Haufe.de Shop
Service & Support
Sie verwenden eine veraltete Browser-Version. Dies kann unter Umständen zu Einschränkungen in der Funktion sowie Darstellung führen. Daher empfehlen wir Ihnen, einen aktuellen Browser wie z.B. Microsoft Edge zu verwenden.
Anmelden
  • Personal
  • Steuern
  • Finance
  • Immobilien
  • Controlling
  • Öffentlicher Dienst
  • Recht
  • Arbeitsschutz
  • Sozialwesen
  • Sustainability
  • Themen
  • Haufe
  • Recht
  • Deutsches Anwalt Office Premium
  • Kanzleimanagement
  • Arbeits- & Sozialrecht
  • Familien- & Erbrecht
  • Wirtschaftsrecht
  • Miet- & Immobilienrecht
  • Verkehrsrecht
  • allg. Zivilrecht
  • Strafrecht & öffentl. Recht
  • Prozessrecht

ZAP 6/2023, Umgang mit Datenpannen in der Anwaltskanzlei / III. Risikobewertung

Anmelden und Beitrag in meinem Produkt lesen

Sie haben den Artikel bereits bewertet.

Ob und wem Meldung von der Datenpanne zu machen ist, hängt maßgeblich vom Vorliegen eines Risikos und von dessen Höhe ab (vgl. Art. 33, 34 DSGVO). Dieses Risiko ist stets aus Sicht der betroffenen Personen zu beurteilen, es geht hier also nicht um das Risiko für den Anwalt oder die Kanzlei.

Die Risikoeinstufung erfolgt mit Hilfe der folgenden Formel (vgl. Art. 32 Abs. 1 i.V.m. ErwGr. 75 S. 1 DSGVO):

Eintrittswahrscheinlichkeit einer Bedrohung x Schwere der Auswirkung = Höhe des Risikos

In ErwGr. 75 nennt die DSGVO folgende potenzielle Risiken, die hier als Abwägungskriterien berücksichtigt werden sollten:

  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • finanzieller Verlust
  • Rufschädigung
  • Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten
  • unbefugte Aufhebung der Pseudonymisierung
  • sonstige erhebliche wirtschaftliche oder gesellschaftlichen Nachteile
  • unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen
  • Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten bzgl. strafrechtlicher Verurteilungen bzw. Straftaten (Art. 10 DSGVO)
  • Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern)
  • Verarbeitung einer großen Menge von Daten
  • große Anzahl von Betroffenen
  • Bewertung persönlicher Aspekte (zur Erstellung persönlicher Profile), insb. von Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlichen Vorlieben/Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort bzw. Ortswechsel

Es ist davon auszugehen, dass durch eine Datenpanne bei den davon betroffenen Personen grds. ein physischer, materieller oder immaterieller Schaden entstehen kann. Für eine Risikoeinschätzung ist nach Maßgabe von ErwGr. 85 DSGVO zu überprüfen, ob es bei den Betroffenen aufgrund der Datenpanne zu einem der folgenden Nachteile kommen kann:

  • Verlust der Kontrolle über die eigenen Daten
  • Einschränkung ihrer Betroffenenrechte
  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • finanzieller Verlust
  • unbefugte Aufhebung der Pseudonymisierung
  • Rufschädigung
  • Verlust der Vertraulichkeit von Daten, die einem Berufsgeheimnis unterliegen
  • andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die Betroffenen
 

Praxistipp:

Insbesondere der Aspekt des Verlusts der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten ist bei einer Datenpanne in der Anwaltskanzlei regelmäßig erfüllt, jedenfalls wenn auch Mandantendaten betroffen sind. Sehr häufig gehen damit noch weitere potenzielle Schäden einher, sodass nicht immer, aber doch recht häufig von einem erhöhten Risiko ausgegangen werden muss.

Für beide Faktoren der o.a. Formel, also die Eintrittswahrscheinlichkeit einer Bedrohung und die Schwere der Auswirkung, lassen sich unterschiedliche Schweregrade festlegen, nämlich beispielsweise die folgenden:

  • geringfügig (Wert: 1)
  • überschaubar (Wert: 2)
  • gravierend (Wert: 3)
  • groß (Wert: 4)
 

Hinweis:

Es kommt nicht darauf an, ob Sie diese 4x4-Matrix oder eine eigene verwenden. Sie können beispielsweise auch eine 3x3- oder eine 5x5-Matrix sowie andere Formulierungen für die einzelnen Stufen/Schweregrade nutzen. Entscheidend ist allerdings, dass Sie Ihre Methode einheitlich und konsequent verwenden. Die meisten Datenschutzaufsichtsbehörden, wie etwa auch das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), orientieren sich allerdings an einer 4x4-Matrix, da alles andere zu grob bzw. zu fein unterteilt und daher in der Praxis nicht ganz so gut zu handhaben ist. Zudem hat eine Matrix mit einer Dimension von 4x4 keine exakte Mitte, sodass Sie dadurch gezwungen werden, sich für eine bestimmte Tendenz zu entscheiden.

