Datenschutzrechtliche Compliance beim Umgang mit Datenpannen

PrintMailRate-it

​veröffentlicht am 1. Juli 2021; zuletzt aktualisiert am 23. September 2021

 

Titelbild FPS Zersprungener Spiegel 

Die unerschöpflichen Möglichkeiten von Datenpannen bringen Unternehmen oftmals in erhebliche Abwägungsschwierigkeiten bei der Erfüllung der Melde- und Benachrichtigungspflichten nach Art. 33 DSGVO. Denn kein Unternehmen möchte Unzulänglichkeiten oder Verstöße gegen gesetzliche Pflichten an Aufsichtsbehörden melden oder Betroffene benachrichtigen. Die Sorge über mögliche Sanktionierungen, Schadensersatzansprüche, Reputationsschäden (u. a. durch Berichterstattung durch Presse, Social Media) oder weitergehende betriebliche Prüfungen sollen bereits im Keime erstickt bzw. soll kein Einfallstor eröffnet werden.

 

Jedoch birgt auch eine unterlassene oder unzureichende Meldung von Datenpannen bereits die Gefahr einer Sanktionierung. Dieses Dilemma gilt es mit einer ordentlichen tatsächlichen und juristischen Aufbereitung aufzulösen. Denn insbesondere mit Blick auf das vielbeachtete Bußgeld der niederländischen Aufsichtsbehörde in Höhe von 475.000 Euro gegen das Reisevermittlungsportal booking.com (https://edpb.europa.eu/news/national-news/2021/dutch-dpa-fines-bookingcom-delay-reporting-data-breach-0_en) wegen eine verspäteten Meldung einer Datenpanne rückt die ordnungs- und fristgemäße Meldung von Datenpannen vermehrt in den Fokus der Aufsichtsbehörden.

Die Verletzung des Schutzes personenbezogener Daten wird umgangssprachlich als „Datenpanne” bezeichnet. Während bei üblichen „Pannen“ die Umstände einer nicht funktionstüchtigen Nutzung schnellstmöglich beseitigt werden sollen, um sodann in den Regelbetrieb wieder einzusteigen, unterliegt die Bearbeitung eines Vorfalls der Verletzung des Schutzes personenbezogener Daten einer komplexen Bewertung.

 

Die DSGVO definiert die Verletzung des Schutzes personenbezogener Daten in Art. 4 Ziffer 12 wie folgt:
Im Sinne dieser Verordnung bezeichnet der Ausdruck „Verletzung des Schutzes personenbezogener Daten”
eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden; Exemplarisch für Datenpannen können auf den ersten Blick lapidare Sachverhalte wie Fehlversand einer E-Mail durch unzureichende Kontrolle der Autofill-Funktion oder schwerwiegende Umstände wie die fortschreitenden Hackerangriffe mit Verschlüsselung und Lösegelderpressungen sein.


Zum einen sind sodann bei der Aufbereitung einer Datenpanne eine Vielzahl von Akteuren bzw. Aspekten der Betroffenen in etwaige Entscheidungen oder Abwägungen einzubeziehen und zum anderen sieht der Verordnungsgeber in der EU-Datenschutzgrundverordnung Pflichten für den Verantwortlichen im Sinne des Art. 4 Ziffer 7 DSGVO vor. Insoweit muss jede Datenpanne aus der Perspektive der jeweiligen Akteure

  • des Verantwortlichen,
  • des Betroffenen und
  • der staatlichen Aufsicht (zuständige Aufsichtsbehörde)

beleuchtet werden, um mögliche Worst-Case-Szenarien zu identifizieren. Zugleich müssen die strengen Pflichten der DSGVO zum Umgang mit Datenpannen bekannt sein.

 

Zentrale Vorschriften sind Art. 33 DSGVO und Art. 34 DSGVO. Die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde ist in Art. 33 DSGVO geregelt und die Benachrichtigungspflicht der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person ist in Art. 34 DSGVO statuiert.


Um im Falle einer Datenpanne richtig zu reagieren, müssen die nachstehenden Fragen wie eine Checkliste abgearbeitet werden:

  1. Was ist tatsächlich passiert und welche Risikoklassifizierung muss für die betroffenen personenbezogenen Daten vorgenommen werden?
  2. Wann und wie muss die Meldung an die Aufsichtsbehörde erfolgen?
  3. In welchen Fällen muss ich die betroffenen Personen benachrichtigen und wie sieht die Benachrichtigung aus?
  4. Wie halte ich die Rechenschaftspflicht ein?
  5. Wie geht es ganz nach dem Motto „Nach der Datenpanne ist vor der Datenpanne” weiter?

 

Beton gebrochen

 

1. Was ist tatsächlich passiert und welche Risikoklassifizierung muss für die betroffenen personenbezogenen Daten vorgenommen werden?

