Wenn es in einem Auftragsverarbeitungsverhältnis zu einem Datenschutzvorfall kommt, ist ein fachgerechtes Handling gefragt. Im Fall der Fälle muss klar sein, wann eine Meldung bei der Aufsichtsbehörde erfolgen muss und wer meldet. Der HDBI erklärt anhand eines „Best-Case“-Szenarios, worauf es ankommt, wenn der Auftragsverarbeiter eine Datenpanne hat.
Der Inhalt im Überblick
- Übergreifende Prozesse bei einem Datenschutzvorfall
- Der Auftragsverarbeiter muss immer informieren
- „Best-Case“ Szenario am Beispiel einer Ransomware-Attacke
- Das haben die Auftragsverarbeiter im Einzelnen zu beachten
- Das haben die Verantwortlichen im Einzelnen zu beachten
- Vorsorge ist besser als Nachsorge – ein gutes Konzept hilft
Übergreifende Prozesse bei einem Datenschutzvorfall
Der Begriff der Auftragsverarbeitung ist in der Welt des Datenschutzes inzwischen bekannt. Doch was passiert, wenn es beim Auftragsverarbeiter zu einem Datenschutzvorfall kommt? Häufig sind auch die Verantwortlichen betroffen, wobei der Auftragsverarbeiter regelmäßig einen Informationsvorsprung haben wird. Von ihm hängt ab, wie effektiv die verantwortliche Stelle ihre Meldepflichten gegenüber der Aufsichtsbehörde erfüllen kann. Von Behördenseite werden Defizite bei der Abstimmung bemängelt.
In dem 51. Tätigkeitsbericht nimmt der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Alexander Roßnagel (HBDI) Stellung dazu, wo seiner Meinung nach die Probleme liegen und was die Praxis besser machen kann (Tätigkeitsbericht HBDI, S.260-271). Er erwartet übergreifende Prozesse für einen angemessenen Umgang mit Datenschutzverstößen, damit es gar nicht erst zu Verzögerungen kommt.
Der HBDI macht deutlich, dass es dabei auf eine schnelle Reaktion und eine angemessene Bereitstellung von Informationen ankommt:
„Vor allem bei Datenschutzverletzungen, bei denen es zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen kommt, sind schnelle Reaktionen und eine angemessene Bereitstellung von relevanten Informationen von besonderer Bedeutung. Dies ist insbesondere notwendig, um die negativen Auswirkungen des Vorfalls zu mindern und betroffenen Personen ihrerseits die Möglichkeit zu bieten, angemessen auf den Vorfall zu reagieren.“
Der Auftragsverarbeiter muss immer informieren
Bei einem Auftragsverarbeitungsverhältnis ergeben sich auch im Kontext von Datenschutzverletzungen gesetzliche Vorgaben, die beachtet werden müssen. Zunächst einmal ist der Auftragsverarbeiter dazu verpflichtet, den Verantwortlichen bei der Meldung von Datenschutzverstößen an die Aufsichtsbehörde zu unterstützen, Art. 28 Abs. 3 lit. f) DSGVO.
„(3) Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags (…). Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter (…)
f) unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt; (…).“
Damit der Verantwortliche Kenntnis von dem Datenschutzvorfall erlangt und seinen Pflichten nachkommen kann, sieht Art. 33 Abs. 2 DSGVO vor, dass der Auftragsverarbeiter den Vorfall unverzüglich dem Verantwortlichen melden muss.
„(2) Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich. (…)“
Hierbei ist unerheblich, ob es voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen kommt, oder nicht. Die Beurteilung des Risikos liegt allein beim Verantwortlichen. Die Weitergabe Pflicht aus Art. 33 Abs.2 ist damit eine reine Informationspflicht. Mehr dazu und zu den inhaltlichen Vorgaben an die Meldepflicht des Auftragsverarbeiters in unserem Beitrag zur Meldepflicht des Auftragsverarbeiters bei Datenschutzverletzungen.
„Best-Case“ Szenario am Beispiel einer Ransomware-Attacke
Der HDBI erklärt, wie das „Best-Case“ Szenario eines Datenschutzvorfalls beim Auftragsverarbeiter ablaufen soll (Tätigkeitsbericht HBDI, S.264-267). Als Beispiel gewählt wurde eine Ransomware-Attacke auf ein mittelständisches Unternehmen. Dieses Unternehmen erbringt mehrere Dienstleistungen für ein anderes Unternehmen (Verantwortlicher) als Auftragsverarbeiter und verarbeitet im Zuge dessen auf eigenen IT-Systemen personenbezogene Daten.
