Gratis
28. Juli 2017 - Meldepflichten in der DSGVO

DSGVO: So gehen Sie mit Datenpannen richtig um

Einen Prozess zu haben, um Datenpannen nach der Datenschutz-Grundverordnung (DSGVO) zu melden, ist ein „Must have“ zum 25. Mai 2018. Wann aber ist ein Vorfall nun meldepflichtig? Und wie muss die Meldung genau ausgestaltet sein?

Wie sieht es mit den Meldepflichten unter der DSGVO aus? Nur mit technischen und organisatorischen Maßnahmen lassen sich Schutzverletzungen im Vorfeld verhindern oder im Nachhinein eindämmen (Bild: iStock.com / PeopleImages)

Kommt es zu einer Datenpanne, stellt sich die Frage, ob, wann und wie Datenpannen im Unterschied zu § 42a BDSG nach der Datenschutz-Grundverordnung (Art. 33 und 34 DSGVO) den zuständigen Aufsichtsbehörden zu melden und die Betroffenen zu benachrichtigen sind.

Umfasst von der Meldepflicht sind unterschiedslos alle Verantwortlichen nach Art. 4 Abs. 5 DSGVO, nunmehr auch öffentliche Stellen.

Wann ist ein Vorfall meldepflichtig?

Die Verordnung verwendet für den umgangssprachlichen Begriff „Datenpanne“ die Bezeichnung „Schutzverletzung personenbezogener Daten“ (Art. 4 Nr. 12 DSGVO). Hiermit ist eine Verletzung der Sicherheit der Datenverarbeitung im weitesten Sinne gemeint.

Der Begriff umfasst folgende Verletzungssituationen personenbezogener Daten:

  • Vernichtung: alle Formen der Datenlöschung, die Daten unwiederbringlich machen, gleich ob rechtlich unzulässig oder unbeabsichtigt
  • Verlust: unvorhergesehenes Verlorengehen von Daten, gleich ob temporär oder dauerhaft
  • Veränderung: inhaltliches Umgestalten von Daten, Daten erhalten neuen Informationsgehalt
  • unbefugte Offenlegung / Weitergabe: Dritter erhält Daten, Weitergabe nicht durch Einwilligung oder Rechtsvorschrift gedeckt
  • unbefugter Zugang: o.; aber auch keine oder fehlerhafte Berechtigungskonzepte können schon dazu führen, da tatsächliche Kenntnisnahme nicht erforderlich ist

Daten- und IT-Sicherheit stehen im Vordergrund

Die Verletzungsarten weisen einen Zusammenhang mit den IT-Sicherheitszielen Vertraulichkeit, Verfügbarkeit und Integrität auf. Die Meldepflicht tritt ein, wenn Schutzmaßnahmen nicht effektiv waren und dadurch Vorgaben der Verordnung verletzt wurden.

Aufgrund dessen, dass – anders als im Bundesdatenschutzgesetz (BDSG) – eine unrechtmäßige Kenntnisnahme Dritter nicht mehr erforderlich ist, erübrigt sich auch die Unterscheidung zwischen einer Softwarepanne und einem Hackerangriff. Nur eine infrastrukturelle Verletzung der IT-Sicherheit ohne Personenbezug ist nicht erfasst.

WICHTIG: Im Gegensatz zu § 42a BDSG enthält die Datenschutz-Grundverordnung keine Beschränkung mehr auf bestimmte Datenkategorien. Nun sind alle personenbezogenen und personenbeziehbaren Daten, unabhängig vom Kontext, erfasst. Das weitet die Meldepflicht massiv aus. Die Pflicht besteht auch unabhängig davon, ob die Schutzverletzung verschuldet, unbeabsichtigt oder widerrechtlich erfolgt ist.

Wie wird eine Schutzverletzung „festgestellt“?

Die Kenntnis der Schutzverletzung steht an erster Stelle. Dann stellt sich die Frage, ob auf Basis der Informationen, die der Verantwortliche über die Schutzverletzung hat, eine „sinnvolle“ Meldung möglich ist.

