Datenpanne? Wann liegt ein Verstoß gegen die DSGVO vor, und was ist zu tun, wenn man ihn bemerkt.

Es ist schnell passiert: Das E-Mail-Programm vervollständigt automatisiert das eingegebene Fragment einer Mail-Adresse, ein Klick auf Senden, und schon landet die elektronische Post beim falschen Empfänger. Ist dies schon ein Verstoß gegen den Datenschutz? Muss er gemeldet werden? Wem? Und was muss eine solche Meldung enthalten? Diese Fragen sollte man zügig beantworten können, denn meldepflichtige Verstößen müssen innerhalb von 72 Stunden angezeigt werden.

Art. 33 und Art. 34 DSGVO sehen Meldepflichten für sogenannte Datenschutzvorfälle oder Datenpannen vor. In Art. 33 Abs. 1 S. 1 DSGVO heißt es: „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der […] ­zustän­digen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Art. 34 DSGVO verpflichtet den Verantwortlichen darüber hinaus, die betroffene Person unverzüglich zu benachrichtigen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat. Auffallend sind hier die Formulierung „Verletzung des Schutzes personenbezogener Daten“ und der Begriff „Risiko“.

Was ist ein ­Datenschutzvorfall?

Nach Art. 4 Ziffer 12 DSGVO liegt eine Verletzung des Schutzes personenbezogener Daten dann vor, wenn sie zur Vernichtung, zum Verlust oder zur Veränderung oder zur unbefugten Offenlegung von Daten führt. Alles sehr abstrakt, deshalb einige Beispiele zur Verdeutlichung:

• Verletzung der Vertraulichkeit: Gab es im Unternehmen einen Hackerangriff? Haben in den Büroräumen Unbefugte Akten oder Dokumente gesehen oder gelesen? Wurden Bilder von Mitarbeitern ohne deren freiwillige Einwilligung auf die Homepage oder andere Portale hochgeladen? Wurden versehentlich E-Mails an falsche Adressen versandt oder viele Mail-Adressen offen in cc gesetzt?
• Verletzung der Verfügbarkeit: Wurde schon einmal ein Mobiltelefon oder auch nur ein USB-Stick des Unternehmens verloren? Sind die Daten darauf verschlüsselt? Sind Datenbanken oder EDV über mehrere Stunden oder Tage ausgefallen?
• Verletzung der Integrität: Wurden versehentlich Daten, z. B. der Heizungsablesung oder zur Lage der Wohnung, geändert?

Wenn etwas derartiges in Bezug auf personenbezogene Daten passiert, liegt eine Verletzung des Schutzes dieser Daten vor, und es besteht grundsätzlich Meldepflicht. Das Gesetz unterscheidet zwischen der Meldung an die Aufsichtsbehörde und der Meldung an die betroffene Person. An die Aufsichtsbehörde muss jeder Datenschutzvorfall gemeldet werden, es sei denn, dass die Verletzung voraussichtlich ohne Risiko für die Rechte und Freiheiten des Betroffenen ist. An die betroffene Person muss ein Datenschutzvorfall gemeldet werden, wenn ein hohes Risiko besteht.

Nach dem Kurzpapier Nr. 18 der Datenschutzkonferenz bedeutet Risiko, dass die Möglichkeit eines Schadeneintritts oder eines Ereignisses, das zu einem Schaden führen kann, besteht. Der Schaden kann materiell, immateriell oder physisch sein. Die Risikoabschätzung geht wie folgt vor:

Im 1. Schritt erfolgt die Identifikation des Risikos. Welche Schäden können für natürliche Personen auf Grundlage der zu verarbeitenden Daten entstehen? Welche Ereignisse können zum Schaden führen? Durch welche Handlungen und Umstände kann es zum Eintritt dieser Ereignisse kommen?

Im 2. Schritt geht es um die Abschätzung der Eintrittswahrscheinlichkeit und Schwere möglicher Schäden. Zur begrifflichen Abstufung schlägt die Datenschutzkonferenz „geringfügig“, „überschaubar“, „substanziell“ und „groß“ vor. Die Einordnung ist zu begründen, wobei die Art der betroffenen Daten zu berücksichtigen ist. Verletzungen des Schutzes von Daten nach Art. 9 DSGVO, wie Gesundheitsdaten, biometrischen Daten (z. B. Fotos), dürften dabei zu schwereren, also substanziellen oder großen Schäden führen.

