Meldung einer Datenpanne

Eine der Neuerungen der EU-Datenschutzgrundverordnung (EU-DSGVO) ist die deutlich ausgeweitete Pflicht zur Meldung von Datenschutzverletzungen und zur Information an die betroffenen Personen. Sinn dieser Pflichten ist es, dass die Datenschutzaufsicht einerseits anhand der Meldung im Einzelfall sieht, ob der Verantwortliche bereits alle Maßnahmen zur Vermeidung künftiger Datenpannen in die Wege geleitet hat oder ob noch individueller Beratungsbedarf besteht. Andererseits ermöglichen die Meldungen den Behörden auch generell, zu sehen, in welchen Bereichen und Branchen gehäuft Datenpannen auftreten, um vorbeugend beraten zu können. Eine mögliche Meldung einer Datenpanne an die Datenschutzaufsichtsbehörde und in schwerwiegenden Fällen auch an die betroffenen Personen ist ein Ereignis, was möglichst jeder Verantwortliche vermeiden möchte. Daher sind vorbeugende technische und organisatorische Datenschutzmaßnahmen, zu denen wir gern beraten, so wichtig.  Dabei sollte ein Verantwortlicher aber auch beachten, welchem Prozedere er bei der Meldung folgen muss.

Was unter einer Datenpanne zu verstehen ist

Art. 4 Nr. 12 DSGVO versteht unter einer Datenpanne – der bekanntere Begriff für Datenschutz-(sicherheits-)Vorfall – die Verletzung des Schutzes und der Sicherheit personenbezogener Daten. Dies beinhaltet jegliche unbefugte Verarbeitung personenbezogener Daten. Dies kann unbeabsichtigt geschehen oder aber auch mutwillig bzw. gewollt. Dabei kann es passieren, dass Daten aus Versehen oder unrechtmäßig vernichtet, verändert, unerlaubt verschlüsselt, Unbefugten offengelegt, übermittelt, gespeichert, auf sonstige Weise verarbeitet werden oder verloren gehen.

Erkennen einer Datenpanne

Eine Datenpanne kann sich auf unterschiedlichen Wegen bemerkbar machen. Möglicherweise entdeckt ein Beschäftigter Ungereimtheiten im IT-System des Unternehmens. Es kann auch passieren, dass eine betroffene Person solch einen Vorfall an eine Organisation heranträgt, eventuell durch ein für die Öffentlichkeit verfügbares Dokument, was nicht für diese bestimmt ist. Das können beispielsweise fehlkuvertierte Rechnungen, fehladressierte Fax-Sendungen oder auch fehlgeleitete E-Mails sein. Eine Datenpanne kann sich auch insofern zu erkennen geben, dass Beschäftigte eines Unternehmens plötzlich nicht mehr auf für sie generell verfügbare Daten zugreifen können. Dies sind nur ein paar Beispiele möglicher Szenarien, woran man eine Datenpanne erkennen kann. Grundsätzlich sind Unternehmen verpflichtet, das Erkennen von Datenpannen nicht dem Zufall zu überlassen, sondern ein Überwachungssystem zu installieren, das mögliche Datenpannen entdeckt und anzeigt (Intrution Detection System).

Meldung einer Datenpanne an die Datenschutzaufsichtsbehörde

Sobald in einem Unternehmen eine mögliche Datenpanne bekannt wird, ist die 72-Stunden-Frist zu beachten und einzuhalten. Innerhalb dieses Zeitraumes muss der Verantwortliche die Datenpanne  analysieren und bewerten, wie weiterer Schaden schnellstmöglich verhindert werden kann, ob eher ein leichter Fall vorliegt, der der zuständigen Datenschutzaufsichtsbehörde melden ist, ob ein schwerer Fall vorliegt, bei dem zusätzlich die Betroffenen zu informieren sind oder ob keine Rechte und Freiheiten der Betroffenen beeinträchtigt sind und der Vorfall nicht zu melden, sondern nur intern zu dokumentieren ist.

