Wir gehen näher darauf ein, was im Fall einer Datenpanne zu beachten ist und welche Meldepflichten bestehen.
Das richtige Vorgehen bei einer Datenpanne
Einführung
Für Unternehmen stellt sich bei Eintritt einer Datenpanne die Frage, welche Maßnahmen zu ergreifen sind, um sich gesetzeskonform zu verhalten. Unternehmen sind im Falle des Vorliegens einer Datenpanne grundsätzlich verpflichtet die Aufsichtsbehörde in Kenntnis zu setzen. Ihnen obliegt damit eine Meldepflicht nach Art. 33 DS-GVO. Wir möchten Sie darüber informieren, wann Unternehmen der Meldepflicht zwingend nachkommen müssen, in welchen Fällen eine Information der Aufsichtsbehörde genügt und wann zusätzlich der Betroffene selbst informiert werden muss. Für Unternehmen ist dabei auch die Frage relevant, ob und wenn ja, welche Ausnahmen von dieser Meldepflicht bestehen.
Nach Art. 4 Nr. 12 DS-GVO liegt eine Verletzung des Schutzes personenbezogener Daten dann vor, wenn eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Art. 4 Nr. 12 DS-GVO umfasst dabei beispielsweise Datenpannen, Datenlecks oder Datendiebstahl.
Die nachfolgenden Schritte sind von Unternehmen im Falle einer Datenpanne vorzunehmen und dienen als Leitfaden. Eine Prüfung im Einzelfall kann dadurch selbstverständlich nicht ersetzt werden.
Bewertung der Datenpanne
Zunächst muss eine Bewertung der Datenpanne erfolgen. Im Rahmen dieser Bewertung durch die Mitarbeiter und den Datenschutzbeauftragten liegt der Schwerpunkt auf der Analyse des Risikos für die Rechte der Betroffenen. Hierbei spielen insbesondere die Kategorie der betroffenen Daten und die Art der Verletzung eine entscheidende Rolle. Der Schweregrad der Datenpanne ist ausschlaggebend für das weitere Vorgehen des Unternehmens. Je höher das Risiko für den Betroffenen, z.B. im Falle von besonders sensiblen Daten oder eine großen Menge an betroffenen Daten, desto mehr muss das Unternehmen auch unternehmen, um die Datenpanne zu beheben bzw. das Risiko bestmöglich einzugrenzen.
Entscheidung über die Meldung der Datenpanne
Zur Klärung der Frage, wann die Datenpanne bei der Aufsichtsbehörde als auch bei dem Betroffenen selbst gemeldet werden muss, wird Art. 33 DS-GVO angesetzt. Die Meldepflichten wurden durch die DS-GVO erheblich verschärft. Es ist zu differenzieren zwischen der erforderlichen Meldung an die Aufsichtsbehörde nach Art. 33 DS-GVO und der Meldung an den Betroffenen nach Art. 34 DS-GVO.
Art. 33 DS-GVO
Es muss gem. Art. 33 Abs. 1 DS-GVO jede Verletzung des Schutzes personenbezogener Daten unverzüglich der zuständigen Aufsichtsbehörde gemeldet werden. Unverzüglich bedeutet in diesem Zusammenhang binnen 72 Stunden, nachdem dem Verantwortlichen die Verletzung bekannt geworden ist. Dem Auftragsverarbeiter obliegt hingegen keine Meldepflicht gegenüber der Aufsichtsbehörde. Er ist nach Art. 33 Abs. 2 DS-GVO nur dann zu einer unverzüglichen Meldung an den Verantwortlichen verpflichtet, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Eine Ausnahme von der Meldepflicht an die Aufsichtsbehörde besteht nur dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt. Hier ist entsprechend ebenfalls wieder die bereits durchgeführte Risikoanalyse maßgeblich. Zu beachten ist hierbei aber das Regel-Ausnahme-Verhältnis der gesetzlichen Regelung, so dass ein strenger Maßstab für das Absehen einer Meldung angelegt werden muss.
Art. 34 DS-GVO
Nach Art. 34 Abs. 1 DS-GVO obliegt dem Unternehmen zusätzlich eine unverzügliche Informationspflicht an die betroffene Person, wenn die Datenpanne mit einem „hohen Risiko“ für die persönlichen Rechte und Freiheiten der Person verbunden ist . Die Beurteilung, ob tatsächlich ein Risiko vorliegt, ist anhand des Risikokatalogs in Erwägungsgrund 75 der DS-GVO vorzunehmen. Die DS-GVO definiert nicht wann ein „hohes Risiko“ vorliegt. Ein solches ist aber dann anzunehmen, wenn mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten der natürlichen Person droht.
Eine Informationspflicht an die betroffene Person ist nach Art. 34 DS-GVO jedoch dann entbehrlich, wenn die dort genannten Bedingungen erfüllt sind. Hat der Verantwortliche nach Art. 34 Abs. 1 DS-GVO geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese auch auf die von der Verletzung betroffenen Daten angewandt, (Beispiel: hinreichende Verschlüsselung) so ist eine Benachrichtigung der betroffenen Person nicht erforderlich.
Der Unterschied zwischen Art. 33 und Art. 34 DS-GVO besteht also eindeutig in dem Grad des Risikos, der zu einer Informationspflicht führt.
Die Meldung muss dabei die in Art. 33 Abs. 3 DS-GVO genannten Informationen enthalten. Hierzu zählen unter anderem die Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, als auch die Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.
Dokumentation von Datenpannen
Unter DS-GVO müssen gem. Art. 33 Abs. 5 DS-GVO alle Datenpannen dokumentiert werden. Abschließend ist festzuhalten, dass mit der DS-GVO eine Meldung an die Aufsichtsbehörde viel häufiger erfolgen muss als bisher. Um einen Verstoß gegen die DS-GVO zu vermeiden ist es für Unternehmen unabdingbar ihre Mitarbeiter rechtzeitig zu informieren und gleichzeitig Meldeprozesse einzuführen, die zum schnellen Erkennen einer Datenpanne beitragen. Dies ist insbesondere vor dem Hintergrund ratsam, dass ein Verstoß gegen Art. 33 DS-GVO nach Art. 83 Abs. 4a DS-GVO mit einem Bußgeld von bis zu 10.000.000 € oder 2 % des weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres bedroht. Es kommt dabei darauf an, welche Zahl höher ist.