Im 3. Schritt erfolgt die Zuordnung zu Risikoabstufungen. Wenn Eintrittswahrscheinlichkeit und Schwere der Schäden geschätzt sind, werden diese in Relation zu einander gesetzt, so führt eine geringfügige Eintrittswahrscheinlichkeit mit geringfügigen Schäden zu geringem Risiko, ein substanzieller Schaden auch bei geringfügiger Eintrittswahrscheinlichkeit zu einem substanziellen Risiko und eine hohe Eintrittswahrscheinlichkeit eines großen Schadens zu einem hohen Risiko.

Das richtige Vorgehen

Liegt ein derartiger Verstoß vor, muss zunächst einmal der Verantwortliche im Unternehmen davon erfahren. Er bzw. der Datenschutzbeauftragte muss also informiert werden. Das bedeutet, alle Mitarbeiter eines Unternehmens sind dafür zu sensibilisieren, dass auch schon vermeintliche Kleinigkeiten wie Fehler bei E-Mails oder vorübergehende Ausfälle von Soft- oder Hardware Datenschutzverstöße darstellen können, die besser zu melden sind als sie zu verschweigen. Über eine Panne informierte Verantwortliche werden gemeinsam mit dem Datenschutzbeauftragten eine Risikoabschätzung vornehmen und Maßnahmen einleiten, die das identifizierte Risiko eindämmen. Die Risikoabschätzung ist zu dokumentieren. Besteht kein Risiko für die Rechte und Freiheiten von Betroffenen, z. B. wenn der vorübergehende Ausfall der EDV behoben ist und keine weiteren Auswirkungen hat als den verzögerten Versandt des Newsletters, ist mit dieser Dokumentation auch schon alles getan. Liegt ein Risiko aber vor, wenn z. B. mehrere Mail-Adressen im „cc“ statt im „bcc“ einer E-Mail auftauchen und für jeden Empfänger lesbar sind, ist dieser Datenschutzverstoß an die Behörde zu melden. Diese Meldung muss folgende Informationen enthalten:

• Kurze Beschreibung der Datenschutzverletzung
• Angaben zu den Datenkategorien, Anzahl der Datensätze, Kategorien und Anzahl der Betroffenen
• Namen und Kontaktdaten des Datenschutzbeauftragten
• Beschreibung der wahrscheinlichen Folgen des Datenschutzvorfalls
• Beschreibung der Maßnahmen der Behebung des Datenschutzvorfalls und der Eindämmung des Risikos
• Zeitpunkt der Verletzung bzw. Zeitpunkt der Feststellung der Verletzung
• Ggf. Angabe, ob und wie Betroffene bereits informiert wurden

Die Meldung an die Behörde muss binnen 72 Stunden erfolgen, nachdem dem Verantwortlichen der Vorfall bekannt wurde. Allerdings muss der Verantwortliche sogenannte TOMs – technische und organisatorische Maßnahmen – getroffen haben, um sofort festzustellen, ob Datenschutzverletzungen vorliegen. Die Frage, wann die Verletzung dem Verantwortlichen bekannt wird, ist immer eine Frage des Einzelfalls. Besteht ein hohes Risiko für einen Schadenseintritt, muss meist auch der Betroffene informiert werden, und zwar mindestens mit den folgenden Angaben:

• Namen und Kontaktdaten des Datenschutzbeauftragten
• Beschreibung der wahrscheinlichen Folgen des Datenschutzvorfalls
• Beschreibung der Maßnahmen der Behebung des Datenschutzvorfalls und der Eindämmung des Risikos

Ausnahmsweise muss keine Information an den Betroffenen erfolgen, wenn technische und organisatorische Maßnahmen ergriffen wurden, um die Rechte des Betroffenen zu schützen, oder wenn keine Risiken mehr bestehen, weil die Maßnahmen zur Eindämmung erfolgreich waren. Wenn die Benachrichtigung mit einem unverhältnismäßig hohen Aufwand verbunden ist, reicht eine öffentliche Bekanntmachung.

Praxistipp

Schaffen Sie in Ihrem Unternehmen ein Bewusstsein dafür, wann ein Datenschutzvorfall vorliegt und wie damit umzugehen ist! Checklisten für die Risikobewertung und Muster für die Meldung von Verstößen sichern das richtige Vorgehen im Falle einer Datenschutzverletzung. Ihr Datenschutzbeauftragter wird Sie dabei unterstützen.

Foto: © Hadrian / Shutterstock.com