(von Federica De Stefani, Rechtsanwältin und Leiterin der Aidr Regione Lombardia) Wir hören (immer) oft von Datenschutzverletzungen und die daraus resultierende Forderung betrifft die Möglichkeit, sie zu vermeiden oder zumindest einzudämmen es.
Die Antwort ist leider negativ, es ist nicht möglich, einen Datenschutzverstoß zu vermeiden, da kein "Null-Risiko" besteht.
Es ist zwar möglich, die Möglichkeiten, in die „Falle“ des Cyber-Vorfalls zu tappen, und die daraus resultierenden Folgen einzuschränken, aber das ist eine andere Sache.
Um das Phänomen der Datenschutzverletzung zu verstehen, die sehr oft ausschließlich mit einem Hackerangriff identifiziert wird, muss man verstehen, was es ist.
Was ist die Datenschutzverletzung?
Der Begriff "Datenverletzung" bezeichnet eine Sicherheitsverletzung, die - versehentlich oder rechtswidrig - die Zerstörung, den Verlust, die Änderung, die unbefugte Offenlegung oder den unbefugten Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete personenbezogene Daten beinhaltet.
Wie Sie sehen, kann eine Datenschutzverletzung zum Verlust von Daten führen, die nicht auf einen Hackerangriff zurückzuführen sind, aber auch auf den Verlust der Verfügbarkeit derselben, wie es in der Hypothese der Fall ist, dass es z Beispiel: Diebstahl eines Geräts.
Wenn die Datenschutzverletzung auftritt
Die Arten von Datenschutzverletzungen sind sehr vielfältig und so können wir beispielsweise den Zugriff oder die Beschaffung von Daten durch unbefugte Dritte, den Diebstahl oder den Verlust von IT-Geräten mit personenbezogenen Daten als in den Fall fallend angeben die Daten durch zufällige Ursachen oder Angriffe von außen, Viren, Malware usw., die vorsätzliche Veränderung personenbezogener Daten, den Verlust oder die Zerstörung personenbezogener Daten aufgrund von Unfällen, widrigen Ereignissen, Bränden oder anderen Katastrophen, die unbefugte Weitergabe personenbezogener Daten.
Wo eine Datenschutzverletzung auftreten kann
Eine Datenschutzverletzung, die wie erwähnt als Verletzung der Verfügbarkeit, Integrität und Vertraulichkeit von Daten verstanden wird, kann jeden Bereich betreffen, sowohl physisch als auch digital.
Denken Sie zum Beispiel an die Zerstörung eines Papierarchivs oder den Diebstahl von Dokumenten oder wiederum deren Manipulation und Veränderung.
Die von einer Datenschutzverletzung betroffenen Personen
Eine Datenschutzverletzung stellt ein Ereignis dar, an dem je nach den Besonderheiten des Einzelfalls unterschiedliche Personen beteiligt sein können.
Verantwortlicher für die Datenverarbeitung ist die Person, die gemäß Art. 33 DSGVO unverzüglich und nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes dem Garanten für den Schutz personenbezogener Daten zu melden, es sei denn, es ist unwahrscheinlich, dass die Verletzung personenbezogener Daten birgt ein Risiko für die Rechte und Freiheiten des Einzelnen. Im Gegenteil, wenn die Verletzung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, muss der Eigentümer immer unverzüglich auch die Betroffenen informieren. Für den Fall, dass ein Datenverarbeiter ernannt wurde, wenn er von einem Verstoß Kenntnis erhält, ist er verpflichtet, den Eigentümer unverzüglich zu informieren, damit er Maßnahmen ergreifen kann.
Die Ursachen einer Datenschutzverletzung
Wie bereits erwähnt, handelt es sich bei der Datenschutzverletzung um eine Sicherheitsverletzung, die - versehentlich oder rechtswidrig - die Zerstörung, den Verlust, die Änderung, die unbefugte Offenlegung oder den unbefugten Zugriff auf die verarbeiteten Daten beinhaltet, und dies bedeutet in der Praxis, dass die getroffenen Sicherheitsmaßnahmen nicht funktioniert haben. Wir dürfen jedoch nicht den Fehler begehen, die Datenschutzverletzung automatisch mit der Angemessenheit der getroffenen Maßnahmen in Verbindung zu bringen, um daraus eine (objektive) Verantwortlichkeit des Verantwortlichen abzuleiten. Die Frage ist viel komplexer, da die DSGVO eine solche Haftung des Inhabers nicht vorsieht, sondern die Möglichkeit für diesen nachzuweisen, dass er alles in seiner Macht Stehende getan hat, um die verarbeiteten Daten zu schützen .
Der menschliche Faktor und die Bedeutung der Ausbildung
Kann einerseits das Data Breach Event nicht vollständig ausgeschlossen werden, da erwartungsgemäß kein Nullrisiko besteht, müssen andererseits die Strategien und Maßnahmen zur Risikobegrenzung hinterfragt werden.
Über die „angemessenen“ technischen und organisatorischen Maßnahmen hinaus, wie in der Terminologie der europäischen Verordnung, wird ein wichtiger Teil der Prävention durch die Mitarbeiterschulung dargestellt.
Bis heute stellt der Faktor Mensch in vielen Realitäten, auch in strukturierten und großen, noch eine recht verbreitete Achillesferse dar.
Das Fehlen angemessener und spezifischer Schulungen und das Fehlen angemessener Richtlinien für den Einsatz von IT-Tools und -Verfahren sind auch heute noch weit verbreitete Ursachen für Datenschutzverletzungen.
Der springende Punkt liegt nicht nur in der Art des gewählten Schutzes, sondern auch in der Art seiner Anwendung, in der Aktualisierung und spezifischen Schulung der Personen, die die Daten verarbeiten.
Tatsächlich darf nicht vergessen werden, dass Compliance auf mehreren Ebenen erfolgen muss, transversal sein muss und nicht nur die technische Seite und die Cybersicherheit betreffen kann, sondern auch den organisatorischen und prozessualen Aspekt im Hinblick auf den sogenannten menschlichen Faktor.