Mithin ist entscheidend, wie viele Informationen über Art, Umfang und weitere Umstände der Schutzverletzung vorliegen. Ein bloßer Verdacht, z.B. seitens der IT-Abteilung oder eines Mitarbeiters, reicht ebenso wenig aus wie die vage Feststellung des Vorfalls ohne nähere Informationen.

Kumulative Meldung möglich

Es ist jedoch nicht erforderlich, dass alle Informationen, die in der Meldung gegenüber der Aufsichtsbehörde enthalten sein müssen, gleich nach Kenntnisnahme / Feststellung der Schutzverletzung vorliegen.

Die Meldung muss nämlich nicht zwingend als Ganzes in einem Paket erfolgen. Art. 33 Abs. 4 gestattet ein stufenweises Vorgehen. Das ist praxisgerecht, da nur in seltenen Fällen gleich zu Beginn alle relevanten Informationen über die Schutzverletzung vorliegen dürften.

Nach Art einer „Erstmeldung“ kann es erforderlich sein, weitere Meldungen an die Aufsichtsbehörde zu schicken. Immer dann, wenn neue Informationen bekannt werden, sind diese in einer Folgemeldung weiterzugeben, die einen Verweis auf vorausgehende Meldungen enthält. Grundsätzlich gilt daher:

Die kumulative Meldung zieht sozusagen eine „Ermittlungspflicht“ des Verantwortlichen nach sich, bis alle Informationen zusammengetragen sind, die die Aufsichtsbehörde benötigt, um den Vorfall zu prüfen (Art. 33 Abs. 3 Buchst. a–d DSGVO).

Hauptvoraussetzung: Risikoprognose

Zentraler Anknüpfungspunkt, um den Vorfall zu beurteilen und um die Frage zu beantworten, ob überhaupt eine Meldung an die Aufsichtsbehörde und zusätzlich an die Betroffenen erfolgen muss, ist dann das Risiko, das durch die Schutzverletzung besteht oder zu erwarten ist.

Lesen Sie ausführlich zur Beurteilung des Risikos nach der Grundverordnung Datenschutz PRAXIS 06/2017, S. 14 –17.

Wenige Ausnahmen

Allgemeine Ausnahmen von der Meldepflicht, die etwa an die Größe des Unternehmens oder an die Art der Datenverarbeitung anknüpfen, existieren nicht. Nur wenn sich sicherstellen lässt, dass durch die Schutzverletzung kein Risiko für die Rechte und Freiheiten der Betroffenen besteht, darf die Meldung unterbleiben.

Wer ist wann über die Datenpanne zu informieren?

Es sind nicht mehr Aufsichtsbehörde und Betroffene gleichermaßen zu benachrichtigen. Die Verordnung enthält anders als § 42a BDSG eine  abgestufte Melde- und Benachrichtigungspflicht:

  • Die Betroffenen müssen – im Gegensatz zur Aufsichtsbehörde – erst dann benachrichtigt werden, wenn durch die Schutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht.
  • Um die Meldepflicht gegenüber der Aufsichtsbehörde auszulösen, reicht ein „normales“ Risiko, das keiner besonderen Qualifizierung bedarf.

Inhalt der Meldung an die Aufsichtsbehörde

Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen:

  • Beschreibung der Art der Verletzung (z.B. Datenverlust)
  • Kategorien von Betroffenen (z.B. Mitarbeiter, Kunden)
  • (ungefähre) Anzahl der Betroffenen, Kategorien von Datensätzen und ungefähre Anzahl der betroffenen Datensätze (z.B. Datensätze von 351 Kunden und 26 Mitarbeitern betroffen, darunter Anzahl x besonders schützenswerte Daten)
  • Name und Kontaktdaten des DSB oder sonstige Anlaufstelle
  • Beschreibung der wahrscheinlichen Folgen der Schutzverletzung (z.B. finanzielle Nachteile durch unbefugte Offenlegung von Bank- und Kreditkartendaten)
  • Beschreibung ergriffener und vorgeschlagener Maßnahmen, um die Schutzverletzung zu „beheben“ und um mögliche Folgen abzumildern
  • Welche Maßnahmen wurden bereits ergriffen, zur Reduzierung welches Risikos und welcher Schutzverletzung? Beispiel: Zur Reduzierung physischer Schäden durch den nicht avisierten Datenverlust der Patientenakten wurde ein Datenwiederherstellungsverfahren angewandt, wodurch die Daten zur Prozentzahl x wiederhergestellt werden konnten.
  • Welche Maßnahmen wurden – etwa aus zeitlichen Gründen – noch nicht ergriffen, können aber das Risiko weiter reduzieren?

