Warum Meldungen von Datenpannen bei den Behörden stark ansteigen

Fachbeitrag

Vor kurzem wurde der 24. Tätigkeitsbericht der LDI NRW (Landesbeauftragte für Datenschutz- und Informationsfreiheit Nordrhein-Westfalen) veröffentlicht. Unter anderen datenschutzrechtlich interessanten Themen, stellt der Anstieg der Meldungen von Datenschutzvorfällen ein Problem dar. Was Datenschutzvorfälle sind, hatten wir bereits in der Vergangenheit erklärt. Diesmal beschäftigen wir uns mit den Ursachen und zeigen auf, wann eine Meldung im Regelfall obsolet ist.

Unsicherheit der Verantwortlichen

In der zweiten Hälfte 2018 sind der Behörde in Nordrhein-Westfalen 1.200 Datenpannen gemeldet worden. Zum Vergleich, in der ersten Hälfte 2018 erhielt die Behörde lediglich 61 Meldungen nach § 42a BDSG a.F.. Bei den gemeldeten Pannen handelt es sich in der Praxis zumeist um Irrtümer oder generell menschliches Fehlverhalten. Beispielsweise:

  • Fehladressierungen von Postsendungen & E-Mails
  • Nicht verschlossene Briefumschläge
  • E-Mail Versand mit offenen Verteilerlisten
  • Gestohlene/Verlorene Smartphones oder Laptops

Ursache der ansteigenden Meldung von Datenschutzvorfällen ist die bestehende Unsicherheit der Verantwortlichen. Es fällt ihnen schwer zu unterscheiden, wann ein Datenschutzverstoß vorliegt und wann nicht. Aus dieser Unsicherheit heraus werden sicherheitshalber viele überwiegend unbedeutende Datenpannen gemeldet, um möglicherweise Sanktionen vorzubeugen. Die Praxis zeigt allerdings, dass das eigene Melden von Datenschutzverstößen nicht vor Bußgeldern schützt.

Ein weiterer Grund nach der Unsicherheit der Verantwortlichen ist, dass durch § 42a BDSG a.F. in der Vergangenheit nur dann eine Meldepflicht begründet war, wenn personenbezogene Daten aus den in der Rechtsvorschrift explizit genannten Kategorie einem Dritten unrechtmäßig zur Kenntnis gelangen und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohten.

Art. 33 DSGVO erfasst im Vergleich zu § 42a BDSG a.F. alle personenbezogenen Daten ohne eine explizite Aufzählung. Die Art ihrer Verletzung wird außerdem nicht eingeschränkt und eine Meldung ist bereits erforderlich, wenn die Verletzung wahrscheinlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen wird.

Wann kann die Meldung unterbleiben?

Art. 33 Abs.1 DSGVO fordert die Meldung einer Verletzung des Schutzes personenbezogener Daten, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Das bedeutet, dass die Meldung unterbleiben kann, wenn die Datenschutzverletzung im konkreten Fall gar keinen Schaden zur Folge haben kann oder wenn ein möglicher Schaden wahrscheinlich nicht eintreten wird. In den meisten Fällen kann im ersten Moment ein Schaden oder dessen Eintrittswahrscheinlichkeit nicht gänzlich ausgeschlossen werden, sodass für Datenschutzverletzung zunächst eine Risikoeinstufung auf Grundlage einer Risikoanalyse zu ermitteln ist.

Ein Beispiel

Mitarbeiter Jonathan erhält nach erfolgreicher Einführung als Unternehmensberater in der Gesundheitsbranche ein Smartphone zur beruflichen Nutzung. Jonathan möchte positiv auf sich aufmerksam machen und arbeitet bis tief in die Nacht. Am Abend erhält er einen Anruf seines guten Freundes Hannes, welcher bereits im Nachtclub seines Vertrauens abgestiegen ist. Jonathan lässt nicht lange auf sich warten und leistet Hannes Gesellschaft. Am nächsten Morgen bemerkt Jonathan, dass er sein neues Smartphone verloren hat.

Datenschutzvorfall melden: ja oder nein?

Grundsätzlich würde eine Offenbarung der auf dem Smartphone gespeicherten Daten (E-Mail-Account & Dokumente mit sensiblen Personenbezug) einen hohen Schaden für den Betroffenen bedeuten. Allerdings ist davon auszugehen, dass der Schadenseintritt unwahrscheinlich ist, wenn das Smartphone sicher verschlüsselt wurde und die Dokumente aus einem Backup wiederherstellbar sind. (In dem konstruierten Fall kann der Verantwortliche nach eigenem Ermessenen von einer Meldung bei der Aufsichtsbehörde absehen.)

Wichtiger Hinweis der LDI NRW:

„Datenschutzvorfälle, die nur ein geringes Risiko für die Rechte und Freiheiten der Betroffenen darstellen, müssen der Aufsichtsbehörde nicht gemeldet werden. Allerdings sind der Datenschutzvorfall, die Ergebnisse der Risikoanalyse und die getroffenen Maßnahmen vom Verantwortlichen intern zu dokumentieren.“

Das richtige Gefühl

Sollten sich einen Datenschutzvorfall ereignen, binden Sie am besten Ihren Datenschutzbeauftragten ein. Dieser wird Sie unterstützen das Risiko einzuschätzen und das weitere Vorgehen zu planen. Ebenfalls empfiehlt es sich bereits einen Prozess zu definieren, um im Fall eines hohen Risikos für den Betroffenen, die 72 Stunden Frist zur Meldung an die zuständige Aufsichtsbehörde einzuhalten.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.