Datenschutzpannen geschehen oft schneller, als einem lieb ist. Was jetzt zu entscheiden und zu tun ist, lesen Sie in diesem Beitrag.
Was ist eine Datenschutzpanne genau?
Häufig wird eine Datenschutzpanne mit einer Datenschutzverletzung gleichgesetzt. Hört man den Begriff, denkt man dann zunächst einmal an Angelegenheiten wie eine falsch weitergeleitete Mail oder einen USB-Stick mit Kundendaten, der im Zug vergessen wurde.
Wenn wir von Datenschutzpannen sprechen, sollten wir uns aber lieber am englischen Begriff für dieses Szenario orientieren: Data Breach – also ein Sicherheitsbruch. Dann kommen wir der Antwort nämlich schon näher, was alles unter Datenpannen fällt. Der eben erwähnte vergessene USB-Stick zählt dann ebenso dazu wie der Einbruch in einen Serverraum oder ein Stromausfall, bei dem Daten unwiederbringlich gelöscht wurden.
Art. 4 DSGVO beschreibt eine Datenpanne mit den Worten:
„‘Verletzung des Schutzes personenbezogener Daten’ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“
„Verletzung des Schutzes“ bzw. „Verletzung der Sicherheit“ meint eine Verletzung der TOMs, die Sie zum Schutz der von Ihnen verarbeiteten personenbezogenen Daten eingerichtet haben.
So weit, so gut. Es klingt also, als würde jeder Zwischenfall eine Katastrophe sein. Dem ist zum Glück nicht so – was mir als Datenschützer, der Wert auf eine differenzierte Betrachtung der Angelegenheit legt, sehr lieb ist.
Eine Datenschutzpanne müssen Sie nicht immer melden
Für gewisse Erleichterung sorgt sicherlich die Nachricht, dass Sie nicht jede Datenschutzpanne zwingend melden und die daraus resultierenden Konsequenzen befürchten müssen.
Meldepflichtig ist eine Datenschutzpanne nämlich nur dann, wenn
a) Sie sicher sind, dass dadurch ein Datenschutzverstoß erfolgte – falls nicht, sollten Sie zunächst weitere Ermittlungen anstellen.
b) durch die Panne unberechtigter Zugriff auf Daten bestand.
c) dieser Zugriff zu einem Schaden für Betroffene geführt hat oder ein Risiko für Rechte und Freiheiten des Betroffenen darstellt.
Der Europäische Datenschutzausschuss hat mehrere ausführliche Beispiele zusammengestellt, an denen Sie sich zur Einschätzung Ihres Falls orientieren können. Auch dieses Kurzpapier der Datenschutzkonferenz erweist sich als hilfreich. Es lohnt sich in einer solchen Situation auf jeden Fall, einen Datenschutzbeauftragten zur Seite zu haben. Ist Ihr Fall nicht meldepflichtig, sind Sie dennoch dazu angehalten, ihn zumindest zu dokumentieren. Zudem sollten Sie Maßnahmen treffen, um eine solche Situation zukünftig möglichst zu vermeiden.
Ihr Fall ist meldepflichtig? Das ist jetzt zu tun
Sobald Sie mit Sicherheit davon ausgehen können, dass eine Datenschutzpanne vorliegt, läuft die Zeit. Innerhalb von 72 Stunden erwartet die Aufsichtsbehörde eine Meldung. In Art. 33 DSGVO finden Sie Vorgaben, welche Informationen die Behörde benötigt:
- Geben Sie Name und Kontaktdaten Ihres Datenschutzbeauftragten an.
- Beschreiben Sie genau, auf welche Weise Sie gegen Datenschutzvorgaben verstoßen haben. In welche Kategorie lässt sich das Ereignis einordnen, auf das die Datenschutzanzeige folgte? Wie viele Personen sind betroffen und welche Datensätze sind in falsche Hände geraten?