Form der Meldung

Eine besondere Form ist nicht vorgesehen. Gerade in dringenden Fällen bietet sich aber vorab eine telefonische Kontaktaufnahme mit der Aufsichtsbehörde an. Eine ausführliche Meldung, z.B. per Brief oder per Fax, folgt dann dem Gespräch.

Schnelligkeit vor Vollständigkeit

Die (Erst-)Meldung an die Aufsichtsbehörde muss unverzüglich, aber grundsätzlich innerhalb von 72 Stunden erfolgen. Diese Frist beginnt mit der Feststellung. Dabei ist ein etwaiges „Kennen-Müssen“ zu beachten. Hier ist ein Untätigbleiben besonders risikoreich. Die zeitliche Frist gilt auch für Folgemeldungen, wenn neue Informationen bekannt geworden sind.

Überschreitet ein Verantwortlicher die 72 Stunden, muss er das begründen. Dabei helfen z.B. besondere Umstände des Einzelfalls, etwa ein professioneller Hackerangriff. Je länger die Frist überschritten ist, desto ausführlicher sollte die Begründung sein. Insofern geht Schnelligkeit vor Vollständigkeit und Richtigkeit.

So müssen Sie Betroffene benachrichtigen

Den Betroffenen ist anders als der Aufsichtsbehörde kein umfassendes Bild von der Schutzverletzung zu geben.

Die Benachrichtigung muss lediglich die Art der Schutzverletzung, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle, eine Beschreibung der wahrscheinlichen Folgen sowie eine Beschreibung bereits ergriffener und zu empfehlender „Selbstschutzmaßnahmen“ enthalten.

Sorgfältige Ausgestaltung erforderlich

Die Benachrichtigung muss in klarer und einfacher Sprache erfolgen, also nicht im rechtlichen Fachjargon. Ebenso muss sie so übersichtlich sein, dass sich der Inhalt direkt zur Kenntnis nehmen lässt. Die Benachrichtigung darf sich daher nur auf Informationen beziehen, die die Schutzverletzung betreffen, und keine Werbung oder ähnliche sachfremde Bezüge beinhalten.

Demnach ist eine „Zweitverwendung“ der Meldung an die Aufsichtsbehörde 1:1 nicht angebracht. Empfehlen Sie, innerbetrieblich zwei inhaltlich unterschiedliche Formulare (Templates) anzulegen, auf die dann je nach Adressat (Aufsichtsbehörde oder Betroffener) zurückgegriffen wird.

Ausnahmen von der Benachrichtigungspflicht

Der Verantwortliche muss die Betroffenen in zwei Ausnahmefällen nicht benachrichtigen (Art. 34 Abs. 3 DSGVO):

  • wenn er schon im Vorfeld geeignete Sicherheitsvorkehrungen getroffen hat, die den unbefugten Zugang zu den Daten ausschließen. Dazu gehört z.B. Verschlüsselung.
  • wenn er im Nachgang Maßnahmen ergreift, die nach aller Wahrscheinlichkeit sicherstellen, dass das (hohe) Risiko für die Betroffenen nicht mehr besteht. Hiermit sind Maßnahmen gemeint, die das Risiko nachträglich minimieren, wie eine Wiederherstellung gelöschter Daten oder eine Fernlöschung von verlorenen Speichermedien.

