß mit Vorsatz, wenn so etwas von Mitarbeitern verlangt wird?
M.E. ist das so ohne weiteres nicht zulässig.
Die Nutzung des privaten Mobiltelefons kann der Arbeitgeber i.d.R. nicht erzwingen – Stichwort ist das sog „BYOD“ (Bring-your-own-device).
Er kann aber Anreize setzen, die dazu führen, dass der Arbeitnehmer dem Arbeitgeber das Mobiltelefon für bestimmte Zwecke überlässt, etwa einen Zuschuss zahlen.
Natürlich könnten über eine App Daten abfließen, es ist aber m.E. noch ungeklärt, wer dafür verantwortlich ist:
der Arbeitgeber oder Sie als Betreiber des Mobiltelefons, insbesondere, wenn Sie sich dazu bereiterklärt haben, selbst diese App zu installieren.
Mal angenommen, der Arbeitgeber wäre dafür verantwortlich: von einem „Vorsatz“ würde ich dennoch nicht sprechen, eher von einer Fahrlässigkeit.
Sie können sich natürlich bei einer beliebigen Aufsichtsbehörde beschweren, die wird das Verfahren an die zuständige Aufsicht (am Sitz des Arbeitgebers) weiterleiten.
https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html
Guten Tag!
Wenn ein Telekomunikationsunternehmen mit mir via Facebook Messenger kommuniziert, ohne meine schriftl. Einverständniss, dann verletzt dues doch das Datenschutzgesetzt?
Wo muss / kann ich dues melden?
Vermutlich ist ein Verstoß gegen §7 UWG. Facebook Messages dürften wohl am ehesten „elektronische Post“ sein. Darüber hinaus erfolgte vermutlich eine Weitergabe von Daten an Facebook, welches diese Daten für eigene Zwecke nutzt.
Sie können sich beim jeweiligen Datenschutzbeauftragten beschweren oder der Aufsichtsbehörde. Bei großen TelCos ist das vermutlich der BUNDES-Datenschutzbeauftragte.
3 a) kommt doppelt vor (einmal als entfällt und einmal mit Text). Nur als Hinweis, Sie können diesen Kommentar gerne löschen.