Data Breach Notification: Datenpannen in der DSGVO

daten 31
Fachbeitrag

Schon bisher sind Unternehmen verpflichtet, die Aufsichtsbehörden oder die Betroffenen bei Datenschutzverstößen in Form von Datenpannen oder sog. Data Breaches zu informieren. Diese Verpflichtungen werden mit der DSGVO deutlich verschärft. Der Artikel stellt die Neuerungen als Teil unserer Beitragsreihe zur EU-Datenschutz-Grundverordnung dar.

Was ist ein Data Breach?

Datenpannen sind Verstöße, gegen die Datensicherheit und den Datenschutz, bei denen personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt werden. Ursachen dafür sind vielfältig und können z.B. in einem Hackerangriff, dem Verlust eines USB-Sticks, dem Diebstahl eines Smartphones oder in einem unbefugten Weitergeben durch Mitarbeiter – gleichgültig ob bewusst oder unbewusst – liegen.

Data Breaches sind oftmals mit erheblichen Risiken, wie z.B. einer Rufschädigung bis hin zu Kreditkartenmissbrauch oder einem Identitätsdiebstahl, für die Betroffenen sowie gravierenden Nachteilen für das Unternehmen verbunden.

Aktuelle Rechtslage bei Datenpannen

Bisher sind Datenpannen nach § 42a BDSG unter zwei Voraussetzungen meldepflichtig. Es müssen sog. „Risikodaten“ betroffen sein. Diese sind in § 42a Satz 1 BDSG abschließend aufgezählt und beinhalten u.a. besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG oder Daten zu Bank und Kreditkartenkonten.

Darüber hinaus müssen durch die Datenpanne schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des Betroffenen drohen, so dass die Anzahl meldepflichtigen Vorfälle bislang nicht sehr groß ist.

Rechtslage nach der DSGVO

Die DSGVO sieht ab Mai 2018 eine deutlich verschärftere Meldepflicht bei Data Breaches vor. Wann eine solche Verpflichtung besteht, richtet sich nach den Art. 33 DSGVO für Meldungen an die Aufsichtsbehörde und Art. 34 DSGVO für Meldungen an die Betroffenen.

Meldungen an die Aufsichtsbehörde

Künftig muss grundsätzlich jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde gemeldet werden. Eine Beschränkung auf die oben bezeichneten Risikodaten kennt die DSGVO nicht. Eine Ausnahme besteht nach Art 33 Abs. 1 DSGVO nur dann, wenn die Datenpanne

voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Es ist also stets eine Risikoabwägung durchzuführen. Hierbei sollte in jedem Falle der Risikokatalog des Erwägungsgrundes 75 DSGVO berücksichtigt und die Abwägung dokumentiert werden

Meldungen an die Betroffenen

Ergibt die durchzuführende Risikoabwägung, dass durch die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, sind diese nach Art. 34 DSGVO zu benachrichtigen.

Ausnahmen von der Pflicht zur Benachrichtigung bestehen nach Art. 34 Abs. 3 DSGVO, wenn

  • geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, durch die die, betroffenen Daten für Unbefugte nicht zugänglich sind (z.B. Verschlüsselung),
  • durch nachfolgende Maßnahmen sichergestellt wurde, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
  • die direkte Information der Betroffenen mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall ist jedoch eine öffentliche Bekanntmachung gefordert.

Formale Anforderungen an die Meldung

Hinsichtlich der formalen Anforderungen an die Data Breach Notification werden in den Art. 33, 34 DSGVO jeweils Mindestanforderungen geregelt. Notwendig ist bei der Meldung an die Aufsichtsbehörde:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die letzten drei Punkte sind auch bei der Benachrichtigung der Betroffenen zu berücksichtigen. Zudem ist in diesen Fällen die Meldung in einer klaren und einfachen Sprache zu verfassen.

Meldefristen

Sowohl die Meldung an die Aufsichtsbehörde als auch die Benachrichtigung der Betroffenen haben, wie bisher nach § 42a BDSG unverzüglich, also ohne schuldhaftes Zögern, nach Kenntniserlangung zu erfolgen.

Jedoch wird in Art. 33 Abs. 1 DSGVO für die Meldung an die Aufsichtsbehörde im Gegensatz zum BDSG ein gesetzlicher Richtwert von 72 Stunden für den Ablauf der Unverzüglichkeit angenommen. Erfolgen Meldungen erst nach Ablauf dieser Frist, muss die Verzögerung gesondert begründet werden.