Welche Datenschutzaufsichtsbehörde zuständig ist, hängt davon ab, in welchem (Bundes-)Land ein Unternehmen seinen Hauptsitz hat oder ob es in einer Branche tätig ist, die der Aufsicht des Bundesdatenschutzbeauftragten unterliegt, wie beispielsweise die Telekommunikationsindustrie. Ist der Hauptsitz in einem Land außerhalb der EU, so ist die Datenschutzaufsichtsbehörde die zuständige, die in dem Hoheitsgebiet ihren Sitz hat, in dem das betroffene Unternehmen die Hauptaktivitäten in der EU durchführt (siehe Art. 4 Nr. 16 DSGVO).

Ganz wichtig: Melden macht frei. Wegen der gemeldeten Datenpanne kann kein Bußgeld verhängt werden. Aber Achtung: Wenn sich dabei herausstellt, dass in anderen Bereichen der Datenschutzorganisation erhebliche Probleme bestehen, kann es gleichwohl deshalb zu Maßnahmen der Aufsichtsbehörde kommen.

Einschätzung der Notwendigkeit einer Meldung

Der Europäische Datenschutzausschuss hat am 14. Januar 2021 einen ersten Entwurf zu Richtlinien für Beispiele in Bezug zu Datenschutzvorfallmeldungen veröffentlicht. In diesem Dokument wird anhand von Beispielszenarien nähergebracht, wann eine Datenpanne der Datenschutzaufsichtsbehörde zu melden ist und wann die betroffenen Personen über solch ein Ereignis in Kenntnis gesetzt werden müssen. Zusammengefasst sind Datenpannen dann meldepflichtig, wenn aufgrund der Verletzung ein Risiko für die Rechte und Freiheiten betroffener Personen besteht.

Zu unternehmende Schritte bei Entdecken einer Datenpanne

Es gibt Regelungen (Art. 33 DSGVO) dazu, was im Fall einer Datenpanne zu unternehmen ist, aber keine festgeschriebene Reihenfolge der detaillierten Abläufe. Die erarbeitet sich jedes Unternehmen selbst. Es ist schließlich auch von der Unternehmensstruktur abhängig. Zu beachten ist aber auf jeden Fall, die für das jeweilige Bundesland zuständige Datenschutzaufsichtsbehörde innerhalb von 72 Stunden über einen meldepflichtigen Vorfall zu informieren. – Hierbei kann die dpc Data Protection Consulting GmbH helfen. – Natürlich kann es vorkommen, dass nicht alle nötigen Informationen innerhalb dieser 72 Stunden erfasst werden können. In solch einem Fall sind die Informationen, die bekannt sind, zu melden und die restlichen nachzureichen – worüber ein Verantwortlicher die Datenschutzaufsichtsbehörde im Rahmen der Erstmeldung informieren muss (ErwG. 85 DSGVO).

Ist das Unternehmen, bei dem es zum Datenschutzvorfall kommt, Auftragsverarbeiter, muss es schnellstmöglich innerhalb dieser Frist auch den Auftraggeber in Kenntnis setzen. – Hierzu muss im Auftragsverarbeitungsvertrag eine Regelung enthalten sein. Des Weiteren sind alle Details zum Datenschutzvorfall, auch zu den nicht meldepflichtigen Vorfällen, in einer internen Dokumentation abzulegen.

(Mindest-)Inhalt der Meldung an einen Auftraggeber und die Datenschutzaufsichtsbehörde

Die Meldung einer Datenpanne soll die folgenden Informationen enthalten:

1) Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, möglichst mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze,

2) Name und Kontaktdaten des Datenschutzbeauftragten,

3) sonstige Anlaufstellen für weitere Informationen,

4) Beschreibung der wahrscheinlichen Folgen des Datenschutzvorfalls,

5) Beschreibung der ergriffenen und vorgeschlagenen Maßnahmen zur Behebung der Folgen des Datenschutzvorfalls,

6) gegebenenfalls Beschreibung der Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen und

7) je nach Höhe des Risikos für die Rechte und Freiheiten Betroffener, Meldung des Vorfalls an betroffene Personen.

