datenrecht.ACADEMY

DSGVO-Compliance auf die smarte Art.

Umgang mit Datenpannen

Ist es zu einer Datenpanne, also der »Verletzung des Schutzes personenbezogener Daten« (vgl. Artikel 4 Nummer 12 DSGVO) gekommen, dann fragt sich, wie damit umzugehen ist. Was unter einer Datenpanne zu verstehen ist erfahren Sie im Beitrag »Was ist eine Datenpanne nach DSGVO?« auf dieser Website.

Video zum Beitrag steht in Kürze zur Verfügung.

Nun, es gibt in erster Linie zwei mögliche Handlungspflichten ins Auge zu fassen, nämlich die Meldepflicht gegenüber einer Aufsichtsbehörde und/oder die Benachrichtigung der betroffenen Person. Welche Voraussetzungen und vor allem Ausnahmen es gibt, erfahren Sie in diesem Beitrag.

Meldepflicht gegenüber einer Aufsichtsbehörde

Die Meldepflicht gegenüber einer Aufsichtsbehörde beurteilt sich nach Artikel 33 DSGVO. Daher zuerst ein Videokommentar zu Artikel 33 DSGVO zur Einführung.

Grundsätzlich ist jede Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach Möglichkeit binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Eine Fristüberschreitung ist nur in begründeten Ausnahmefällen möglich und bedarf einer einschlägigen Begründung, welche der verspäteten Meldung beizulegen ist. Zu solchen Ausnahmefällen kommen wir gleich.

Frist

Die verantwortliche Stelle hat die Datenschutzverletzung unverzüglich möglichst binnen 72 Stunden nach dem Bekanntwerden zu melden. Zuvorderst sei darauf hingewiesen, dass diese 72 unabhängig davon laufen, ob ein Sonn- oder Feiertag gegeben ist. Für eine am Gründonnerstag bekannt gewordene Verletzung endet die Frist daher in jedem Fall am Ostersonntag, Ostereiersuche hin oder her.

Für das »Bekanntwerden« gelten die etablierten Grundsätze über die Wissenszurechnung im Unternehmen. Im Zusammenhang mit der Meldung einer Datenschutzverletzung ist allerdings fraglich, welcher Grad an Gewissheit gefordert ist.

Die Datenschutzverletzung muss dabei nicht endgültig feststehen. Es ist ausreichend, dass mit einer hinreichenden Wahrscheinlichkeit von einer solchen auszugehen ist und gleichzeitig genügend Anhaltspunkte gegeben sind, um eine denkbare Meldung an die Aufsichtsbehörde zu unterfüttern. Das gilt vor allen Dingen vor dem Hintergrund, dass eine schrittweise Meldung möglich ist.

Sollte eine umgehende Meldung nicht «möglich« sein, muss begründet werden, warum sie länger gedauert hat. Inhalt dieser Begründung kann z. B. der Umstand sein, dass es selbst nach Kenntnisnahme der Verletzung durchaus länger dauern kann zu ermitteln, welche Daten und Datenkategorien betroffen sind, wie viele Datensätze und wer die Betroffenen sind.

Inhalt der Meldung

Die Meldung, für die es auf den Webseiten der Aufsichtsbehörden Meldeformulare gibt muss mindestens die folgenden Informationen enthalten (Art. 33 DSGVO): eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich und angezeigt, eine Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der betroffenen Datenkategorien und der ungefähren Zahl der betroffenen Datensätze, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder eines sonstigen Ansprechpartners für weitere Informationen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten, eine Beschreibung der von dem für die Verarbeitung Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behandlung der Verletzung des Schutzes personenbezogener Daten einschließlich von Maßnahmen zur Eindämmung etwaiger nachteiliger Auswirkungen.

Ausnahmen von der Meldepflicht Nun, machen wir uns nichts vor: Eine solche Meldung ist sehr unangenehm. Und wer zeigt schon gerne eigenes Fehlverhalten an? Es ist daher beruhigend zu wissen, dass nicht jede Datenschutzverletzung gegenüber der Aufsichtsbehörde meldepflichtig ist.

