72 Stunden

Ja, sie dachten korrekterweise an die 72 Stunden, die eine verantwortliche Stelle als Zeitfenster hat, um einen Datenschutzvorfall an die Datenschutzaufsichtsbehörde zu melden (Art. 33 Abs. 1 DSGVO). Das Bußgeld der norwegischen Datenschutzaufsichtsbehörde zeigt, dass bei so manchem Verantwortlichen mindestens Missverständnisse zu bestehen scheinen, wann diese 72-Stunden-Frist beginnt. – Den Bericht der Behörden können Interessierte gern hier lesen (auf Englisch). – Also dachten wir uns, dass wir speziell auf diesen Aspekt eines Datenschutzvorfalles, u. a. anhand des Berichtes der norwegischen Datenschutzaufsichtsbehörde, eingehen. Lesen Sie also gern weiter. – Und wenn Ihnen dies alles komplett unbekannt vorkommt, rufen Sie uns am besten gleich an, sodass wir Sie zum Datenschutz möglichst bald beraten und unterstützen können. –

Art. 33 Abs. 1 DSGVO

In Art. 33 Abs. 1 DSGVO finden wir eine explizite Erwähnung der 72-Stunden-Frist. Demnach hat ein Verantwortlicher „im Falle einer Verletzung des Schutzes personenbezogener Daten […] unverzüglich und binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese […]“ zu melden.

Missverständnis bei der 72-Stunden-Frist

Nun gab es wohl bei dem norwegischen Unternehmen ein Missverständnis dahingehend, wann die 72-Stunden-Frist beginnt. Das Resultat war, dass es den Datenschutzvorfall zu spät meldete. Gemäß der Datenschutzaufsichtsbehörde ging die Meldung des Datenschutzvorfalles mit einer Verzögerung von 67 Kalendertagen ein. Demnach argumentierte das Unternehmen u. a. wie folgt, um die verspätete Meldung zu rechtfertigen:

1) Das Unternehmen kam erst nach entsprechender Beratung der Rechtsberater zu dem Schluss, dass es sich um einen meldepflichtigen Datenschutzvorfall handeln könnte (Punkt 3, Seite 4). Dabei ging das Unternehmen wohl davon aus, dass es den Datenschutzvorfall nicht melden müsse, bis es die entsprechende Rückmeldung der Rechtsberatung hatte (Punkt 6.1.4., Seite 26).

2) Es scheint, der Verantwortliche war der Ansicht, den Datenschutzvorfall melden zu müssen, sofern nach der Behebung der Verletzung oder nach Implementation abmildernder Maßnahmen ein Risiko für die Rechte und Freiheiten der betroffenen Personen bestehe. Folglich meldete es den Vorfall, nachdem es zu dieser Einschätzung kam (Punkt 6.1.3., Seite 15).

3) Den Ausführungen zufolge, zählte der Verantwortliche wohl den kompletten Zeitraum als „Zeit, während derer es sich eines Datenschutzvorfalles bewusst wurde“ (Punkt 6.1.3., Seite 18). Als jegliche Analysen und Einschätzungen durchgeführt worden waren und das Unternehmen sich aufgrund dieser entschied, dass es sich um einen meldepflichtigen Vorfall handelte, erfuhr die Datenschutzaufsichtsbehörde innerhalb dieser „individuellen“ 27-Stunden-Frist davon. Gemäß der „Richtlinie zur Meldung eines Datenschutzvorfalles, der personenbezogene Daten betrifft“ des EDSA bedeutet dies aber nicht, dass es einen Monat dauern darf, dass ein Verantwortlicher sich eines Datenschutzvorfalles sicher ist. Dieser vom EDSA erwähnte „kurze Zeitraum“ kann eben auf diese 72 Stunden bezogen werden. Innerhalb dieser Frist hat ein Verantwortlicher die zeitliche Möglichkeit, wenigstens erste Untersuchungen durchzuführen, um eine etwaige Meldepflicht festzustellen.

4) Des Weiteren sah das Unternehmen sich wohl in der Pflicht, den Fall zuerst tiefgehend zu untersuchen und alle relevanten Informationen zu sammeln (Punkt 6.1.4., Seite 20). Folglich ging es deshalb so vor, den Vorfall später zu melden. Damit wollte es in der Lage sein, etwaige Nachfragen der Datenschutzaufsichtsbehörde oder der betroffenen Personen beantworten zu können.

Umsetzung gemäß Art. 33 DSGVO

Ein Bußgeld aufgrund der verspäteten Meldung des Datenschutzvorfalles hätte das Unternehmen vermeiden können:

Die 72-Stunden-Frist beginnt in dem Moment, in dem sich eine verantwortliche Stelle eines Datenschutzvorfalles bewusst wird. Bevor diese Frist abläuft, hat ein Verantwortlicher Zeit, zu prüfen, ob dieser Datenschutzvorfall zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führen kann. Das schließt auch ein, dass zu prüfen ist, ob personenbezogene Daten überhaupt betroffen sind. Sind nämlich keine betroffen, handelt es sich nicht um einen Datenschutzvorfall und eine Meldung an die Datenschutzaufsichtsbehörde muss nicht folgen.

Gemäß dem Bericht schien das Unternehmen nicht alle notwendigen Informationen innerhalb der 72-Stunden-Frist bereit zu haben. Diese hätte es allerdings, sobald die weiteren Details dem Unternehmen zur Verfügung standen, nachreichen können (Art. 33 Abs. 4 DSGVO). Darauf weist auch die norwegische Datenschutzaufsichtsbehörde unter Punkt 6.1.4. auf Seite 22 hin.

Fazit

Natürlich ist es ein Ziel eines Verantwortlichen, das tatsächliche Eintreten eines Datenschutzvorfalls möglichst zu vermeiden. Mitunter kommt es wider Erwarten manchmal doch zu einem Datenschutzvorfall kommt. In solch einem Fall ist es wichtig, dass eine verantwortliche Stelle weiß, was zu tun ist. Es muss also auch eine entsprechende Richtlinie existieren. Jeder Beschäftigte beim Verantwortlichen muss wissen, was zu tun und wer zu kontaktieren ist, wenn er einen Datenschutzvorfall vermutet. Diese Informationen müssen für die Person schnell greifbar und leicht auffindbar sein. So kann es beispielsweise einen Informationsaushang in jeden Raum, oder auf jeder Gebäudeebene etc. geben.

Übrigens ist es natürlich auch wichtig, dass der Beschäftigte weiß, solch eine Information ist sofort an die relevante Person – z. B. den Datenschutzbeauftragten, den IT-Leiter, dem Vorgesetzten etc. – weiterzuleiten. Dies setzt auch voraus, dass die Beschäftigten im Zuge der Sensibilisierung zum Datenschutz auch auf die 72-Stunden-Frist hingewiesen werden.

All diese Richtlinien, Prozesse und Maßnahmen sind Bestandteil eines Datenschutz-Management-Systems. Bei der Planung und Umsetzung eines solchen können wir Sie unterstützen und beraten. Zögern Sie also nicht, uns zu kontaktieren.