Strzałka w lewo
Strzałka w lewo

RODO: Folgen des Austretens persönlicher Daten aus einem Unternehmen

16.08.2019
Datensicherheit

Untersuchungen der Europäischen Kommission zeigen, dass mehr als 75% der Europäer sich Sorgen um ihre Sicherheit in sozialen Netzwerken und Suchmaschinen machen. Sie glauben, dass ihre Daten missbraucht werden könnten. Dies war der Stand der Dinge zu Beginn der RODO-Verordnung. Heute ist die Situation anders: Persönliche Daten stehen hoch im Kurs und das Gesetz sieht schwere Strafen für Verstöße vor. Welche Verpflichtungen haben Unternehmen in dieser Hinsicht und welche Konsequenzen können ihnen drohen?

Datenlecks sind ein echtes und ernstes Problem – im Durchschnitt sind mehrere Millionen Nutzer betroffen, deren E-Mail-Adressen, Telefonnummern und andere sensible Daten in die falschen Hände geraten sind. Von Zeit zu Zeit hören wir von Datenschutzverletzungen bei verschiedenen Unternehmen. Die Unternehmen erleiden dann nicht nur einen Sachschaden, sondern auch einen Imageschaden.

Datenlecks im Kontext von RODO

Das Gesetz enthält keine Formulierung wie „Datenleck“, es wird unter von einer Datenverletzung gesprochen, z.B.

  • vorsätzliche Beschädigung
  • Datenverlust
  • Änderung
  • unberechtigte Offenlegung
  • unbefugten Zugriff.

Es geht also nicht nur um Hackerangriffe, sondern um mehr Situationen, die ernsthafte Risiken für die betroffenen Personen darstellen. Dazu können Identitätsdiebstahl, erpresserische Kredite, Einkäufe im Internet, Zimmervermietung usw. gehören. Die Person, die die Daten verloren hat, bleibt auf Schulden sitzen und kann verdächtigt werden, ein Verbrechen begangen zu haben.

Datensicherheit und RODO. Geschäftliche Verpflichtungen

Eine Datenschutzverletzung liegt vor, wenn die Daten nicht vom für die Verarbeitung Verantwortlichen, d.h. dem Dateneigentümer, verwendet werden können (z.B. die Struktur ist verletzt, der Zugriff ist blockiert) oder überhaupt nicht existieren (zerstört sind).

Sobald eine Datenschutzverletzung aufgetreten ist, ist der Unternehmer verpflichtet, die Situation innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden. Eine solche Behörde ist der Präsident des Amtes für den Schutz personenbezogener Daten (PUODO). Wenn die Situation ernst ist, sollten auch diejenigen, deren Daten verletzt wurden, benachrichtigt werden. Sie können dann versuchen, das zu schützen, was noch übrig ist. Die Verletzung wird auf der PUODO-Website durch Ausfüllen eines Formulars gemeldet.

In welchen Situationen muss eine Datenschutzverletzung unbedingt gemeldet werden?

  • wenn die betroffenen Personen ihrer Rechte oder Freiheiten beraubt werden können oder der Möglichkeit beraubt werden, ihre eigenen personenbezogenen Daten zu kontrollieren;
  • wenn sensible Daten verarbeitet werden , d.h. Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, Religion, philosophische Überzeugungen oder Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, Gesundheit, Sexualität, strafrechtliche Verurteilungen und Straftaten oder damit verbundene Sicherheitsmaßnahmen;
  • findet eine automatisierte Datenverarbeitung, einschließlich Profiling, statt;
  • Daten verarbeitet werden von schutzbedürftigen Personen, insbesondere Kindern;
  • die Verarbeitung von Daten in großem Umfang erfolgt und eine erhebliche Anzahl von betroffenen Personen betrifft.