Die Werte der o.a. Formel können auf eine Risiko-Matrix übertragen werden, die wie folgt aussehen kann:

 
  Eintrittswahrscheinlichkeit
Geringfügig Überschaubar Gravierend Groß
Schwere des Schadens Geringfügig 1* 2* 3** 4**
Überschaubar 2* 4** 6** 8**
Gravierend 3** 6** 9*** 12***
Groß 4** 8*** 12*** 16***
  • Anm.: * = geringes Risiko, ** = mittleres Risiko, ***= hohes Risiko

Wird eine Datenpanne z.B. mit einer großen Auswirkung (4), aber nur mit einer überschaubaren (2) Eintrittswahrscheinlichkeit bewertet, ergibt sich als Produkt der Wert 8. Übertragen in die Risiko-Matrix ergäbe dies eine Datenpanne im hohen (***) Bereich, sodass nicht nur von einem „normalen”, sondern von einem hohen Risiko auszugehen ist. Somit wäre in diesem Beispiel eine Meldung sowohl an die Aufsichtsbehörde als auch an die Betroffenen erforderlich.

 

Beispiel:

Beim Einkaufen im Supermarkt verlieren Sie Ihr beruflich genutztes Smartphone, auf dem unverschlüsselt und ohne Zugangscode die Daten aller Mandanten inkl. Bankverbindung und Gesundheitsdaten gespeichert sind; eine solche ungesicherte Speicherung dieser Daten ist ausdrücklich NICHT zu empfehlen und soll hier nur als exemplarischer Sachverhalt dienen. Aufgrund der Sensibilität der Daten (Gesundheitsdaten als Art.-9-Daten sowie Bankdaten) ist ein hoher Schweregrad (4) anzunehmen. Die Wahrscheinlichkeit, dass ein unbefugter Dritte das Smartphone finde...

Dieser Inhalt ist unter anderem im Deutsches Anwalt Office Premium enthalten. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene Beiträge
  • Haushaltsnahe Dienstleistungen und Handwerkerleistungen / 7.3 Begünstigte Aufwendungen
    3.087
  • § 13 Zinsloses Darlehen unter nahen Angehörigen / B. Schenkungsteuer
    2.322
  • Abgrenzung von Anschaffungskosten, Herstellungskosten un ... / 5 Anschaffungsnaher Aufwand
    2.136
  • Lebensalter / 1 Vollendung eines Lebensjahres
    1.958
  • Kündigungsfristen (Miete) / 3 Kündigungsfrist bei Geschäftsräumen
    1.892
  • § 2 Die Gebühren nach dem RVG / 1. Einigungsgebühr, Nr. 1000, 1003, 1004 VV RVG
    1.886
  • § 57 Zivilprozessrecht / II. Muster: Klageschriften
    1.872
  • Rohrverstopfung (Mietrecht)
    1.729
  • § 4 Arbeitsrecht / 9. Muster: Anschreiben Urlaubsansprüche und deren drohender Verfall
    1.634
  • Schwangerschaft: Beschäftigungsverbot oder Arbeitsunfähigkeit
    1.538
  • Die verbilligte Vermietung von Wohnungen
    1.529
  • Gewerblicher Grundstückshandel / 2.2 Erwerb und Veräußerung innerhalb von 5 Jahren
    1.437
  • § 2 Die Gebühren nach dem RVG / 2. Geschäftsgebühr, Nr. 2300 VV RVG
    1.321
  • Garage/Stellplatz im Mietrecht / 6 Umsatzsteuerbefreiung?
    1.301
  • § 14 Widerruf der Vollmacht / E. Widerrufserklärung
    1.236
  • § 4 Arbeitsrecht / 4. Muster: Urlaubsbescheinigung
    1.230
  • § 4 Arbeitsrecht / b) Muster: Fortbildungsvertrag
    1.199
  • Wohnrecht (Miete) / 5 Beendigung des Wohnrechts
    1.184
  • § 4 Arbeitsrecht / 4. Muster: Kündigungsschutzklage
    1.161
  • § 2 Die Gebühren nach dem RVG / III. Anerkenntnis
    1.160
Top-Themen
Downloads
Zum Haufe Shop
Produktempfehlung

