Nach Informationen der Landesdatenschutzbehörden nahm die Zahl der gemeldeten Datenschutzverstöße in der Zeit ab 25.05.2018 enorm zu – aber nur ein Teil dieser gemeldeten Verstöße sind auch tatsächlich Datenschutzverstöße im Sinne der DSGVO.
Nach Auskunft der Landesbeauftragten für den Datenschutz Niedersachsen wurden 2017 insgesamt 20 Datenschutzverstöße gemeldet. In der Zeit vom 25.05.2018 bis 07.08.2018 stieg diese Zahl gewaltig an. Es gingen in diesem kurzen Zeitraum bereits 126 Meldungen bei der Datenschutzbehörde ein.
Dieser Artikel beschäftigt sich vor diesem Hintergrund mit der Frage, was eigentlich Datenpannen sind und wie ein Unternehmen darauf reagieren sollte.
Was ist eine Datenpanne?
Per Begriffsbestimmung ist gemäß Art. 4 Nr. 12 DSGVO eine Datenpanne eine Verletzung des Schutzes personenbezogener Daten, die
- zur Vernichtung (Daten existieren nicht mehr),
- zum Verlust (Kontroll-oder Zugangsverlust),
- zur Veränderung (Beschädigung, Unvollständigkeit),
- zur unbefugten Offenlegung beziehungsweise zum unbefugten Zugang
dieser personenbezogenen Daten führt, nachdem sie übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Eine Datenpanne liegt also zum Beispiel vor, wenn Kundendaten gestohlen wurden oder Daten innerhalb gesetzlicher Aufbewahrungsfristen gelöscht wurden.
Was ist im Fall einer Datenpanne zu tun?
1) Artikel 33 Abs. 1 DSGVO regelt die „Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“. Hiernach hat der Verantwortliche unverzüglich, möglichst binnen 72 Stunden, nach Bekanntwerden der Panne diese an die zuständige Aufsichtsbehörde zu melden.
2) Ausnahme: Die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Es muss also immer eine Risikoeinschätzung vorgenommen werden, ob die Gefahr der Verletzung von Grundrechten bzw. Grundfreiheiten möglich erscheint.
3) Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, muss die Verzögerung begründet werden.
Warum muss ich eine Datenpanne melden?
Eine Verletzung des Schutzes personenbezogener Daten kann — wenn nicht rechtzeitig und angemessen reagiert wird — einen
- physischen,
- materiellen oder
- immateriellen
Schaden für natürliche Personen nach sich ziehen (vgl. Erwägungsgrund 85 DSGVO).
Beispiele für mögliche Schäden: Diskriminierung, Identitätsdiebstahl, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung etc.
Bisheriges Recht (BDSG-alt)
Meldepflicht nach §42a BDSG-alt:
Stellt eine nichtöffentliche Stelle im Sinne des §2 Absatz 4 oder eine öffentliche Stelle nach §27 Absatz 1 Satz 1 Nummer 2 fest, dass bei ihr gespeicherte sensible Daten, dazu zählen
1. besondere Arten personenbezogener Daten (§3 Absatz 9),
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
4. personenbezogene Daten zu Bank-oder Kreditkartenkonten
unrechtmäßig übermittelt wurden oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen.
Was ist neu ab 25.05.2018?
- Meldung aller Datenschutzverstöße, nicht mehr nur bei „sensiblen“ Daten
- Jegliches Risiko für eine natürliche Person reicht für Meldepflicht aus.
- Meldepflicht auch bei versehentlicher Löschung oder Vernichtung von Daten
Risikobasierter Ansatz
Das Kurzpapier Nr. 18 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) hat zum Ziel, das Risiko im Kontext der DSGVO zu definieren und aufzuzeigen, wie Risiken für die Rechte und Freiheiten natürlicher Personen bestimmt und in Bezug auf ihre Rechtsfolgen bewertet werden können.
Risiken im Sinne der DSGVO
Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das
- selbst einen Schaden für eine natürliche Person darstellt oder
- zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen
kann.
Es hat zwei Dimensionen: erstens die
- Schwere des Schadens und zweitens die
- Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.
Hieraus folgt, dass bei einer negativen Risikoprognose die Meldepflicht entfällt!
Für jeden möglichen Schaden werden die Eintrittswahrscheinlichkeit und Schwere abgeschätzt. Diese lassen sich nur in ganz wenigen Ausnahmefällen mathematisch fassen.
Eine Risikobewertung sollte in Anwendung des Kurzpapiers Nr. 18 nach folgendem Schema erfolgen:
Inhalt der Meldepflicht
Die Meldung an die zuständige Aufsichtsbehörde muss nach Art. 33 Abs. 3 DSGVO zumindest folgende Informationen enthalten:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Benachrichtigung betroffener Personen – wann ist zu benachrichtigen?