Höhe der Strafen für den Händler bei einer Datenschutzverletzung

Die RODO erlegt Unternehmern, die ihren Verpflichtungen nicht nachkommen, strenge Beschränkungen auf. Unternehmer, die eine große Menge an Daten verarbeiten, sind verpflichtet, diese gegen das Austreten aus dem Unternehmen zu sichern, insbesondere gegen versehentliche oder absichtliche Zerstörung und den Zugriff durch Außenstehende.

Wenn der Unternehmer keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hat, ist dies ein Grund für ein Bußgeld von bis zu 10.000.000 Euro und im Falle des Unternehmens von bis zu 2% seines gesamten weltweiten Jahresumsatzes aus dem vorangegangenen Geschäftsjahr. Wenn 2% dieses Umsatzes höher sind als der Betrag von 10.000.000 € , ist der höhere Betrag die Obergrenze. Es kommt also auf eine schnelle Reaktion und vor allem auf vorbeugende Maßnahmen an.

Was sollte ein Unternehmen tun, wenn es seine Daten umfassend schützen möchte?

  1. Sie müssen sich mit der RODO-Verordnung vertraut machen, in der beschrieben wird, dass der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter verpflichtet ist, die Risiken zu bewerten, die sich aus der Verarbeitung der Daten ergeben, und Gegenmaßnahmen zu ergreifen, wie z.B. Datenverschlüsselung (die Informationen werden verschlüsselt, der Empfänger, der nicht über einen so genannten Entschlüsselungsschlüssel verfügt, kann die Nachricht nicht lesen), Pseudonymisierung (Verarbeitung der Daten in einer Weise, dass sie nicht einer bestimmten Person zugeordnet werden können) oder Anonymisierung (wodurch die Identifizierung einer Person unwiderruflich unmöglich wird).
  2. Bereitstellung anderer Präventivmaßnahmen im Rahmen des Gesetzes:
    • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Verarbeitungssysteme und -dienste kontinuierlich zu gewährleisten;
    • die Fähigkeit, die Verfügbarkeit von und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls schnell wiederherzustellen;
    • regelmäßige Prüfung, Messung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  3. Es ist notwendig, IT-Technologien zu implementieren, die vor Datenverlusten, Diebstahl, Hackerangriffen oder versehentlichem Datenverlust schützen. Eine solche Lösung ist die sogenannte Data Leak Prevention (auchDataLoss Prevention – DLP).
  4. Eine gute Antiviren- und Firewall-Software.
  5. Unterzeichnung einer Vertraulichkeitsklausel durch Angestellte, Auftragnehmer, Freiberufler gleich zu Beginn der Zusammenarbeit, damit sie sich bewusst sind, dass die verarbeiteten Daten vertraulich sind. Einige der Fälle von Datenverlusten haben ihre Ursache im bewussten oder unbewussten Verhalten der Mitarbeiter.
  6. Achtsamkeit im Alltag, z.B. das Schreiben von Zugangspasswörtern auf die Tafel über Ihrem Schreibtisch und andere gefährliche Situationen.

Datensicherheit bei ITH.EU

Das Thema Cybersicherheit hat für unsere Spezialisten Priorität, insbesondere aus der Perspektive eines Telekommunikationsunternehmens. Willkommen beim ITH Protection-Paket, das Auditing und Monitoring, Netzwerkschutz, Cloud Firewall und VPN umfasst.

Das könnte Sie auch interessieren

Schützen Sie Ihre Dateien - alles, was Sie über Datensicherung wissen müssen

23.12.2024
Hosting
In der digitalen Welt von heute speichern wir die meisten unserer Informationen digital – auf Computern, Smartphones oder in...

Wie kann man eine unbekannte Telefonnummer verifizieren und Spam vermeiden?

16.12.2024
Sicherheit
Jeder von uns hat schon mindestens einmal eine Situation erlebt, in der eine unbekannte Telefonnummer Zweifel ausgelöst hat –...

Sideloading - wie Sie Apps sicher installieren

09.12.2024
Internet
Jeden Tag nutzen wir mobile Apps, die wir meist aus offiziellen Quellen wie Google Play oder dem App Store...
Weitere Beiträge anzeigen