Artikel 33 Absatz 1 Satz 1 DSGVO 1Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Entscheidend ist der letzte Halbsatz (“es sei denn(...)). Eine Meldung kann dann unterbleiben, wenn es „unwahrscheinlich ist, dass die Verletzung personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten von Personen führt“.

Gefordert ist mithin eine Risikoprognose. Dabei ist es unerheblich, dass sich die Risiken eines Vorfalls zu Beginn einer Untersuchung nicht abschließend bewerten lassen; eine solche Unsicherheit ist immanenter Bestandteil einer jeden Prognose (sonst wäre es eine Tatsachenfeststellung).

Die Prognose erfolgt typisiert und vorläufig auf Grundlage der bereits bekannten Tatsachen. Der Begriff des Risikos setzt sich zusammen aus den Bestandteilen Schadensschwere bzw. -höhe und Schadenseintrittswahrscheinlichkeit. Der Verantwortliche muss also ermitteln, wie schwerwiegend oder hoch ein möglicher Schaden für die betroffene Person sein kann und wie wahrscheinlich der Eintritt eines Schadens ist. Ein hoher und mit großer Wahrscheinlichkeit zu erwartender Schaden führt folglich immer zu einer Meldepflicht und ein kaum messbarer und unwahrscheinlicher Schaden lässt diese entfallen. Oder anders betrachtet: Je größer das Schadensausmaß sein kann, desto geringere Anforderungen sind an die Schadenseintrittswahrscheinlichkeit zu stellen. Umgekehrt sind an die Schadenseintrittswahrscheinlichkeit umso höhere Anforderungen zu stellen, je niedriger das Schadensausmaß sein kann.

Das Schadensausmaß ist insbesondere abhängig vom Geschäftsbereich der verantwortlichen Stelle, der Art der Schutzzielverletzung, Art, Sensibilität und Umfang der betroffenen personenbezogenen Daten, Identifizierbarkeit, Anzahl und Schutzbedürftigkeit der Betroffenen sowie der Schwere der Folgen der Betroffenen. Entscheidende Parameter sind zudem die Anzahl der betroffenen Personen ode die Sensibilität der Datenarten. In jedem Fall liegt bei der Verletzung der besonderen Kategorien gemäß Artikel 9 Absatz 1 DSGVO eine Meldung nahe.

Als Schaden kommen alle physischen, materiellen und immateriellen Beeinträchtigungen in Betracht. Beispielhaft nennt Erwägungsgrund 85 Verlust der Kontrolle über die personenbezogenen Daten oder der Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertrauclichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere vergleichbar erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

Erwägungsgrund 85 1Eine Verletzung des Schutzes personenbezogener Daten kann – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. 2Deshalb sollte der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. 3Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müssen, und die Informationen können schrittweise ohne unangemessene weitere Verzögerung bereitgestellt werden.

Die Benachrichtigung der betroffenen Person Art. 34 Abs. 3 DSGVO sieht drei Ausnahmeregelungen für die Fälle vor, in denen eine Benachrichtigung der betroffenen Person nicht erforderlich ist. Die erste Ausnahme greift, wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung. Die zweite Ausnahme liegt vor, wenn der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht.

Schließlich kann von der Benachrichtigung des Betroffenen ausnahmsweise abgesehen werden, wenn diese mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

Wann kann eine Meldung an die Behörde bzw. eine Benachrichtigung der betroffenen Person unterbleiben?

Eine Meldung an die Aufsichtsbehörde bzw. an den Betroffenen unterbleibt, wenn die verantwortliche Stelle im Rahmen einer Risikoabwägung - also nach eigenem Ermessen(!) - zum Ergebnis kommt, dass die Verletzung nicht zu einem Risiko (Meldung an Behörde) bzw. hohem Risiko (Benachrichtigung der betroffenen Person) für die betroffenen Personen, Art. 33 Abs. 1 S. 1 DSGVO a. E. führt. In welchen Fällen kann man als Verantwortlicher zu diesem Schluss kommen? Am einfachsten kann man hier vielleicht im Ausschlussprinzip vorgehen: Erwägungsgrund 85 liefert Beispiele, wann eine Meldung zu erfolgen hat. Wenn keines dieser Risiken vorliegt oder wahrscheinlich ist, kann eine Risikoabwägung zu einem negativen Ergebnis kommen. Diese Beispiele umfassen Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymität, Rufschädigung, Verlust der Vertraulichkeit von Daten, die dem Berufsgeheimnis unterliegen oder andere finanzielle oder gesellschaftliche Nachteile.