- Welche Folgen hat diese Verletzung für die betroffene Person?
- Welche Maßnahmen wollen Sie jetzt ergreifen, um diesen für die Datenschutzanzeige verantwortlichen Verstoß zu beheben oder den Schaden zu begrenzen?
- Dokumentieren Sie alle Informationen, Schritte und Maßnahmen, damit die Aufsichtsbehörde Ihr Handeln nachvollziehen kann.
Wenn Sie die 72-Stunden-Frist nicht einhalten, sollten Sie auf jeden Fall eine stichhaltige Begründung ergänzen. Etwa, wenn mehrere Angriffe in kurzer Zeit erfolgten und Sie innerhalb der 72 Stunden mit der Schadensbegrenzung beschäftigt waren.
Die Aufsichtsbehörde bzw. der Datenschutzbeauftragte Ihres Bundeslands bieten auf ihren Webseiten Formulare an, über die Sie die Meldung zeitnah elektronisch einreichen können.
Müssen Sie alle Informationen auf einmal einreichen?
Nein – das ist in vielen Fällen auch gar nicht möglich. Es ist wichtig, innerhalb der 72 Stunden zumindest eine grundlegende, korrekte Meldung über die Datenschutzpanne an die Behörde zu senden. Fehlen Ihnen noch detaillierte Informationen wie etwa das genaue Ausmaß der Panne, können Sie diese schrittweise (aber zeitnah!) nachreichen. Hierzu sagt Art. 33 DSGVO:
„Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.“
Ab wann müssen Betroffene informiert werden – und wie?
Auch das ist wieder so eine Einschätzungssache. Art. 34 DSGVO spricht hier von einem „voraussichtlich hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“. Klarer ausgedrückt heißt das: Sobald der Betroffene Schäden jeglicher Art befürchten muss, haben Sie ihn zu benachrichtigen. Diese Schäden können materiell, finanziell oder physisch sein.
Die Meldung sollte klar verständlich sein und folgende Punkte umfassen:
- Name und Kontaktdaten des Datenschutzbeauftragten.
- Hinweise zu Anlaufstellen für weitere Informationen.
- Eine Beschreibung der möglichen Folgen und der von ihnen veranlassten/geplanten Maßnahmen, um Auswirkungen zu beheben oder einzugrenzen.
Aber Achtung – es gibt Ausnahmen bei der Meldepflicht! Eine Meldung an Betroffene ist auch bei hohem Risiko unter folgenden Bedingungen nicht mehr obligatorisch:
- Sie haben die Daten für Unbefugte unzugänglich gemacht. Zum Beispiel, wenn Daten auf einem gestohlenen USB-Stick so gut verschlüsselt sind, dass sie sich nicht abrufen lassen.
- Sie haben nachfolgend Maßnahmen getroffen, damit das hohe Risiko nicht mehr besteht.
- Die Benachrichtigung bedeutet einen unverhältnismäßigen Aufwand – etwa, wenn es einfach zu viele Betroffene gibt, um jeden einzeln zu kontaktieren. In dem Fall dürfen Sie auf eine öffentliche Bekanntmachung zurückgreifen.
Fazit: Handeln Sie bei einer Datenschutzpanne zeitnah, aber überlegt
Nicht immer ist sofort eine Meldung erforderlich. Informieren Sie sich zunächst über die Ausgangslage, bevor Sie voreilig eine Entscheidung treffen. Da die Einschätzungskriterien für eine Datenschutzpanne recht verwirrend sind, empfehle ich Ihnen, sich unbedingt mit Ihrem Datenschutzbeauftragten zusammenzusetzen. Ist er sich unsicher oder haben Sie keinen DSB, stehe ich Ihnen bei Fragen gerne zur Seite.
Sind Sie zu einer Meldung verpflichtet, sollten Sie diese gewissenhaft ausfüllen, um weitere Komplikationen zu vermeiden. Ich wünsche Ihnen viel Glück!