Zum Thema Recht
Datenschutz: Eine Datenpanne melden
Hand verknüpft Big Data visuell auf Screen
Bild: mauritius images / Denis Putilov / Alamy

Eine Datenpanne passiert schneller, als man denkt und kann schwerwiegende Konsequenzen mit sich bringen. Deshalb ist es für Unternehmen wichtig zu wissen, wie sie sich bei einer Datenpanne zu verhalten haben.
DSGVO: Wann haben von Datenschutzverstößen Betroffene Anspruch auf Schadensersatz?
DSGVO+Finger tippen auf smart phone mit EU-Sternen+Schloss
Bild: Pete Linforth/ pixabay.com

Klagen und Entscheidungen zum Anspruch auf Schadensersatz für Betroffene von Datenschutzverstößen und Datenpannen häufen sich. Die Gerichte urteilen dabei teilweise sehr unterschiedlich. Oft müssen Entscheidungen des EuGH und des Bundesgerichtshofs für mehr Rechtssicherheit sorgen.
Rechte und Pflichten: Praxishandbuch KI und Recht
Praxishandbuch KI und Recht
Bild: Haufe Shop

Das Buch führt in die rechtlichen Grundlagen im Zusammenhang mit dem Einsatz von KI ein. Insbesondere werden die neue europäische KI-Verordnung (AI Act) und die sich daraus ergebenden Rechte und Pflichten behandelt. Auch Haftungsfragen und für die datenschutzkonforme KI-Nutzung werden dargestellt. 
SGB V - Gesetzliche Kranken... / 2.3 Risiken für die Rechte und Freiheiten der betroffenen Personen (Artikel 35 Absatz 7 Buchstabe c DSGVO)
SGB V - Gesetzliche Kranken... / 2.3 Risiken für die Rechte und Freiheiten der betroffenen Personen (Artikel 35 Absatz 7 Buchstabe c DSGVO)

Die Risiken für die Rechte und Freiheiten der betroffenen Personen sind nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit zu bewerten (ErwGe 76, 77, 84 und 90 DSGVO). Nach den ErwGen 75 und 85 DSGVO sind unter anderem die ...

4 Wochen testen
Newsletter Recht
Bild: Haufe Online Redaktion
Newsletter Recht - Wirtschaftsrecht

Aktuelle Informationen aus dem Bereich Wirtschaftsrecht frei Haus - abonnieren Sie unseren Newsletter:

  • Handels- und Gesellschaftsrecht
  • Gewerblicher Rechtsschutz
  • Vertriebsrecht
Pflichtfeld: Bitte geben Sie eine gültige E-Mail Adresse ein.
Sie müssen den AGB zustimmen
Haufe Fachmagazine
Zum Recht Archiv
Themensuche A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
Haufe Group
Haufe Onboarding Software
Haufe Fachwissen
Haufe HR Services
Haufe Digitale Personalakte
Advolux
Haufe Onlinetraining
rudolf.ai - Haufe meets AI
Weiterführende Links
RSS
Newsletter
FAQ
Mediadaten
Presse
Editorial Code of Conduct
Redaktionsrichtlinie zum KI-Einsatz
Netiquette
Sitemap
Buchautor:in werden bei Haufe
Kontakt

Kontakt & Feedback
Datenschutz

AGB
Impressum
Haufe Shop Recht
Anwaltssoftware
Anwaltliches Fachwissen Software
Gesellschafts- & Wirtschaftsrecht Lösungen
Alle Recht Produkte

    Weitere Produkte zum Thema:

    × Profitieren Sie von personalisierten Inhalten, Angeboten und Services!

    Unser Ziel ist es, Ihnen eine auf Ihre Bedürfnisse zugeschnittene Website anzubieten. Um Ihnen relevante und nützliche Inhalte, Angebote und Services präsentieren zu können, benötigen wir Ihre Einwilligung zur Nutzung Ihrer Daten. Wir nutzen den Service eines Drittanbieters, um Ihre Aktivitäten auf unserer Website zu analysieren.

    Mit Ihrer Einwilligung profitieren Sie von einem personalisierten Website-Erlebnis und Zugang zu spannenden Inhalten, die Sie informieren, inspirieren und bei Ihrer täglichen Arbeit unterstützen.

    Wir respektieren Ihre Privatsphäre und schützen Ihre Daten. Sie können sich jederzeit darüber informieren, welche Daten wir erheben und wie wir sie verwenden. Sie können Ihre Einwilligung jederzeit widerrufen. Passen Sie Ihre Präferenzen dafür in den Cookie-Einstellungen an.

    Mehr Informationen Nein, Danke Akzeptieren