Mögliche weitere Maßnahmen

Ein Datenschutzvorfall kann sich für ein Unternehmen nachteilig auswirken. Gleichzeitig bietet er aber auch Gelegenheit, die – hoffentlich – eingeführten technischen und organisatorischen Maßnahmen nochmals zu überprüfen und bei Bedarf zu verbessern bzw. die Schutzmaßnahmen zu verstärken. Geht ein Datenschutzvorfall von einem Auftragsverarbeiter aus, sollte ein Verantwortlicher eventuell auch die Eignung des Auftragsverarbeiters überdenken und möglicherweise nach Alternativen suchen.

Negativfolgen einer Datenpanne für ein Unternehmen

Wie schon angedeutet, kann ein Datenschutzvorfall sehr unvorteilhafte Konsequenzen für ein Unternehmen haben. Entscheidet sich ein Unternehmen, nicht zu melden, und erfährt die Aufsichtsbehörde durch eine betroffene Person (z. B. Kunde, verärgerter Mitarbeiter) gleichwohl von dem Vorfall, so ist schon die Verletzung der Meldepflicht mit einem erheblichen Bußgeld bedroht. Mögliche Auftraggeber schauen sich eventuell nach Ersatzdienstleistern um und kündigen den Dienstleistungsvertrag. Betroffen Personen könnten auch das Vertrauen in die Sicherheit ihrer Daten bei dem jeweiligen Unternehmen verlieren. Das Unternehmensbild nach außen kann Schaden nehmen. Im schlimmsten Fall ist die Existenz des Unternehmens bedroht.

Es kann jeden treffen

In den meisten Fällen ist es unwahrscheinlich bzw. nicht so gravierend, dass ein Unternehmen geschlossen werden muss. Man muss schließlich auch bedenken, dass es auch in Unternehmen, die dem Datenschutz hohe Beachtung schenken und ein Datenschutzmanagementsystem eingeführt haben, zu Datenschutzvorfällen kommen kann. So sind im Idealfall alle nötigen Dokumentationen erarbeitet worden. Es existiert ein Verzeichnis von Verarbeitungstätigkeiten. Eventuelle Auftragsverarbeitungsverträge und Verträge zur gemeinsamen Verantwortlichkeit sind abgeschlossen worden. Die Beschäftigten sind zum Datenschutz geschult, sensibilisiert und verpflichtet. Der Verantwortliche hat Vertraulichkeitsverpflichtungen mit den Personen, die personenbezogene Daten verarbeiten, abgeschlossen usw. Allerdings bewahrt es auch solche Unternehmen nicht vor Bußgeldern, Schadenersatzansprüchen und Abmahnungen. Jedoch würde ein Bußgeld dabei wahrscheinlich niedriger ausfallen als bei einem Unternehmen, welches den Datenschutz vernachlässigt hat, da nach dem Kriterienkatalog für die Bußgeldhöhe nach Art. 83 Abs. 2 lit. d) DSGVO unter anderem technische und organisatorische Maßnahmen zu berücksichtigen sind.

Fazit

Wir betonen immer, dass es wichtig ist, Prozesse und Dokumentationen zum Datenschutz im Unternehmen einzuführen. Die Folgen eines Fehlens derer sind schwerwiegender als die eines Datenschutzvorfalls bei einem implementierten Datenschutzmanagementsystem. Bei der Einführung eines solchen helfen wir – die dpc Data Protection Consulting GmbH – gern. Mit unserem Wissen und unserer Erfahrung können wir Sie dabei unterstützen, die Gefahr eines Datenschutzvorfalls möglichst zu reduzieren. Kontaktieren Sie uns dazu am besten noch heute.