Hat die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person zur Folge, hat der Verantwortliche den Verstoß nicht nur der zuständigen Aufsichtsbehörde zu melden, sondern muss darüber hinaus die betroffene Person unverzüglich benachrichtigen (vgl. Art. 34 Abs. 1 DSGVO).
Hieraus folgt, dass eine Benachrichtigungspflicht nur bei positiver Risikoprognose besteht.
Wegfall der Benachrichtigungspflicht – welche Bedingungen gibt es?
Eine Benachrichtigung des Betroffenen kann unterbleiben, wenn insbesondere durch bereits vor der Datenpanne ergriffene technische und organisatorische Maßnahmen eine unbefugte Kenntnisnahme der Daten durch Dritte ausgeschlossen werden kann (vgl. Art. 34 Abs. 3 Buchst. a DSGVO).
Beispiel: Ein Datenträger mit hierauf gespeicherten personenbezogenen Daten geht verloren, die personenbezogenen Daten sind aber ausreichend verschlüsselt. Der Finder kann die gespeicherten personenbezogenen Daten nicht auslesen.
Eine Benachrichtigung des Betroffenen ist auch dann nicht erforderlich, wenn durch nach der Datenpanne ergriffene Maßnahmen das „hohe Risiko für die Rechte und Freiheiten der betroffenen Personen“ nicht mehr besteht (vgl. Art. 34 Abs. 3 Buchst. b DSGVO).
Ferner kann die Benachrichtigung unterbleiben, wenn diese mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden (vgl. Art. 34 Abs. 3 Buchst. c DSGVO).
Zu beachten ist allerdings, dass, auch wenn der Betroffene aus o.g. Gründen nicht zu benachrichtigen ist, eine Meldepflicht gegenüber der Datenschutzaufsichtsbehörde nach Art. 33 DSGVO nach wie vor besteht.
Dokumentationspflichten nach Art. 33 Abs.5 DSGVO
Kommt man zu dem Ergebnis, dass bei einer Verletzung des Schutzes personenbezogener Daten kein Risiko besteht, dann ist der zugrundliegende Vorgang und die datenschutzrechtliche Beurteilung inklusive der Risikobeurteilung vollständig zu dokumentieren.
Auch bei einer negativen Meldepflicht ist eine vollständige Dokumentation notwendig. Nur so kann eine Aufsichtsbehörde im Bedarfsfall nachvollziehen, auf welcher Grundlage die Entscheidung getroffen wurde.
Meldung von Datenschutzverletzungen
Auf den Internetportalen der jeweiligen Landesdatenschutzbehörden stehen Onlineformulare zur Meldung von Datenschutzverstößen zur Verfügung.
Beispiel – Landesdatenschutzbehörde Niedersachsen: https://www.lfd.niedersachsen.de/startseite/fortbildung_service/formulare_und_hinweise/uebersicht_meldungen/
Folgen bei unterlassener Meldung
Die Aufsichtsbehörde kann bei einem Verstoß gegen Art. 34 DSGVO gegen den Verantwortlichen eine Geldbuße verhängen.
Sanktionsrahmen alt: |
bis zu 300.000 € |
|
Sanktionsrahmen neu: |
bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
Compliance allgemein |
bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes |
Verstoß Betroffenenrechte |
Konsequenzen bei Datenschutzverletzungen
Nach Erwägungsgrund 87 DSGVO kann die Meldung einer Datenschutzverletzung zum Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in der DSGVO festgelegten Aufgaben und Befugnissen führen.
Die durch die Aufsichtsbehörden verhängten Geldbußen sollen wirksam, verhältnismäßig, abschreckend sein (vgl. Art. 83 Abs. 1 DSGVO). Unabhängig davon regelt Art. 82 DSGVO die Schadenersatzansprüche der Betroffenen. Nach Art. 83 Abs. 4 lit. a DSGVO kann der Verstoß gegen die Meldepflicht (Art. 33 Abs. 1 DSGVO) oder Dokumentationspflicht (Art. 33 Abs. 5 DSGVO) zu Sanktionen führen. Die Folgen sind Geldbußen bis zu 10.000.000 € oder im Fall eines Unternehmens 2 % des gesamten weltweit erzielten Jahresumsatzes.
Fazit: Datenpannen müssen ernst genommen werden!
Die dargestellte Abhandlung zeigt, dass Datenpannen ein vielschichtiges Thema bilden und mit weitreichenden finanziellen Konsequenzen verbunden sein können.
Eine Risikobewertung mit ausführlicher Dokumentation einer möglichen Datenpanne schützt vor eventuellen Geldbußen, erspart aber auch ggf. unnötige Meldungen an die Datenschutzbehörden.