ich hätte gerne eine Einschätzung der Schwarmintelligenz bzw. freue mich über Erfahrungsberichte von Kollegen.
Bei der Einschätzung, ob ein Datenschutzvorfall meldepflichtig bei der Aufsichtsbehörde ist, kommt es ja auf die Schwere des möglichen Schadens und dessen Eintrittswahrscheinlichkeit an.
Wie sieht eine solche Bewertung in der Praxis aus?
Meiner Meinung nach müssen zunächst (ähnlich wie bei der DSFA) mögliche Schadensszenarien überlegt werden, um dann zu überlegen, welche Folgen daraus entstehen können.
Ist das aus Eurer Sicht und Erfahrung allein Sache des DSB?
Wie geht Ihr vor?
Gibt es irgendwo Beispielsfälle?
z.B. Welche Schadensschwere ist möglich, wenn beispielsweise lediglich Name und Geburtsdatum von wenigen Personen einer einzigen unbefugten Person offengelegt wurden?
Spielt die Schutzbedürftigkeit der betroffenen Personen in dieser Bewertung eine Rolle? Oder ist die nur relevant, wenn es um die toM geht?
Ich denke, die Bewertung, ob ein Vorfall meldepflichtig ist, kann man nur schwer schematisieren. Letztendlich muss man im Einzelfall entscheiden, ob “die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt”. Was könnte ein Dritter mit den offengelegten Daten anstellen? Kann er den Betroffenen wesentlichen Schaden zufügen? Und wieviele Betroffene gibt es überhaupt.
Man muss eine Entscheidung treffen und diese im Zweifel gegenüber der Aufsicht vertreten können.
Zur Bewertung nutze ich für den Schaden/Nachteil Unterlagen der CNIL, Chapter 1.5. Scales and rules for estimating severity , PIA Knowledge Bases, CNIL Feb. 2018 und für die WahrscheinlichkeitKap III 2 bb Bewertung der möglichen Nachteile nach ihrer Eintrittswahrscheinlichkeit, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, BayLfD Juni 2019, jeweils 4 Stufen und dann eine 4x4 Kreuzmatrix, mit der niedrig - mittel - hoch festgelegt wird.
Wer ist “man” in diesem Fall? Ist dies Aufgabe des DSB oder prüft der lediglich, ob die Entscheidung des Verantwortlichen vertretbar ist?
jeweils 4 Stufen und dann eine 4x4 Kreuzmatrix, mit der niedrig - mittel - hoch festgelegt wird.
Diese Matrix nutze ich auch. Ich tue mich nur gerade schwer mit den möglichen Szenarien. Also mit der Beantwortung der Frage, was ein Dritter mit den Daten anstellen könnte.
VG
dedsb
PS:
Habt Ihr mal Beispiele für mich für die Frage, was ein Dritter mit den Daten anfangen kann?
Also bei Name und IBAN fällt mir natürlich sofort Identitätsdiebstahl ein: Ein Dritter könnte auf fremden Namen und fremde Kosten Sachen irgendwo bestellen etc.
Was könnte ein Dritter mit Name und Geburtstag anfangen?
durch welches “man” die Entscheidung zu treffen ist, beschreibt die DSGVO deutlich. Es ist der Verantwortliche. Du, als DSB mit deiner Stellung im Organigramm (Aufbauorganisation), bist eine Stabsstelle (Stelle ohne Entscheidungsgewalt). Du kannst/sollst ja aber den Verantwortlichen/die Leitungsebene bei der Entscheidungsfindung unterstützen und beraten, z. B. durch die Benutzung der “Muss-Listen”, die Inizierung einer kleinen DS-Beratung (Teamarbeit ist zur Analyse wichtig - 4 Augen sehen mehr als 2 Augen; das Herausfinden von TOM), die Benutzung der Risiko-Matrix. Er, der Verantwortliche, kann dir Aufgaben zuweisen. Er segnet sie aber ab.
Er, der Verantwortliche, kann dir Aufgaben zuweisen. Er segnet sie aber ab.
Das ist nochmal ein guter Hinweis. In der Praxis ist es wohl meistens so dass sich der/die DSB um die Bearbeitung, Dokumentation und Einschätzung eines (möglichen) Datenschutzvorfalles kümmert. Aber dass es Aufgabe des Verantwortlichen ist, kann man sicher nochmal herausstellen.
ich würde sagen: Ja, denn er kann dir die Aufgabe "Führung das VzV"auferlegen, lt Art 30(1) DSGVO hat der Verantwortliche die Pflicht zur Führung.
Er darf dir keine Entscheidunggewalt überlassen. Ein Beispiel ist die Festlegung zur Einführung/Änderung der TOM. Dort hat er die Freigabe zu genehmigen/zu unterschreiben (Rechenschaftspflicht). Die Prüfung kann dir übergeben.
Wie gesagt, du kannst die Überwachung gehört nach DSGVO zu deinen Aufgaben. Aufgrund der Rechenschaftspflicht zählt auch die Dokumentation durch dich, bei Beratungen.
Für die DSFA gilt das Gleiche, Art. 35.
Es gilt auch in Art. 33 und 34 der DSGVO.
Ich sagte, das der DSB eine eine Stelle ohne Entscheidungsgewalt ist, sie darf aus der Leitungsebene Weisungen empfangen.
Naja, für diverse Szenarien wirst Du keine Zeit haben … Ich werte das (mit kurzer Erläuterung) in eine der Stufen und gut is. Den Text aussen drum rum muss man ja auch noch schreiben und da sollte man sorgfältig formulieren.
Die Entscheidung (über den Vorschlag = Beratung) überlasse ich der GF und lege es als Doku ab.
PS: bzgl “Anweisung” besser einen extra Thread. So einfach ist das eben nicht. Die Zwitter-Situation in kleineren Unternehmen ist mir klar.
Ich habe in Zweifelsfällen den Hörer in die Hand genommen, einen Betroffenen angerufen und den gefragt, wie er/sie/es die Sache sieht. Die entsprechende Mail des Betroffenen dann dokumentiert und in beiden Fällen auf eine Meldung verzichtet. Die jeweilige Einschätzung hat sich in Telefonaten mit Aufsichtsbehörden auf der Tonspur im Nachhinein dann auch bestätigt. Beste Grüße
Das Wer eine Meldung gegenüber den Betroffenen oder der Aufsichtsbehörde zu tätigen hat wollte ich oben beantworten, nicht das Wann und Wie.
Und bei Wer sagt die EU, der Verantwortliche. Er hat die diese Aufgabe, mit einer Vorgabe: “Wann/Wie hast du den Betroffenen/die Aufsichtsbehörde zu informieren”, an dich übergeben/delegiert. In diesem Moment hast du keine Entscheidungsgewalt, sondern du hast deinen Rahmen.
Dort wird mit dem Begriff gearbeitet und es kommt auch der Begriff Tem (z. B. ein DST - Datenschutzteam) , bzw. Beratung (z. B., Online-Konferenz zwischen dir und den Abteilungsleitern) zum Ausdruck. Das kleine Buch beschreibt die Durchführung einer DSFA.
Danke, das hilft mir sehr weiter. Ich frage mich immer, wie ausführlich man als DSB diese Schadensszenarien ermitteln muss (außerhalb einer DSFA).
Macht es aus Deiner Sicht einen Unterschied, ob der DSB die GL über den Vorfall informiert , einen ausdrücklichen Vorschlag macht und um aktive Rückmeldung bittet oder ob der/die DSB die GL über den Vorfall informiert, eine Einschätzung abgibt à la “Die Ansicht, dass der Vorfall nicht meldepflichtig ist, ist meines Erachtens vertretbar” und dann nur eine Rückmeldung erfolgt, wenn die GL anderer Ansicht ist?
Auch eine interessante Idee. Darauf wäre ich jetzt nicht gekommen. Die Frage, ob die Betroffene Person informiert werden muss, prüfe ich immer erst nach der Einschätzung des Risikos. Aber theoretisch könnte man das tatsächlich direkt in die Prüfung mit Aufnehmen.
