Verlust oder Diebstahl von Business-Tools: Ist es immer eine Datenschutzverletzung?

DSGVO für HR

Das wichtigste Unterscheidungsmerkmal bei einer Datenschutzverletzung ist, ob das verlorene oder gestohlene technologische Instrument mit Sicherheitssystemen ausgestattet ist, die die Verletzung der darin enthaltenen personenbezogenen Daten verhindern oder nicht.

Definition der Datenschutzverletzung:

Die italienische Datenschutzbehörde legt fest, dass eine Verletzung des Schutzes personenbezogener Daten (“Data Breach”) immer dann vorliegt, wenn es zu einer “Sicherheitsverletzung kommt, die – versehentlich oder unrechtmäßig – zur Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt”, und dass all jene “Verletzungen des Schutzes personenbezogener Daten, die erhebliche nachteilige Auswirkungen auf Einzelpersonen haben können, indem sie physischen, materiellen oder immateriellen Schaden verursachen”, und daher Verletzungen des Schutzes personenbezogener Daten, die wahrscheinlich ein Risiko für die Rechte und Freiheiten von Einzelpersonen darstellen, in angemessener Weise gemeldet werden sollten.

 

Was in der Firma passiert:

Hier stellt sich also die Frage, ob der Verlust und/oder Diebstahl eines beliebigen Geschäftswerkzeugs (PC, Tablet, Mobiltelefon usw.) als eine nach Artikel 33 der DSGVO zu meldende Datenschutzverletzung zu betrachten ist oder nicht.

Ausschlaggebend ist, ob das verlorene oder gestohlene Gerät ex ante mit entsprechenden Sicherheitsmaßnahmen ausgestattet wurde oder nicht.

Wenn das Gerät des Unternehmens mit einem Passwortschutz und einer Verschlüsselung oder anderen Sicherheitsmaßnahmen ausgestattet ist und somit der Zugriff auf personenbezogene Daten verhindert wurde und eine interne Analyse mit ausreichender Sicherheit feststellen lässt, dass nicht einmal die Vertraulichkeit der auf dem Gerät enthaltenen Informationen in irgendeiner Weise beschädigt wurde, besteht keine Notwendigkeit, die zuständige Behörde zu benachrichtigen, da in der Tat keine Datenverletzung stattgefunden hat und die personenbezogenen Daten noch immer im System des Unternehmens vorhanden und intakt sind.

Andererseits, wenn das Gerät des Unternehmens nicht mit Sicherheitssystemen ausgestattet ist, würde jeder Verlust oder Diebstahl davon, angesichts des unzureichenden Sicherheitsniveaus, sicherlich eine Datenverletzung mit der daraus folgenden Verpflichtung zur Benachrichtigung der zuständigen Behörde gemäß Artikel 33 der DSGVO nach sich ziehen.

Offensichtlich ist es eine gute Praxis, in einem speziellen Verfahren oder einer Firmenpolitik das Verhalten vorzugeben, das vom Mitarbeiter im Falle eines Verlusts / Abhandenkommens des Firmengeräts angewandt werden sollte. Um das Problem im Vorfeld zu vermeiden und daher als „best practice“ anzunehmen ist, alle Geschäftsdokumente in einer Cloud-Umgebung zu speichern, mit der konsequenten sofortigen Sperrung von Geschäftsdokumenten im Falle eines Diebstahls und / oder des Verlusts von Geräten.

Verlust oder Diebstahl von Business-Tools: Ist es immer eine Datenschutzverletzung?

JDSGVO für HR

Das wichtigste Unterscheidungsmerkmal bei einer Datenschutzverletzung ist, ob das verlorene oder gestohlene technologische Instrument mit Sicherheitssystemen ausgestattet ist, die die Verletzung der darin enthaltenen personenbezogenen Daten verhindern oder nicht.

Definition der Datenschutzverletzung:

Die italienische Datenschutzbehörde legt fest, dass eine Verletzung des Schutzes personenbezogener Daten (“Data Breach”) immer dann vorliegt, wenn es zu einer “Sicherheitsverletzung kommt, die – versehentlich oder unrechtmäßig – zur Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt”, und dass all jene “Verletzungen des Schutzes personenbezogener Daten, die erhebliche nachteilige Auswirkungen auf Einzelpersonen haben können, indem sie physischen, materiellen oder immateriellen Schaden verursachen”, und daher Verletzungen des Schutzes personenbezogener Daten, die wahrscheinlich ein Risiko für die Rechte und Freiheiten von Einzelpersonen darstellen, in angemessener Weise gemeldet werden sollten.

 

Was in der Firma passiert:

Hier stellt sich also die Frage, ob der Verlust und/oder Diebstahl eines beliebigen Geschäftswerkzeugs (PC, Tablet, Mobiltelefon usw.) als eine nach Artikel 33 der DSGVO zu meldende Datenschutzverletzung zu betrachten ist oder nicht.

Ausschlaggebend ist, ob das verlorene oder gestohlene Gerät ex ante mit entsprechenden Sicherheitsmaßnahmen ausgestattet wurde oder nicht.

Wenn das Gerät des Unternehmens mit einem Passwortschutz und einer Verschlüsselung oder anderen Sicherheitsmaßnahmen ausgestattet ist und somit der Zugriff auf personenbezogene Daten verhindert wurde und eine interne Analyse mit ausreichender Sicherheit feststellen lässt, dass nicht einmal die Vertraulichkeit der auf dem Gerät enthaltenen Informationen in irgendeiner Weise beschädigt wurde, besteht keine Notwendigkeit, die zuständige Behörde zu benachrichtigen, da in der Tat keine Datenverletzung stattgefunden hat und die personenbezogenen Daten noch immer im System des Unternehmens vorhanden und intakt sind.

Andererseits, wenn das Gerät des Unternehmens nicht mit Sicherheitssystemen ausgestattet ist, würde jeder Verlust oder Diebstahl davon, angesichts des unzureichenden Sicherheitsniveaus, sicherlich eine Datenverletzung mit der daraus folgenden Verpflichtung zur Benachrichtigung der zuständigen Behörde gemäß Artikel 33 der DSGVO nach sich ziehen.

Offensichtlich ist es eine gute Praxis, in einem speziellen Verfahren oder einer Firmenpolitik das Verhalten vorzugeben, das vom Mitarbeiter im Falle eines Verlusts / Abhandenkommens des Firmengeräts angewandt werden sollte. Um das Problem im Vorfeld zu vermeiden und daher als „best practice“ anzunehmen ist, alle Geschäftsdokumente in einer Cloud-Umgebung zu speichern, mit der konsequenten sofortigen Sperrung von Geschäftsdokumenten im Falle eines Diebstahls und / oder des Verlusts von Geräten.