So weit so gut; doch was ist, wenn sich die Prognose im Nachhinein als falsch herausstellt. Infolge der naturgemäß mit der Vornahme einer Prognose einhergehenden Unsicherheiten kann nicht davon ausgegangen werden, dass sich das Einstehenmüssen der verantwortlichen Stelle allein auf die Richtigkeit der Prognose bezieht. Vielmehr besteht eine Verpflichtung zur Darlegung einer methodisch nachvollziehbaren Auswertung und Beurteilung aller zum Prognosezeitpunkt verfügbaren Faktoren. Diese Analyse kann nachträglich aufsichtsbehördlich überprüft werden. In diesem Zusammenhang müssen auf die Dokumentationspflicht zu sprechen kommen.

Dokumentationspflicht Im Rahmen ihrer Rechenschaftspflicht müssen die Gründe, die der Verantwortliche für eine solche Entscheidung gegeneinander abwägt, sorgfältig dokumentiert werden, denn hier entscheidet sich im Nachhinein, ob die Entscheidung richtig war oder ob eine Meldung hätte stattfinden müssen. Damit entscheidet sich letztlich, ob ein bußgeldbewehrter Verstoß vorliegt oder nicht.

Es mag sein, dass eine Meldung gegenüber der Behörde bzw. der betroffenen Person unterbleiben kann. In jedem Fall einer Datenschutzverletzung, also unabhängig davon, ob diese melde- bzw. benachrichtigunspflichtig ist oder nicht, muss sie dokumentiert werden. Das wäre allein schon denklogisch der Fall: Angenommen eine Datenschutzverletzung wird von der verantwortlichen Stelle weder der Aufsichtsbehörde gemeldet, noch die betroffene Person benachrichtigt und diese Person beschwert sich bei der Aufsichtsbehörde, nachdem ihr die Verletzung auf anderem Wege zur Kenntnis gelangt ist, dann wäre sowohl eine Überprüfung durch die Aufsichtsbehörde, noch eine Rechtfertigung durch die verantwortliche Stelle ohne Dokumentation unmöglich.

Zu dokumentieren sind die näheren Umstände der Entdeckung des Vorfalls (Wer? Wie?), der genaue Zeitpunkt, die dann folgenden internen Handlungen, insbesondere Mitteilungen an Kollegen und Verantwortliche (E-Mails in jedem Fall speichern!). Gegebenenfalls dienen Protokolle über Meetings und sonstige Absprachen, die sich nicht aus E-Mails oder sonstigem Schriftverkehr ergeben sowie die offiziellen Mitteilungen gegenüber der Aufsichtsbehörde als Nachweis. Schließlich gehört zur vollständigen Dokumentation natürlich der anschließende Schriftverkehr mit der Aufsichtsbehörde, so sich denn ein solcher ergibt. Die Dokumentation sollte nach Abschluss des Vorgangs Bestandteil des Datenschutzmanagements sein.

Reaktion der Aufsichtsbehörde nach einer Meldung Üblicherweise erhält der Verantwortliche bei einer Meldung nach Art. 33 DSGVO eine Bestätigung über den Eingang der Meldung durch die Aufsicht. Je nach Art und Schwere des Vorfalls wird die Meldung lediglich zur Kenntnis und zur Statistik genommen oder die Aufsicht geht in einen regen Austausch mit dem Verantwortlichen über die Details der Verletzung. Letzteres ist jedoch in der Praxis eher die Ausnahme als die Regel.

Zuletzt aktualisiert am 08.01.2023 um 13:19 Uhr.
Hier geht es zum DSGVO-Praxiskurs der datenrecht.ACADEMY

Hier klicken zum DSGVO-Praxiskurs