Ausgangspunkt jeder Bewertung ist die forensische Aufbereitung des Sachverhaltes. Hierbei müssen insbesondere alle Informationen aufbereitet werden, die

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten ermöglicht (Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, ungefähre Anzahl der betroffenen  personenbezogenen Datensätze) sowie
  • eine Einschätzung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten ermöglicht.


Wenn diese Kerninformationen vorliegen, muss durch den Verantwortlichen eine Risikobewertung vorgenommen werden. Bei der Risikobewertung ist es ratsam, sich an den Erwägungen auf das von der Datenschutzkonferenz veröffentlichte Risikoverständnis (Kurzpapier Nr.18) zu stützen. Hiernach hat der Verantwortliche dreigliedrig zu prüfen: (1). Risikoidentifikation, (2). Abschätzung von Eintrittswahrscheinlichkeiten und Schwere möglicher Schäden sowie (3). Zuordnung zu Risikoabstufungen bewertet.


Sollte der Verantwortliche tatsächlich zu einer prognostischen Einschätzung eines sehr geringen Risikos kommen, stellt sich die Frage, ob der gesamte Vorgang überhaupt meldepflichtig ist. Denn Art. 33 DSGVO sieht in Abs. 1 Satz 1 einen Ausnahmetatbestand zur generellen Meldepflicht vor, soweit die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Entgegen des Wortlautes „nicht zu einem Risiko” dürfte der Verordnungsgeber bei dem Ausnahmevorbehalt nicht von einem Null-Risiko ausgehen.


Vielmehr dürfte der Verordnungsgeber davon ausgehen, dass bei einem geringfügigen Risiko – Verhältnis von Eintrittswahrscheinlichkeit und Schadenshöhe – eine Meldung bei einer rationalen Abwägung aller relevanten Risikoaspekte entbehrlich macht; [(vgl. auch Werkmeister/Brandt/Felcht, Computer und Recht 2020, 89 (89 f.), die sich für eine Änderung des Wortlauts aussprechen; Faußner/Leeb DSB 2019, 196 (196) stellen auf ein „mittleres” Risiko ab)].

 

Diese prognostische Bewertung ist zwingend zu dokumentieren und zur Erfüllung der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) vorzuhalten. Sollte der Ausnahmevorbehalt nicht greifen, ist von einem meldepflichtigen Vorfall auszugehen. Bei der Bewertung des gesamten Vorgangs ist der Datenschutzbeauftragte zwingend miteinzubeziehen.


2. Wann und wie muss die Meldung an die Aufsichtsbehörde erfolgen?

Die (Erst-)Meldung an die Aufsichtsbehörde muss unverzüglich - ohne schuldhaftes Zögern -, aber grundsätzlich innerhalb von 72 Stunden und in jedem Fall schriftlich erfolgen. Überschreitet ein Verantwortlicher die Frist von 72 Stunden, so muss dies gegenüber der Aufsichtsbehörde begründet werden.


Viele Aufsichtsbehörden stellen dazu ein Meldeformular online auf ihren Internetseiten zur Verfügung, sodass der Verantwortliche durch die Pflichtinhalte der Meldung geleitet wird und entsprechende Angaben vornehmen kann. In dringenden Fällen bietet sich vorab eine (telefonische) Kontaktaufnahme mit der Aufsichtsbehörde an, um ggf. Rat zur weiteren Vorgehensweise einzuholen. Die Meldung an die Aufsichtsbehörde sollte insbesondere bzw. mindestens gem. Art. 33 Abs. 3 DSGVO folgende Informationen enthalten:

  • Beschreibung der Verletzung mit Angabe der Kategorie der personenbezogenen Daten, der Anzahl der betroffenen Personen und der ungefähren Anzahl der betroffenen Datensätze,
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung,
  • Name und Kontaktdaten des Datenschutzbeauftragten,
  • Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen und der
  • Ergebnisse der Risikoanalyse.


Oftmals ist eine Datenpanne forensisch nicht binnen 72 Stunden aufzubereiten. Insbesondere bei Hacker-Angriffen müssen externe Dienstleister zur Aufbereitung hinzugezogen werden, deren Ergebnisse teilweise erst nach Wochen vorliegen. Nichtsdestotrotz ist eine Meldung über den Vorfall mit dem zu diesem Zeitpunkt bestehenden Kenntnisstand an die zuständige Aufsichtsbehörde zu übermitteln. Unter Angabe einer voraussichtlichen Ergänzung der Meldung sollte dann unaufgefordert bis zur selbstgesetzten Frist erneut bei der Behörde vorgetragen werden. Der Verantwortliche hat hier umfassende Mitwirkungspflichten.