Nach der Implementierung derartiger Maßnahmen, die die Pflicht entfallen lassen (können), ist zwingend eine Bewertung des etwaigen Restrisikos vorzunehmen. Nur wenn die Maßnahmen das Risiko so weit reduzieren, dass es unter die „Schwelle“ der Meldung und / oder Benachrichtigung fällt, kann sich der Verantwortliche auf die Ausnahme berufen.

Öffentliche Benachrichtigung

Bei einem unverhältnismäßigen Aufwand kann der Verantwortliche von einer Individualbenachrichtigung des Betroffenen als Regelfall absehen und sie durch eine öffentliche Benachrichtigung/Bekanntmachung ersetzen.

Von einem solchen unverhältnismäßigen Aufwand ist etwa auszugehen, wenn keine oder nur veraltete Kontaktdaten zur individuellen Benachrichtigung vorhanden sind und aktuelle erst ermittelt werden müssten, oder dann, wenn sich die Anzahl der Betroffenen (100 oder 10.000) nicht sicher eingrenzen lässt.

Bei einer öffentlichen Benachrichtigung ist die „gleiche Wirksamkeit“ im Vergleich zur Individualbenachrichtigung z.B. per Brief oder E-Mail wichtig. Die öffentliche Benachrichtigung kann – je nach Möglichkeit der Kenntnisnahme der Betroffenen – auch über das Internet erfolgen.

Besonderheiten bei Auftragsverarbeitung

Erstmals werden auch Auftragsverarbeiter in die Pflicht genommen. Sie müssen zwar die Meldun g /Benachrichtigung nicht selbst vornehmen, haben aber die Pflicht, den Verantwortlichen zu unterstützen.

Da die DSGVO den Umfang der Unterstützungspflicht nicht näher und praxisgerecht konkretisiert, empfiehlt sich eine solche Konkretisierung durch vertragliche Vereinbarungen (z.B. Umfang der Unterstützungspflicht, bereitzustellende Informationen, Zeitpunkt und Frist für die Mitteilung, Verschwiegenheitsvereinbarung).

Neue Dokumentationspflicht

Die Verordnung sieht bei Schutzverletzungen eine neue Dokumentationspflicht vor. Sie dient nicht nur der Aufsichtsbehörde zur Prüfung, sondern auch dem Verantwortlichen selbst. Er muss alle Fakten, die im Zusammenhang mit der Schutzverletzung stehen, ihre Auswirkungen und die Abhilfemaßnahmen dokumentieren.

Die Dokumentationspflicht lehnt sich an den Inhalt der Meldepflicht aus Art. 33 DSGVO an, kann jedoch auch mehr Informationen umfassen. So kann es erforderlich sein, z.B. – sofern bekannt – die Ursache der Schutzverletzung oder möglicherweise  involvierte (externe) Personen zu dokumentieren.

PRAXITIPP: Es bietet sich an, eine „Schutzverletzungshistorie“ zu erstellen. Das hilft, einen Gesamtüberblick zu bekommen und Schwachstellen zu erkennen. Die Historie kann Anhaltspunkte bei weiteren Schutzverletzungen liefern. Eine Übermittlung der Dokumentation erfolgt nur auf Anfrage der Aufsichtsbehörde, ggf. gekürzt um die Angaben, die für die Behörde unwichtig sind.

Fazit: interne Richtlinien und Schulung nötig

Die Datenschutz-Grundverordnung stellt die Pflichten bei Schutzverletzungen neu auf und macht eine angepasste Reaktion erforderlich.

Nicht geändert hat sich der Fokus auf die Beachtung der Datenschutzgrundsätze sowie auf technische und organisatorische Maßnahmen, um die Datensicherheit zu gewährleisten.

Interne Richtlinien zum Umgang mit Schutzverletzungen werden hierbei neben den technischen Schutzmaßnahmen eine ebenso zentrale Rolle einnehmen wie eine Schulung der Mitarbeiter, wie sie mit Schutzverletzungen umgehen.

Kevin Marschall
ist wissenschaftlicher Mitarbeiter an der Universität Kassel mit dem Schwerpunkt Datenschutzrecht. Er publiziert und referiert regelmäßig über praxisbezogene Datenschutzthemen.