Sobald die IT-Administration feststellt, dass Datenbanken und Inhalte von Netzlaufwerken mit Kundendaten betroffen sind (2.Schritt links), muss der Auftragsverarbeiter seinen Kunden in der Rolle als Verantwortlicher gem. Art. 33 Abs. 2 DSGVO informieren. Die unverzügliche Benachrichtigung des Verantwortlichen ist auch erforderlich, wenn es zu diesem frühen Zeitpunkt noch nicht möglich ist, den Sachverhalt abschließend zu erfassen (Tätigkeitsbericht HBDI, S.265).
Der HBDI weist darauf hin, dass die Meldung des Verantwortlichen nach Empfang der Meldung des Auftragsverarbeiters über den stattfindenden Ransomware-Angriff (unter dem 1.Schritt rechts) nur eine erste, vorläufige Meldung sein muss. Diese muss bei „neuen Erkenntnissen oder geänderten Risikobewertungen ohne unangemessene weitere Verzögerungen durch Nachmeldungen ergänzt werden“. In der Meldung muss der Auftragsverarbeiter angegeben werden, damit eine entsprechende Zuordnung zu dessen Meldung seitens der Behörde vorgenommen werden kann. In der ersten Meldung soll auch bereits ein Hinweis enthalten sein, dass diese bei neuen Erkenntnissen oder einer geänderten Risikobewertung ergänzt werden wird (Tätigkeitsbericht HBDI, S.266).
Das haben die Auftragsverarbeiter im Einzelnen zu beachten
Folgende To-Do´s hat der Auftragsverarbeiter dabei zu beachten, um einen reibungslosen Ablauf zu gewährleisten:
- Ausreichende Vorbereitungen und ein Notfallplan sollten bereits vorhanden sein. Es muss z.B. gewährleistet sein, dass der Auftragsverarbeiter Zugriff auf die Kontaktinformationen der Verantwortlichen sowie deren Kommunikationsinfrastruktur hat.
- Das Informieren des Verantwortlichen darf neben der Bekämpfung des IT-Sicherheitsvorfalls nicht in den Hintergrund treten. Dies gilt auch, wenn noch nicht bekannt ist, was genau geschehen ist und welches Ausmaß der Vorfall hatte.
- Es sollte eine vollständige Informationsübermittlung stattfinden. Das heißt, die bereitgestellten Informationen müssen das tatsächliche Ausmaß des Vorfalls widerspiegeln.
- Es kommt auf eine schnelle Kommunikation bei Veränderungen der Informationslage an. Die Auftragsverarbeiter sollen den neuen Sachstand zeitnah und entsprechend aufgearbeitet an die Verantwortlichen kommunizieren. Falls es z.B. zu der Ankündigung der Veröffentlichung exfiltrierter Daten kommt, muss das entsprechend schnell dem Verantwortlichen kommuniziert werden.
Das haben die Verantwortlichen im Einzelnen zu beachten
Aber auch durch die Verantwortlichen entstanden vermeidbare Verzögerungen. Folgende To-Do´s sind zu beachten:
- Es bedarf einer unverzüglichen Informationsauswertung und Risikobewertung. Eventuell ist die aktive Einforderung weiterer erforderlicher Informationen notwendig, um dies durchführen zu können.
- Fehlenden bzw. relevanten Informationen sollten unverzüglich und ohne explizite Nachfrage der Aufsichtsbehörde an diese übermittelt werden.
- Falls Mitteilungen des Auftragsverarbeiters an die Aufsichtsbehörde weitergeleitet werden, sollen diese nicht kommentarlos versendet werden, sondern entsprechend aufbereitet werden. Die Nachmeldung der Verantwortlichen sollte im Kontext zu ihrer Meldung gesetzt werden.
Vorsorge ist besser als Nachsorge – ein gutes Konzept hilft
Der HBDI betont, dass durch ein schnelles und abgestimmtes Handeln Verzögerungen verhindert oder zumindest minimiert werden können. Die dargestellten To-Do´s können dabei helfen, mögliche nachteilige Auswirkungen der Verletzungen des Schutzes personenbezogener Daten auf die betroffenen Personen zu vermeiden oder zumindest zu reduzieren. Dabei wird deutlich, dass bei beiden Akteuren eine gesteigerte eigene Initiative und Aktivität vorausgesetzt wird. Eine zögerliche Herangehensweise oder das Abwarten von weiteren Informationen / Erkenntnissen scheinen dabei kein guter Rat zu sein.