DSGVO: Wie sind Datenlecks zu melden?

Seit dem 25. Mai 2018 muss sich jedes belgische Unternehmen, das Daten von EU-Bürgern erhebt, nach der Datenschutzgrundverordnung (DSGVO) richten. Diese neue Datenschutzrichtlinie regelt die Verarbeitung, die Verwaltung und die Speicherung von personenbezogenen Daten. Die DSGVO verpflichtet diese Unternehmen auch, Vorfälle mit personenbezogenen Daten der Datenschutzaufsichtsbehörde zu melden. Das Formular für die Meldung von Datenlecks steht nun zur Verfügung.

Die Datenschutzgrundverordnung (DSGVO) ist das neue Datenschutzgesetz, das seit dem 25. Mai 2018 in Kraft ist.

Was wird unter Datenleck verstanden?

Ein Datenleck ist jeder Verstoß gegen den Datenschutz, wodurch mit oder ohne Vorsatz weitergeleitete, gespeicherte oder andererseits verarbeitete Daten vernichtet werden, verloren gehen oder geändert werden. Es geht um die unerlaubte Weiterleitung von personenbezogenen Daten oder der unerlaubte Zugang zu ihnen (Art. 4, 12 DSGVO: eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden). Geläufige Beispiele sind: ein USB-Stick mit der Kundendatenbank wurde gestohlen oder ist verloren gegangen; personenbezogene Daten wurden mit Ransomware (Erpressungssoftware) verschlüsselt und es gibt keine Kopie; der für die Verarbeitung Verantwortliche hat den Schlüssel für verschlüsselte personenbezogene Daten verloren; ein Virus löscht alle Kundendaten aus der Datenbank. Sobald ein Unbefugter Zugang zu den Daten hat, kann die Rede von einem Datenleck sein. Böse Absichten sind keine Voraussetzung, um von einem Datenleck zu sprechen.

Meldepflicht ist nicht absolut

Das Melden eines Datenlecks bei der Datenschutzaufsichtsbehörde ist nicht immer obligatorisch. Eine Meldung ist nur verpflichtet, wenn es wahrscheinlich ist, dass der Verstoß ein Risiko für die Rechte und Freiheiten natürlicher Personen beinhaltet. In diesem Fall muss der für die Verarbeitung Verantwortliche das Datenleck innerhalb von 72 Stunden nach der Kenntnisnahme des Lecks melden.
Außerdem muss das Unternehmen den Verstoß dem Betroffenen selbst mitteilen, wenn für diesen ein hohes Risiko der Verletzung seiner Grundrechte besteht.

Der Meldung geht eine Risikoanalyse voraus.
Können die Folgen des Datenlecks zu Identitätsdiebstahl, Finanzverlust oder Imageschaden für die betroffenen Personen führen?
Besteht die Wahrscheinlichkeit eines materiellen oder körperlichen Schadens? ...

Es ist sicher auch kein überflüssiger Luxus, alle Datenlecks in der Organisation in einem Register aufzunehmen. In diesem Register beschreibt der für die Verarbeitung von personenbezogenen Daten Verantwortliche ausführlich das Leck und fügt eine Übersicht über die Ursachen, Folgen und getroffenen Maßnahmen hinzu.

Elektronisches Formular

Datenlecks müssen künftig mit einem elektronischen Formular auf einem Webportal der Datenschutzaufsichtsbehörde gemeldet werden.

Checkliste in 4 Schritten:

Prüfen, ob das Datenleck bei der Datenschutzaufsichtsbehörde oder der Flämischen Aufsichtskommission gemeldet werden muss;

das elektronische Formular downloaden, wenn die Datenschutzaufsichtsbehörde die zuständige Behörde ist. Das Formular muss mit einem Desktop oder Laptop geöffnet und ausgefüllt werden. Es geht nicht mit einem mobilen Gerät;

das heruntergeladene Formulier elektronisch auf Ihrem PC ausfüllen. Mit der Hand ausgefüllte und anschließend gescannte Formulare können nicht versandt werden!

das ausgefüllte Formulier auf dem e-Form-Webportal der Datenschutzaufsichtsbehörde senden. Nach erfolgreichem Versand erhalten Sie eine E-Mail mit einem eindeutigen Kode. Diese E-Mail beweist, dass die Mitteilung der Kontaktdaten gelungen ist.

Wenn das Datenleck weitere Ermittlungen verlangt, kann die Organisation darüber eine vorläufige Meldung machen.

Von der europäischen Verordnung zum belgischen Rahmengesetz

Die Datenschutzgrundverordnung gilt unmittelbar in Belgien, aber regelt nicht alles. Am 5. September 2018 erschien das Gesetz vom 30. Juli 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im belgischen Staatsblatt. Fast alle Bestimmungen dieses Rahmengesetzes treten sofort in Kraft. Das Gesetz senkt das Alter, in dem Kinder selbst ihre Einwilligung für die Verarbeitung ihrer personenbezogenen Daten erteilen können, von 16 auf 13 Jahre und führt zusätzliche Schutzmaßnahmen für genetische, biometrische und gesundheitliche Daten ein. Mit Wirkung vom 5. September wird auch das bisherige Datenschutzgesetz vom 8. Dezember 1992 und sein wichtigster Durchführungsbeschluss, der Königliche Erlass vom 13. Februar 2001, aufgehoben.