DSGVO-Verstoß: Meldepflichtige Datenpannen
Die Ende Mai 2018 in Kraft getretene DSGVO sorgte für viel Unruhe bei Unternehmern sowie bei Privaten. Die zahlreichen Verpflichtungen, die durch die Verordnung auferlegt werden, sind oftmals unübersichtlich. Erst recht sind sie durch den Blick in das Gesetz nicht sofort zu erschließen. Einen besonders schwierigen Fall stellt die Meldepflicht bei einer Datenpanne dar. Doch wann kann von einer solchen die Rede sein und was umfasst sie?
DSGVO-Datenpanne: Wann besteht die Meldepflicht?
Gemäß Art. 33 DSGVO müssen Betriebe alle Datenpannen an die zuständige Landesdatenschutzbehörde melden, wenn dabei der Schutz personenbezogener Daten verletzt wird:
“Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.”
Art. 33 Abs. 1 DSGVO
Was unter der “Verletzung des Schutzes personenbezogener Daten” zu verstehen ist, findet seine Definition wiederum in Art. 4 Nr. 12 DSGVO:
“Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden”
Art. 4 Nr. 12 DSGVO
Eine Meldepflicht bei DSGVO-Datenpannen setzt schließlich voraus, dass die Verletzung des Schutzes personenbezogener Daten zu einem “Risiko für die Rechte und Freiheiten natürlicher Personen” führt. In diesem Zusammenhang ist auf die Korrelation aus
- der Schwere des Schadens und
- dessen Eintrittswahrscheinlichkeit
abzustellen. Mit anderen Worten: Je höher der zu erwartende Schaden ist, desto geringer sind die Anforderungen an die Eintrittswahrscheinlichkeit.
Dokument gibt erste Hinweise
Allerdings wird auch hieraus nicht klar ersichtlich, in welchen praktischen Fällen es zu einer Meldepflicht kommt. Daher ist in Anlehnung an die gesetzgeberischen Ausführungen innerhalb der DSGVO zunächst verallgemeinert festzuhalten, dass es sich bei der Verletzung des Schutzes personenbezogener Daten grundsätzlich um Unregelmäßigkeiten in der Datenverarbeitung handelt, durch die eine Gefahr für den Missbrauch von personenbezogenen Daten entsteht.
Darunter können ein verloren gegangener USB-Stick, eine nicht in “BCC” gesetzte (Werbe-)Mail, der Versand eines Kontoauszugs an den falschen Kunden, aber vor allem Hackerangriffe oder Trojaner im Datensystem fallen. Gerade am Beispiel des verloren gegangenen USB-Sticks wird aber deutlich, dass es immer auf den jeweiligen Einzelfall ankommt: Denn ein wirksam verschlüsselter, abhandengekommener USB-Stick dürfte in aller Regel keine Meldepflicht auslösen. Anders verhält es sich in den meisten Fällen, wenn der Stick nicht wirksam verschlüsselt ist oder keine anderweitige Sicherung der abhanden gekommenen Daten existiert.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat inzwischen einen Vermerk (“Data Breach-Vermerk”) veröffentlicht, in dem Beispiele für meldepflichtige Datenpannen aufgelistet sind (Download).
Der richtige Umgang nach der Datenpanne
Kommt es zum unerwünschten Vorfall der Datenpanne, ist ein strukturiertes Vorgehen essentiell, um die gesetzlichen Vorgaben derartiger ungünstiger Pannen einzuhalten.
Zu melden ist die Datenpanne unverzüglich, das heißt ohne schuldhaftes Zögern, innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde. Letztere ist in Deutschland die Landesdatenschutzbehörde der jeweiligen Bundesländer. Die Frist beginnt ab dem Zeitpunkt der Kenntnis von den erheblichen Tatsachen durch die verantwortliche Stelle. Dabei ist grundsätzlich ausreichend, dass jemand im Unternehmen oder der Behörde Kenntnis erlangt. Wenn die Meldung nach „allgemeinem Ermessen“ früher möglich ist, hat sie früher zu erfolgen (Erwägungsgrund 86 DSGVO). Wird die 72 Stunden-Frist überschritten, ist dies gem. Art. 33 Abs. 1 Satz 2 DSGVO zu begründen. Ein außergewöhnlicher Grund, der das Überschreiten der 72 Stunden-Frist rechtfertigen könnte, ist meines Erachtens der Umstand, dass ungewöhnlich viele Hacker-Attacken im kurzen Zeitraum auftreten.
Um die gesetzte Frist von drei Tagen einzuhalten, empfiehlt es sich, einen internen Ablaufmechnanismus einzurichten. Dabei ist vor allem bezüglich der Art der in Gefahr stehenden Verletzung eine Dokumentation essentiell, vor allem auch, um den jeweiligem Datenschutzbeauftragten die Meldung zu vereinfachen.
Wird das Risiko für die Rechte und Freiheiten natürlicher Personen als “hoch” eingestuft, sind zusätzlich zur Aufsichtsbehörde auch die Betroffenen selbst zu informieren (Art. 34 DSGVO). Diese Meldung hat dann “nur” unverzüglich zu erfolgen, hier gilt also die 72 Stunden-Frist aus Art. 33 DSGVO nicht.
[yasr_visitor_votes](Bild-)Quellen: Landesrecht-Hamburg; © Datenschutz-Stockfoto – depositphotos
Hamburger Rechtsanwalt für IT-Recht, Datenschutzrecht & Vergaberecht sowie zertifizierter externer Datenschutzbeauftragter (TÜV Nord).
Ich kenne sogar Leute die wegen der DSVGO ihre Selbstständigkeit aufgegeben haben. Sie waren leider alle immer sehr genervt von dem Thema wenn ich es mal angesprochen habe. Deswegen ist es gut jemanden zu haben der sich mit dem IT-Recht auskennt.