Verantwortlicher und Auftragsdatenverarbeiter – Artikel 24 bis 43 DSGVO – Facebook Hack

eingetragen in: Datenschutz, DSGVO | 0

Verantwortlicher und Auftragsdatenverarbeiter Artikel 24 bis 43 DSGVO - Facebook Hack

In früheren Blogbeiträgen haben wir uns bspw. schon mit dem Artikel 32 DSGVO über die technischen und organisatorischen Maßnahmen befasst. Heute möchten wir uns den größeren Zusammenhang dem Kapitel fünf Verantwortlicher und Auftragsdatenverarbeiter widmen, das in den Artikeln 24 bis 43 der DSGVO geregelt ist. Und wir möchten in diesem Zusammenhang einen kurzen Blick auf den Facebook Hack von letzer Woche werfen.

Der Artikel 24 definiert die Verantwortlichkeit für die Verarbeitung. Es wird klargestellt, dass der Verantwortliche die Pflicht hat durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass die personenbezogenen Daten hinreichend geschützt sind. Die Dokumentation dieser Maßnahmen soll eine lückenlose Meldung an öffentliche Stellen gewährleisten. Die Angemessenheit der Datenschutzvorkehrung lässt Raum zur Interpretation, wie Vorkehrungen und Datenverarbeitung im Verhältnis zu einander stehen. Genehmigte Verhaltensregeln (Artikel 40 DSGVO) und genehmigte Zertifizierungen (Artikel 42 DSGVO) können als Anhaltspunkte hierzu herangezogen werden.

Diese Woche wurde über den ersten großen Hack nach in Krafttreten der DSGVO bei Facebook gemeldet. Etwa fünf Millionen Konten, der 50 Millionen betroffenen gehören EU Bürgern. Gleich mehrere Artikel der DSGVO über die Artikel 24-43 Verantwortlicher und Auftragsdatenverarbeiter kommen hier zur Anwendung. Natürlich stellt sich die Frage, ob der Verantwortliche (Facebook) angemessene Vorkehrungen (Artikel 24 DSGVO) getroffen hat und die Meldung der Datenschutzverletzung richtig vollzogen wurde. Unter anderem stehen folgende Artikel der DSGVO auf den Prüfstand.

Welche Artikel der DSGVO werden im Zusammenhang mit dem Facebook Hack genauer beleuchtet?

Artikel 25 - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Die Frage, die sich um Zusammenhang mit dem Vorfall stellt, ist ob es im Vorhinein schon geeignete technische und organisatorische Maßnahmen gab und ob nach Bekanntwerden des Vorfalls Maßnahmen getroffen wurden.

Artikel 33 DSGVO – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Der Vorfall wurde am Dienstag den 25. September bekannt und die Meldung ging am Donnerstag darauf bei den irischen Behörden ein. Das ist eine Rechenaufgabe für Juristen, ob das Zeitfenster eingehalten wurde. Jedenfalls droht Facebook bei einer Verfehlung bis zu zwei Prozent des Jahresumsatzes an Strafe.

Artikel 34 - Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Sollte das Risiko für die betroffenen Personen als sehr hoch einzuschätzen sein, hätte Facebook auch diese informieren müssen. Allerdings steht hier auch die Frage der Verhältnismäßigkeit im Raum.

Artikel 35 - Datenschutz-Folgenabschätzung

Ist dieser Vorfall mit einem hohen Risiko für die Betroffenen verbunden so ist Facebook auch verpflichtet eine Datenschutz Folgenabschätzung durchzuführen.

Artikel 55 DSGVO – Zuständigkeit

Die irische Aufsichtsbehörde war in diesem Fall zuständig und wurde informiert.

 

Artikel 83 und 84 DSGVO – Sanktionen

Facebook droht bei Verfehlung bis zu zwei Prozent des Jahresumsatzes an Strafe für die nicht regel konforme Meldung der Datenschutzverletzung. Sollte sich herausstellen, dass Facebook nicht hinreichenden Vorkehrungen getroffen haben, so drohen sogar vier Prozent des Jahresumsatzes.