BayLDA: Einblicke zu Datenschutzvorfällen und Datenschutzprüfungen

Fachbeitrag

Am vergangenen Dienstag gab es Einblicke in die Sichtweise des BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) zu den Erfahrungen mit Datenschutzvorfällen. Zudem interessant ist, dass wohl auch bereits im Herbst 2018 und 2019 Datenschutzprüfungen zu erwarten sein dürften. Näheres erfahren Sie in diesem Beitrag.

Jüngste Entwicklungen bei Meldung von Datenschutzvorfällen

Am 24.07.2018 fand in München die IAPP-Veranstaltung „Munich KnowledgeNet“ zum Thema “Data Breaches and Cyber Attacks – What you should and should not do” in den Räumlichkeiten der Kanzlei Osborne Clark statt. Mit Spannung wurde dabei der Vortrag von Herrn Sachs, Vizepräsident des BayLDA und Leiter des Referats „Technischer Datenschutz und IT-Sicherheit“, erwartet.

Herr Sachs (BayLDA) hat im Rahmen seines Vortrags aufgezeigt, dass – im Gegensatz zur alten Regelung des § 42a BDSG – nunmehr häufiger eine Meldung eines Datenschutzvorfalles an die Aufsichtsbehörde erfolgen muss. Gleichwohl kommt es letztlich aber auch immer auf die Risikobeurteilung des Einzelfalls an, welche dokumentiert werden muss.

Interessant ist die damit im Zusammenhang stehende Entwicklung:

  • Im Jahr 2017 wurden dem BayLDA insgesamt 155 Datenschutzvorfälle gemeldet.
  • Bereits im Zeitraum vom 25.05.2018 bis zum 23.07.2018 waren es bereits 523 (!) gemeldete Datenschutzvorfälle.

Neuigkeiten zur Handhabung von Datenschutzvorfällen

Herausgestellt wurde von Herrn Sachs, dass von einer Meldung nicht allein aufgrund einer geringen Anzahl von Betroffenen abgesehen werden darf. Vielmehr kommt es auf das Risiko bei dem einzelnen Betroffenen an. Selbst ein einziger falsch adressierter Brief oder E-Mail könne – je nach Inhalt – eine Meldepflicht sowohl an die Behörde als auch eine Benachrichtigung  an die Betroffenen auslösen. Weiteres Beispiel, bei welchem das BayLDA von einer zwingenden Meldepflicht ausgeht, ist der Verlust eines Laptops, sofern die Festplatte nicht verschlüsselt war.

Bei einer vertretbaren Entscheidung gegen eine Meldung bei der Aufsichtsbehörde, bleibt die Möglichkeit zur „Nachmeldung“, wenn die Aufsichtsbehörde zu dem Ergebnis kommt, dass eine andere Risikobeurteilung und letztlich eine Meldung angezeigt gewesen wäre. Für eine Fehleinschätzung und Nachmeldung soll es in diesem Fall kein Bußgeld geben. Herr Sachs hat in diesem Zusammenhang auch noch einmal auf die Bedeutung der Dokumentation des Datenschutzvorfalles hingewiesen (Art. 33 Abs. 5 DSGVO).

Frau Dr. von Diemar (Jones Day) hat mit Blick auf ihre Praxiserfahrung dazu geraten, sich vor einer Meldung auch einmal telefonisch mit der Aufsichtsbehörde in Verbindung zu setzen. Vorteil wäre hier, dass einerseits Verantwortliche nicht unnötig melden müssten und damit in den Fokus der Aufsichtsbehörden geraten, andererseits die Aufsichtsbehörden auch nicht mit einer Vielzahl unnötiger Meldungen konfrontiert werden, was derzeit leider häufiger der Fall sei.

Datenschutzprüfungen im Herbst 2018 und 2019

Im Herbst 2018 soll es wohl bereits eine Datenschutzprüfung zu Cyber-Security und Datenschutzvorfällen geben. Diese Prüfung wird sich auch darauf erstrecken, wie die Prozesse zur Meldung von Datenschutzvorfällen bei Subauftragnehmern, insbesondere zur Meldung von Datenschutzvorfällen beim Subauftragnehmer, ausgestaltet sind. In der Vergangenheit wurden nahezu keine Datenschutzvorfälle von Verantwortlichen gemeldet, die bei einem Subauftragnehmer vorgefallen sind – es könne allerdings faktisch nicht sein, dass Subauftragnehmer – insbesondere im unsicheren Drittstaat – keine Datenschutzvorfälle hätten. Im nächsten Jahr wird zudem eine Prüfung zur Umsetzung der DSGVO immer wahrscheinlicher. Offen blieb, ob diese Prüfungen nur vom BayLDA ausgehen.

IAPP Data Protection Intensive in München: Erfahrungsaustausch

Interessant wird auch die erste IAPP-Konferenz in Deutschland. Diese findet am 18. und 19. September 2018 in München statt und bietet weitere Möglichkeiten zum Erfahrungsaustausch. Da bei dieser Veranstaltung praktische Lösungen für einen rechtskonformen Datenschutz in der Unternehmenspraxis vorgestellt werden, wollen wir diesen Veranstaltungshinweis nicht vorenthalten. Das Konferenzprogramm finden Sie hier.

Wir bedanken uns bei der IAPP und den Rednern für die gelungene und interessante Veranstaltung vom vergangenen Dienstag und freuen uns auf ein Wiedersehen am 18. und 19. September in München.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz-Grundverordnung (DSGVO)

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.