So gründlich die Unternehmen die DSGVO auch umgesetzt haben wollen, kann es doch immer noch mal zu einer Datenpanne (Data Breach) kommen. Dabei handelt es sich um Verstöße gegen die Datensicherheit und den Datenschutz, bei denen personenbezogene Daten abhanden kommen und Unberechtigten möglicherweise oder erwiesenermaßen bekannt werden.
Die Schäden können für das Unternehmen und den Betroffenen in unterschiedliche Richtungen gehen, wie etwa ein Reputationsschaden oder Identitätsdiebstahl. Aus diesem Grund unterliegen die Unternehmen entsprechenden Meldepflichten bei der zuständigen Datenschutzaufsichtsbehörde.
Seit Geltung der DSGVO sind die Meldepflichten verschärft worden, wobei sich dennoch immer wieder die Frage stellt, wann das Unternehmen eine Datenpanne melden muss. Hierbei hilft Art. 33 Abs. 1 DSGVO nur bedingt weiter. Darin heißt es:
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Risikoabwägung
Das Unternehmen muss also eine Risikoabwägung durchführen. Hierbei hilft der Erwägungsgrund 75 zur DSGVO weiter. Dort werden die Fälle aufgeführt, die zu einer Meldepflicht führen. Wichtig ist, dass esnach der DSGVO nicht mehr darauf ankommt, um welche Art von Daten es sich handelt. Umfasst sind alle Arten personenbezogener Daten. Es kommt auch nicht darauf an, ob ein Verstoß absichtlich oder grob fahrlässig erfolgte. Bereits eine versehentliche Falschadressierung einer Email kann zu einer Meldepflicht führen, wenn ein gewisses Risiko für den Betroffenen gegeben ist. Auch eine vorübergehende, ungewollte Unerreichbarkeit der personenbezogenen Daten oder einer dauerhafte Löschung kann zu einer Meldepflicht führen und sollte nicht unterschätzt werden.
Das Risiko wird dabei anhand der Schwere des Schadens im Zusammenhang mit dessen Eintrittswahrscheinlichkeit bemessen. Das bedeutet, je höher der anzunehmende Schaden, desto geringer die Anforderungen an die Eintrittswahrscheinlichkeit.
Die Art.-29 Gruppe hat eine Auslegung ( Guidlines on Personal data breach notification under Regulation 2016/679) des Art.33 DSGVO vorgenommen, welche für die Datenschutz-Aufsichtsbehörden bindend ist. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat unter Bezugnahme auf die Auslegung der ARt.29-Gruppe am 15.11.2018 ein Informationspapier mit Beispielfällen veröffentlicht, welches Sie hier finden.
Hier einige Beispiele, wann eine Meldung (an die Aufsichtsbehörde und/oder den Betroffenen) vorzunehmen ist:
- Kontoauszug wurde an falschen Kunden verschickt.
- Kunden können aufgrund eines Programmierfehlers im Kundenportal fremde Kundendaten einsehen.
- Versehentliche Versendung von Schülerdaten an eine Mailingliste (cc statt bcc)
- Werbe-Email mit offenem Mailverteiler (cc statt bcc) bei großer Empfängerzahl oder sensiblem Inhalt
Wann ist zu melden
Die Meldung muss unverzüglich, spätestens nach 72 Stunden erfolgen. Das bedeutet, es besteht nicht sehr viel Zeit, um die richtigen Entscheidungen zu treffen. Aber Achtung: Die Frist beginnt ab Kenntnis von den erheblichen Tatsachen durch den Verantwortlichen.
Kenntnis von den erheblichen Tatsachen: erst wenn feststeht, dass ein Data Breach besteht, beginnt die Frist von 72 Stunden zu laufen. Bloße, vage Hinweise genügen nicht. Es ist allerdings möglich, dass die Frist beginnt, bevor der gesamte Sachverhalt aufgeklärt ist. Als Beispiel nennt die Art.29-Gruppe, dass es genügt, wenn bekannt ist, dass ein USB Stick mit unverschlüseltem Inhalt verloren gegangen ist, obwohl nicht nachvollzogen werden kann, ob Dritte die Daten ausgelesen haben.
Kenntnis durch den Verantwortlichen: Es genügt bereits, wenn ein Mitarbeiter des Unternehmens von den erheblichen Tatsachen Kenntnis hat.
Meldung erst nach der 72 Std.-Frist: Der Verantwortliche hat zu begründen, weshalb er die Frist versäumt hat. Dabei müssen außergewöhnliche Umstände dargelegt werden. Es genügt also nicht, dass die Frist auf einem Sonntag abgelaufen ist 😉
Inhalt der Meldung
Die Meldung muss gem. Art.33 DSGVO folgenden Inhalt haben:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
