Verantwortlicher und Auftragsverarbeiter Artikel 24 bis 43 DSGVO – Facebook Hack
In früheren Blogbeiträgen haben wir uns bspw. schon mit dem Artikel 32 DSGVO über die technischen und organisatorischen Maßnahmen befasst. Heute möchten wir uns den größeren Zusammenhang dem Kapitel fünf Verantwortlicher und Auftragsverarbeiter widmen, das in den Artikeln 24 bis 43 der DSGVO geregelt ist. Und wir möchten in diesem Zusammenhang einen kurzen Blick auf den Facebook Hack von letzer Woche werfen.
Der Artikel 24 definiert die Verantwortlichkeit für die Verarbeitung. Es wird klargestellt, dass der Verantwortliche die Pflicht hat durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass die personenbezogenen Daten hinreichend geschützt sind. Die Dokumentation dieser Maßnahmen soll eine lückenlose Meldung an öffentliche Stellen gewährleisten. Die Angemessenheit der Datenschutzvorkehrung lässt Raum zur Interpretation, wie Vorkehrungen und Datenverarbeitung im Verhältnis zu einander stehen. Genehmigte Verhaltensregeln (Artikel 40 DSGVO) und genehmigte Zertifizierungen (Artikel 42 DSGVO) können als Anhaltspunkte hierzu herangezogen werden.
Diese Woche wurde über den ersten großen Hack nach in Krafttreten der DSGVO bei Facebook gemeldet. Etwa fünf Millionen Konten, der 50 Millionen betroffenen gehören EU Bürgern. Gleich mehrere Artikel der DSGVO über die Artikel 24-43 Verantwortlicher und Auftragsverarbeiter kommen hier zur Anwendung. Natürlich stellt sich die Frage, ob der Verantwortliche (Facebook) angemessene Vorkehrungen (Artikel 24 DSGVO) getroffen hat und die Meldung der Datenschutzverletzung richtig vollzogen wurde. Unter anderem stehen folgende Artikel der DSGVO auf den Prüfstand.
Welche Artikel der DSGVO werden im Zusammenhang mit dem Facebook Hack genauer beleuchtet?
Artikel 25 – Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Die Frage, die sich um Zusammenhang mit dem Vorfall stellt, ist ob es im Vorhinein schon geeignete technische und organisatorische Maßnahmen gab und ob nach Bekanntwerden des Vorfalls Maßnahmen getroffen wurden.
Artikel 33 DSGVO – Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Der Vorfall wurde am Dienstag den 25. September bekannt und die Meldung ging am Donnerstag darauf bei den irischen Behörden ein. Das ist eine Rechenaufgabe für Juristen, ob das Zeitfenster eingehalten wurde. Jedenfalls droht Facebook bei einer Verfehlung bis zu zwei Prozent des Jahresumsatzes an Strafe.
Artikel 34 – Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person
Sollte das Risiko für die betroffenen Personen als sehr hoch einzuschätzen sein, hätte Facebook auch diese informieren müssen. Allerdings steht hier auch die Frage der Verhältnismäßigkeit im Raum.
Artikel 35 – Datenschutz-Folgenabschätzung
Ist dieser Vorfall mit einem hohen Risiko für die Betroffenen verbunden so ist Facebook auch verpflichtet eine Datenschutz Folgenabschätzung durchzuführen.
Artikel 55 DSGVO – Zuständigkeit
Die irische Aufsichtsbehörde war in diesem Fall zuständig und wurde informiert.
Artikel 83 und 84 DSGVO – Sanktionen
Facebook droht bei Verfehlung bis zu zwei Prozent des Jahresumsatzes an Strafe für die nicht regel konforme Meldung der Datenschutzverletzung. Sollte sich herausstellen, dass Facebook nicht hinreichenden Vorkehrungen getroffen haben, so drohen sogar vier Prozent des Jahresumsatzes.
Hier finden Sie die Artikel 24 bis 43 DSGVO
Weiter Links zum Facebook Hack:
Facebook Hack – Kombination aus mehreren Software Lücken war schuld
Facebook Hack – Keine Hinweise auf Einbruch bei anderen Diensten
Facebook Hack – Weniger als zehn Prozent der Betroffenen aus der EU
Facebook Hack – So erkennt ihr ob ihr betroffen seid
Facebook Hack – How the recent facebook hack is different than Cambridge Analytica