Ich weiß nur nicht, ob das vom Verantwortlichen immer gewünscht ist, die betroffene/n Person7en zu informieren, obwohl dazu keine Pflicht besteht… Aber das ist wohl einzelfallabhängig.
bezüglich der DSFA und den Szenarien (zB. Diebstahl, …) reicht eine Tabelle. Es soll aus Sicht des Betroffenen bewertet werden.
bezüglich eines Vorfalls (hohes Risiko) beginnt die Meldefrist an die an das Amt mit der Kenntnisnahme(72 h), Die Information des Betroffenen ist ebenso bei hohem Risiko vorzunehmen.
bezüglich der Entscheidungsfindung kannst du der GF einen "Vorschlag"machen. Du sollst als DSB der GF zur Seite stehen und sie, als Berater, beraten. Schon gibt es min. 2 Personen. Du kannst also deine eigenen Gedanken miteinfließen lassen, nicht nur schreiben (Protokoll führen) und die Bewertung aus Sicht des Betroffenen führen.
bezüglich DSFA und der beinhalteten die Beschreibung und Bewertung der Verarbeitungen. Diese erstelle ich vor der Freigabe, durch die GF, einer neuen/angepassten Verarbeitung.
Schön hat man die Frage “Muss informiert werden” beantwortet, denn mit Freigabe der DSFA erkennt er in der DSFA vorgeschlagenen TOM auch an und sagt somit “So wird es umgesetzt.”.
In den Folgejahren wird die DSFA nur aktualisiert/angepasst. Weil die aufgabe des DSB ist auch die Überwachung.
Ein Beispiel aus meinem Beruf: Betriebswirt in einem Pflegedienst.
2013 - MDK Prüfung, Zensur 3
2013 - 2016 - Erstellung eines Qualitätsmanagementhandbuches(QMHB) und Heranziehen einer Unternehmensberaterin
2016 - MDK Prüfung, Zensur 1
2016 - 2021 - Zwischen PDL und Beraterin war ein “Gespräch” über die Familie → keine Infos über die Verbesserung QMHB
2023 - Prüfung MDK, Zensur 1, aber das schnell erstellte Organigramm war aus meiner Sicht miserabel
Ich bezeichne die Zeit 2016-2023 als Zeit des “Einstaubens des QMHB”.
Für einer Prüfung braucht man nur das QMHB (Organigramm, Stellenbeschreibung) und eine aktuelle Personalliste vorlegen.
Meine Sicht: man sollte bei der Bewertung nicht den Künstler geben wollen. Schau Dir die von mir genannten Referenzen mal an (ich könnte sie wohl als Bild hochladen). Für beide Dimensionen sagt man schlicht “ist wie …” und begründet das in wenigen Sätzen. Dann schaut man auf die Risiko-Matrix, ob das plausibel ist und eventuell noch was zu “Grenzsituationen” und einer Korrektur. Das ganze ist ohnehin nicht objektiv, es sind (Ein-) Schätzungen.
Verfeinern/detallieren kannst Du immer noch (in den Papieren steht schon noch mehr).
Du hast dann ja noch die Umstände zu erforschen und zu beschreiben und das kostet Zeit. Und schnell sind die 3 Tage um (Du erfährst vom Problem ja mit Verzögerung). Außer Du kommst verlässlich zum Ergebnis, dass keine Meldung nötig ist.
Zur Rolle des DSB: naja, eigentlich ist es nicht seine gesetzliche Aufgabe. Aber praktisch hängt es von der “Kultur zum DS” ab. Die Meldung an die ASB ist Sache der Firma, mache ich bestenfalls im expliziten Auftrag. Damit ergibt sich auch die von Dir erfragte Kommunikation (und Dokumentation). Eins ist aber klar: wer von einer Verletzung erfährt, muss die Info unverzüglich an die GF geben, so nix anderes festgelegt ist.