3. In welchen Fällen muss ich die betroffenen Personen benachrichtigen und wie sieht die Benachrichtigung aus?

Neben der aufsichtsrechtlichen Meldung besteht eine Benachrichtigungspflicht gemäß Art. 34 DSGVO gegenüber den Betroffenen, wenn die Verletzung des Schutzes der personenbezogenen Daten voraussichtlich ein hohes Risiko für die persönlichen Freiheiten der natürlichen Person zur Folge hat. Auch hier sind die Prüfungsschritte bzw. Kriterien des Kurzpapiers Nr. 18 der Datenschutzkonferenz heranzuziehen.


Bei der Benachrichtigung der betroffenen Personen müssen hier, im Gegensatz zur Meldung an die Aufsichtsbehörde, keine Detailinformationen zur Datenpanne preisgeben werden. Nach Art 34 DSGVO ist der Betroffene allerdings zumindest über folgende Punkte zu informieren:

  • Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
  • Beschreibung der wahrscheinlichen Folgen durch die Verletzung,
  • Beschreibung der ergriffenen/empfohlenen Maßnahmen zur Behebung der Verletzung und ggf. zur Abmilderung möglicher nachteiliger Auswirkungen.

 

Die Informationen sind insbesondere in klarer und einfacher Sprache zu formulieren. Eine starre Frist zur Benachrichtigung ist in der DSGVO nicht angelegt; vielmehr geht der Verordnungsgeber von einer unverzüglichen - ohne schuldhaftes Zögern - Benachrichtigung aus. Die Erfahrung aus der Praxis zeigt, dass die Behörden oftmals bei unterlassener Benachrichtigung eine gut vertretbare Argumentation und lückenlose Dokumentation als Nachweis verlangen.

 

4. Wie halte ich die Rechenschaftspflicht ein?

Die Dokumentation einer Datenpanne sollte 3 zeitliche Aspekte berücksichtigen:

  1. Vor der Datenpanne,
  2. während der Datenpanne und
  3. der Blick auf die technisch-organisatorischen Maßnahmen nach der Datenpanne.


Zur Einhaltung der Rechenschaftspflicht hat die DSGVO keine Maßstäbe festgelegt. Jedoch kann aus den Kriterien zur Meldung einer Datenpanne aus Art. 33 DSGVO und Art. 34 DSGVO entnommen werden, was zur Rechenschaft bei etwaigen Nachfragen einer Aufsichtsbehörde als Mindeststandard vorgehalten werden muss. Zuvörderst sollten hier die Meldungen und forensischen Berichte abgelegt werden. Zudem sollte ein aktueller Auszug des Verzeichnisses der Verarbeitungstätigkeiten und ggf. weitere behördliche Inanspruchnahmen der Landeskriminalämter (z. B. Cyber Crime; Single Point of Contact) oder des Verfassungsschutzes (insb. bei Hacker Angriffen) jederzeit aufbereitet und zugänglich sein.


5. Wie geht es ganz nach dem Motto „nach der Datenpanne ist vor der Datenpanne” weiter?

Die DSGVO statuiert eine Vielzahl von Pflichten bei einer Datenpanne. Die Dokumentationspflicht spielt hier eine wesentliche Rolle. Der Verantwortliche muss nach jeder Datenpanne sein Datenschutz-Management-System überprüfen und bei festgestelltem Bedarf die technischorganisatorischen Maßnahmen anpassen. Oftmals ist es ratsam, bei Datenpannen mit entsprechenden Folgen die Prozesse durch einen externen Dienstleister überprüfen zu lassen. Dies bietet nicht nur die Gelegenheit, Erfahrungssätze Dritter einzubeziehen, sondern unterstreicht gegenüber der Aufsichtsbehörde, dass der Verantwortliche gewillt ist, alles Zumutbare zu unternehmen, um erneute Vorkommnisse zu vermeiden und den Vorfall ernst nimmt.


Interne Richtlinien zum Umgang mit Datenpannen stellen hierbei neben den technischen Schutzmaßnahmen und den Mitarbeiterschulungen zum Datenschutz ein wesentliches Kernelement dar. Kurzum: Datenpannen gehören zum Daily Business eines jeden Unternehmens. Diese lassen sich oftmals nicht wegen eines Augenblicksversagens von Beschäftigten vermeiden. Deshalb ist es umso wichtiger, dass das Melde- und Benachrichtigungswesen im Unternehmen fundiert geschult ist. Unzureichende Meldungen an die Aufsichtsbehörde oder Benachrichtigungen an die Betroffenen können sehr schnell mit Bußgeldern und Schadensersatzansprüchen geahndet werden.

 

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *
Frage *
Datenschutzerklärung *

Einwilligung

Helfen Sie uns, Spam zu bekämpfen.


Captcha image
Show another codeAnderen Code generieren



Aus dem Newsletter

​​​​​​​​​Digital GRC Kompass Nr. 7/2021

Kontakt

Contact Person Picture

Carina Richters

Rechtsanwältin, Compliance Officer (TÜV)

Manager

+49 221 949 909 206

Anfrage senden

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu