Meldung von Verstößen und Aufsichtsbehörde – Schutz personenbezogener Daten

Service

Eine Aufsichtsbehörde ist mindestens eine Behörde, die die Rechte natürlicher Personen bei der Verarbeitung personenbezogener Daten schützt. Derzeit ist GIODO die Aufsichtsbehörde für den Schutz personenbezogener Daten. In einem Land kann es mehr als eine Aufsichtsbehörde geben. Auch die Meldung von Verstößen unterliegt Aufsichtsbehörden.

Dieses Gremium soll unabhängig agieren. Er wird kein Unternehmen gründen können. Die Ernennung erfolgt nach einem transparenten Verfahren, so dass die Gewählten neutral sind. Kandidat für dieses Amt kann eine Person mit entsprechenden Fähigkeiten, Qualifikationen im Bereich des Schutzes personenbezogener Daten und Erfahrung sein. Die Regeln zur Einrichtung einer Aufsichtsbehörde sind in der DSGVO-Verordnung ausdrücklich geregelt. Die sogenannte die federführende Aufsichtsbehörde wird etabliertere Behörden unterstützen. Der Zweck ihrer Einrichtung wird die wirksame Zusammenarbeit der Mitgliedstaaten sein, und dies soll direkt zur Erhöhung der Sicherheit des Schutzes personenbezogener Daten in der EU beitragen.

Die Aufsichtsbehörden in jedem EU-Land werden die gleichen Aufgaben und Befugnisse haben.

Beachtung!

Bis zum 25. Mai 2018 muss Polen die beschlossenen Gesetzesänderungen den EU-Behörden mitteilen und – wie jeder Mitgliedstaat – eine Aufsichtsbehörde einrichten.

Zuständigkeiten der Aufsichtsbehörde

Zu den Zuständigkeiten einer Aufsichtsbehörde in Bezug auf den Schutz der Datenverarbeitung durch einen Unternehmer zählen beispielsweise:

  • Aufklärungsverfahren führen
  • Durchführung von Sanierungsverfahren
  • Zusammenarbeit mit anderen Aufsichtsbehörden der Mitgliedstaaten
  • Strafen verhängen
  • Erteilung von Genehmigungen (inkl. Vertragsklauseln) und Empfehlungen
  • Übernahme von Standardklauseln
  • Führen von Listen mit Folgenabschätzungen zu Verstößen
  • Förderung der Entwicklung von Verhaltenskodizes
  • Förderung der Einrichtung von Zertifizierungsmechanismen
  • Veröffentlichung von Akkreditierungskriterien für Verhaltenskodizes
  • Verabschiedung verbindlicher Unternehmensregeln
  • Teilnahme an der Arbeit des Europäischen Datenschutzausschusses
  • Führung von internen Registern über Verstöße
  • Beratung
  • Vorabberatung
  • Überwachung der Einhaltung des implementierten Verhaltenskodex
  • Beratung
  • Meldung von Verstößen an die Justizbehörden
  • Einführung einer vorübergehenden oder dauerhaften Einschränkung der Datenverarbeitung
  • Durchsetzung der Bestimmungen der EU-Verordnung zum Schutz personenbezogener Daten
  • Verbreitung von Wissen in der Gesellschaft
  • Beschwerden entgegennehmen
  • Bereitstellung von Aufzeichnungen von für die Verarbeitung Verantwortlichen und Datenverarbeitern.


Die Mitgliedstaaten (Behörden) können im Einklang mit EU-Recht und innerstaatlichem (nationalem) Recht zusätzliche Zuständigkeiten der Aufsichtsbehörde festlegen, die nicht im Widerspruch zur Verordnung stehen. Sie sollten jedoch nicht über einen bestimmten Verfahrensrahmen hinausgehen. Die Mitgliedstaaten müssen die Einhaltung dieser Verordnung sicherstellen. Nach den oben genannten Befugnissen können Sie neue Pflichten und Verantwortlichkeiten des Unternehmers, der in seinem Unternehmen Datenverarbeiter ist, gegenüber dem Staat und der EU beantragen. Zu den Pflichten der Unternehmer gehören die Anwendung bewährter Verfahren, die Minimierung von Vorfällen im Zusammenhang mit personenbezogenen Daten, die Erstellung von Dokumentationen der Aktivitäten mit personenbezogenen Daten, die Erstellung von Betrauungslisten, die Vorbereitung von Sammlungen, die Information der betroffenen Personen, der Abschluss von Verträgen über die Beauftragung der Verarbeitung personenbezogener Daten , angemessene Vermarktung, Pseudonymisierung und Verschlüsselung von Daten und deren angemessener Schutz, wenn sie in Papierform vorliegen.

Die Aufsichtsbehörde wird die Bestimmungen der DSGVO durchsetzen und anwenden. Daher ist es wichtig, auf die anstehenden Veränderungen gut vorbereitet zu sein.

Pflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten

Bei der Erstellung einer Datenschutz-Folgenabschätzung, die ihre neue Pflicht wird, werden Unternehmer auch verpflichtet sein, deren Ergebnis mit der Aufsichtsbehörde abzustimmen, insbesondere wenn sie nicht über die entsprechenden technischen Datensicherheitskapazitäten in ihrem Unternehmen verfügen. Darüber hinaus sollten Konsultationen mit der Aufsichtsbehörde für Verantwortliche für die Verarbeitung personenbezogener Daten hilfreich sein, z.

Risikobewertung der Verarbeitung personenbezogener Daten

Die Sicherheit der Datenverarbeitung sollte dem aktuellen Stand der Technik Rechnung tragen. Das Sicherheitsniveau sollte dem Ausmaß des Risikos bei der Verarbeitung personenbezogener Daten angemessen sein.

Die Sicherheit der Verarbeitung personenbezogener Daten kann gewährleistet werden durch:

  • Pseudonymisierung – also Verschlüsselung personenbezogener Daten

  • ständige Sicherstellung der Vertraulichkeit, Integrität und Belastbarkeit der Datenverarbeitungssysteme

  • die Möglichkeit, den Zugriff auf Daten bei Vorfällen schnell wiederherzustellen

  • regelmäßige Prüfung und Bewertung technischer Sicherheitsmaßnahmen.

Daher ist es so wichtig, in Ihrem Unternehmen entsprechende technische Einrichtungen und Personen mit entsprechenden Kompetenzen bereitzustellen. Es erscheint notwendig, alle Mitarbeiter zu schulen, auch diejenigen, die indirekt personenbezogene Daten im Unternehmen verarbeiten.

Beispiel 1.

Drucken Mitarbeiter des Rechnungswesens Dokumente mit personenbezogenen Daten von Kunden des Unternehmens aus, sollten sie diese nicht längere Zeit im Drucker belassen, da dies zu einem Zugriff auf personenbezogene Daten durch Unbefugte führen könnte.

Es ist sehr wichtig, die mit der Verarbeitung personenbezogener Daten verbundenen Risiken abzuschätzen. Es kann mit der oben beschriebenen Durchsetzungsbehörde konsultiert werden, daher lohnt es sich, auf eine Zusammenarbeit vorbereitet zu sein und Folgendes zu vermeiden:

  • versehentliche und unrechtmäßige Zerstörung personenbezogener Daten

  • Verlust personenbezogener Daten

  • Datenänderung auf eigene Initiative

  • Unbefugte Weitergabe personenbezogener Daten an eine andere Person

  • Unbefugter Zugriff anderer Personen auf die Daten

  • unsachgemäße Speicherung personenbezogener Daten.

Es kann hilfreich sein, einen Umgang mit personenbezogenen Daten zu entwickeln. Die Verordnung schlägt die Schaffung geeigneter Verhaltenskodizes und Aktionsmechanismen vor und verpflichtet damit die Aufsichtsbehörden, diese zu kontrollieren.

Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten

Der Schlüssel zu einer ordnungsgemäßen Datenverarbeitung ist jedoch die Pflicht zur Meldung von Verstößen. Sie gilt sowohl für die Verantwortlichen als auch für die Auftragsverarbeiter, auch wenn sie keine negativen Folgen für die betroffene Person haben.

Im Falle eines Verstoßes gegen den Schutz personenbezogener Daten wird dieser Umstand der Aufsichtsbehörde gemeldet. Es wird jedoch keine Benachrichtigung erforderlich sein, wenn das Risiko einer Verletzung von Rechten und Freiheiten unwahrscheinlich ist.

Wenn das Risiko jedoch erheblich ist, muss es der Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden, und danach muss sie auch entsprechende Erläuterungen und Gründe für die Verzögerung der Meldung liefern. Es hat Beweischarakter, die Dokumentation ermöglicht es der Aufsichtsbehörde zu entscheiden, ob die Regeln zum Schutz personenbezogener Daten umgesetzt wurden und ob eine Strafe angebracht ist - und die Strafen werden erheblich sein!

Die Meldung eines Verstoßes an die Aufsichtsbehörde sollte Folgendes beinhalten:

  • Beschreibung des Verstoßes, Kategorien und Anzahl der betroffenen Personen

  • Daten des Datenschutzbeauftragten.

Der nächste Schritt besteht darin, die betroffenen Personen über einen solchen Verstoß zu informieren. Sie werden benachrichtigt, wenn das Risiko einer Verletzung der Rechte und Freiheiten natürlicher Personen hoch ist. Dies erfolgt durch den Administrator der personenbezogenen Daten. Die Meldung des Vorfalls der betroffenen Person muss dieselben Elemente enthalten wie bei der Meldung an die Aufsichtsbehörde, jedoch ohne die Art des Verstoßes zu beschreiben und die anderen von dem Verstoß betroffenen Personen anzugeben.

Es besteht keine Notwendigkeit, eine Person zu benachrichtigen, wenn:

  • der Administrator hat zuvor Maßnahmen zur Datenverschlüsselung (Pseudonymisierung) verwendet,

  • die Wahrscheinlichkeit eines hohen Risikos eines Verstoßes beseitigt (eine Bewertung durchgeführt),

  • einen unverhältnismäßigen Aufwand unternehmen würde, um jede von dem Verstoß betroffene Person individuell zu informieren (dann gibt er eine öffentliche Bekanntmachung heraus).