Welche Folgen hat das Urteil in der Rechtssache C340/21 für Verantwortliche in der Praxis?
Gemäß dem Urteil des EuGH liegt die Beweislast bei dem Datenschutzverantwortlichen, um nachzuweisen, dass die ergriffenen Sicherheitsmaßnahmen angemessen waren. Dies bedeutet, dass Unternehmen nun verpflichtet sind, die Wirksamkeit ihrer Datenschutzmaßnahmen zum Zeitpunkt des Cyberangriffs nachzuweisen.
Hinweis:
Die DS-GVO, das BDSG und weitere Datenschutzgesetze sowie -verordnungen gelten für ganz oder teilweise automatisierte Verarbeitungen von personenbezogener Daten sowie für die nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem, wie z.B. einem Archiv, gespeichert sind oder gespeichert werden sollen.
Nachfolgendes bezieht sich also auch auf Datenschutzverletzungen von nicht automatisierte Datenverarbeitungen!
Bisherige Praxis
Sobald jemand, mittels einem Cyberangriffs, in das Unternehmensnetzwerk eingedrungen war und damit einen Zugriff auf die zu schützenden Daten bekommen hatte, dann wurde davon ausgegangen das die Geschäftsleitung die Pflicht zur Gewährleistung der Datensicherheit nach Art.5 DS-GVO verletzt hatte und somit schadensersatzpflichtig nach Art. 82 DS-GVO war.
Hier wurde also ohne weitere Prüfung davon ausgegangen das in Falle eines Cyberangriffs, wobei der Datenschutz verletzt wurde, die getroffenen Maßnahmen nicht ausreichend waren.
Grundsätzlich war diese Betrachtungsweise ein klarer Nachteil für den Verantwortliche.
Nach dem Urteil des EuGH
In der Rechtssache EuGH C-340/21 hat der EuGH festgestellt das die hiesigen Gerichte ermitteln müssen, ob die getroffenen Maßnahmen zum Zeitpunkt des Angriffs grundsätzlich ausreichend waren. Den Nachweis das die Maßnahmen zum Zeitpunkt des Angriffs grundsätzlich ausreichend waren, muss der Verantwortliche erbringen.
Diese Betrachtungsweise ist zwar vorteilhaft für den Verantwortliche, führt aber zunächst zu einige neue Herausforderungen.
Wie kann der Verantwortliche Nachweise erbringen das die getroffenen Maßnahmen zum Zeitpunkt des Cyberangriffs ausreichend waren?
Aus meiner Sicht kann er dies nur wenn er folgende Dokumentationen, aus einem Zeitpunkt vor dem Cyberangriffs, vorlegen kann:
- Eine sorgfältige und dokumentierte Risikoabschätzung der Verarbeitungsvorgänge.
- Eine, der Risikos angemessene, technische und organisatorische Maßnahmen (TOM) zum Zeitpunkt des Angriffs.
- Einen dokumentierten Nachweis das die Maßnahmen, welche in der TOM zum Zeitpunkt des Angriffs aufgenommen waren, auch tatsächlich durchgeführt wurden.
- Nachweis der erfolgten Prüfung der Auftragsverarbeiter, wobei ebenfalls auf die Vorhaltung der durchgeführte Sicherungsmaßnahmen hingewiesen und abgefragt wurde.
Wichtig ist das diese Dokumentationen, auch im Falle einer nicht Verfügbarkeit des Unternehmensnetzwerks, verfügbar sind.
Auf welche Weise können Sie die neuen Herausforderungen umsetzen?
Um die Anforderungen aus der DS-GVO, das BDSG und weitere Datenschutzgesetze sowie -anforderungen gerecht zu werden bedarf es mehr als nur ein einfaches tabellarisches Verfahrensverzeichnis und Dokumentationen auf verschiedene Verzeichnisse im Unternehmensnetzwerk. Vielmehr sollten Sie sich überlegen, ob die gesamte Datenschutzdokumentationen nicht besser außerhalb des Netzwerks vorgehalten werden sollte.
Aus dieser Überlegung heraus haben wir das Datenschutz Management System DPM-Online entwickelt.
Mit diesem Datenschutz Management System erhalten Sie die Möglichkeit, Ihre gesamte Datenschutzdokumentationen außerhalb das Unternehmensnetzwerks zu gestalten und zu pflegen.
Mehr zu diesem Datenschutz Management System erhalten Sie hier
Hinweis:
Eine Datenschutzberatung durch mich ersetzt nicht die Rechtsberatung durch einen Juristen, denn auch ein zertifizierter Datenschutzbeauftragter und -auditor (TÜV), der laut DS-GVO eine beratende Funktion hat, ist kein Fachanwalt.
Sobald eine Rechtsberatung erforderlich oder gewünscht wird, stelle ich in Absprache mit Ihnen ein Expertenteam zusammen.