Dokumentationspflichten

DSGVO-typisch werden dem Verantwortlichen nach Art. 33 Abs. 5 DSGVO in Bezug auf die Data Breach Notification außerdem Dokumentationspflichten hinsichtlich aller Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen auferlegt.

Sanktionen

Verstöße gegen die Pflichten aus Art. 33, 34 DSGVO, z.B. bei unterlassener oder nicht rechtzeitiger Meldung oder Verletzungen der Dokumentationspflicht, können durch die Aufsichtsbehörde mit einem Bußgeld von bis zu 10.000.000,00 EUR oder 2% des weltweit erzielten Jahresumsatzes sanktioniert werden.

Kein Verwertungsverbot

Gemäß § 42a Satz 6 BDSG dürfen Informationen aus der Meldung einer Datenpanne in einem Straf- oder Ordnungswidrigkeitsverfahren nur mit Zustimmung des Verantwortlichen verwendet werden. Eine solche Einschränkung ist jedoch in der DSGVO nicht geregelt. Es besteht daher grundsätzlich die Möglichkeit, dass Verantwortliche durch Erfüllung der Meldepflicht selbst die Grundlage für ein Bußgeldverfahren gegen sich schaffen.

Empfehlungen für Unternehmen

Die Bedeutung von Meldungen, zumindest an Aufsichtsbehörden, und damit die Fallzahlen dürften mit Wirksamwerden der DSGVO deutlich steigen, da dann die Meldepflicht unabhängig von der Art der personenbezogenen Daten besteht.

Dies führt unweigerlich zu einer Mehrbelastung der ohnehin schon sehr beanspruchten Aufsichtsbehörden, die derzeit Möglichkeiten zur Bewältigung des erwarteten Aufwandes prüfen. Das BayLDA etwa bereitet derzeit einen Online-Service für verantwortliche Stellen zur effizienten Datenpannenmeldung vor.

Angesichts der kurzen Fristen für eine solche Meldung, der gesteigerten Anforderungen an Dokumentation sowie die Höhe der drohenden Bußgelder sollte die Übergangszeit genutzt werden, um effiziente Prozesse zu implementieren, durch die Datenpannen schnell erkannt und die entsprechenden Meldepflichten umgesetzt werden können.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. Haben Meldungen an die Aufsichtsbehörde nur bei Verstößen bzgl. externen Kundendaten oder auch im Bereich Arbeitnehmerdatenschutz zu erfolgen oder greift hier die Ausnahme nach Art 33 Abs. 1 DSGVO “voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt”?

    Punkt Verwertungsverbot: Laut DSGVO kann der Verantwortliche durch die Erfüllung der Meldepflicht selbst die Grundlage für ein Bußgeldverfahren schaffen. Man wird quasi dafür bestraft, dass man seinen Pflichten nachkommt. Wird das einige nicht dazu verleiten, solche Verstöße nicht zu melden? Was passiert dann?

    Generell stellt sich die Frage was ist, wenn man als Verantwortlicher von Unternehmensseite genötigt wird, den Verstoß unter den Teppich zu kehren?

    • 1. Der Verordnungstext differenziert bei den Meldepflichten nicht zwischen Kunden oder Mitarbeitern oder sonstigen Betroffenen. Sicherlich drohen auch bei Abhandenkommen von Mitarbeiterdaten Risiken für Rechte und Freiheiten natürlicher Personen, etwa wenn Bankverbindungs-, Gehalts-, oder Gesundheitsdaten abhandenkommen.

      2. Da ja auch die unterlassene Meldung mit einem Bußgeld geahndet werden kann, sollten Verantwortliche Datenpannen nicht unter den Teppich kehren. Wenn im Rahmen der Meldung durch die Aufsichtsbehörde weitere Verstöße gegen die DSGVO festgestellt werden, z.B. weil die Meldung Hinweise auf nichtgetroffene technische und organisatorische Maßnahmen offenbart, ist der Umstand der Meldung ein einem Bußgeldverfahren, falls ein solches überhaupt eingeleitet wird, nach Art. 83 Abs. 2 h) DSGVO gebührend zu berücksichtigen.

  2. Ist ja alles sehr schön und eindeutig geschrieben! Meine persönliche Meinung ist jedoch, das dieses Gesetz leider wiedermal an der Realität vorbei schrammt. Wir haben in Europa, weder eine einheitliche IT-Sicherheitspolitik, noch sind die meisten Unternehmen in der Lage einen Angriff auf ihre Systeme von Dritten richtig zu deuten. Eine Auswertung der Datensätze benötigt wesendlich mehr wie die gesetzte Frist von 72h usw.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.