Art. 33 und Art. 34 DSGVO sprechen eine Aufklärungspflicht nicht direkt an. Sie verpflichten den Verantwortlichen lediglich, die Verletzung personenbezogener Daten zu melden bzw. die Betroffenen zu informieren. Dafür sind aber Informationen erforderlich. Ist daher von einer Pflicht auszugehen?
Der Inhalt im Überblick
Einfache Fälle – einfache Antworten
Die Beantwortung der Frage nach einer Handlungspflicht sollte eigentlich das Gesetz übernehmen. In Art. 33 DSGVO heißt es, dass die Meldung an die Datenschutzbehörde eine „Beschreibung der Art der Verletzung“ beinhalten soll. Neben ein paar weiteren Dingen sind noch ungefähre Zahlen zu nennen und eine Beschreibung ergriffener Maßnahmen, die den Schaden abfedern (sollen). Klingt ja erst einmal machbar – was auch für einfache Datenschutzvorfälle zutrifft. Zu denken ist etwa an einen großen und falschgeleiteten E-Mail-Verteiler mit brisantem Inhalt. Hier weiß der Verantwortliche in aller Regel sehr schnell sehr genau, was vorgefallen ist und wie er reagieren kann.
Schwere Fälle – Uff, keine Ahnung
Aber genau das ist der Punkt: Den zuständigen Mitarbeitern des Verantwortlichen wird ein kurzes Zusammentragen des Geschehens reichen, um eine ausreichende Einschätzung abgeben zu können. So ist es oft bei Vorfällen, die auf dem Versehen eines Beteiligten beruhen. Anders sieht es aber bei bewusst schädigenden Handlungen aus. Hier spielt es keine Rolle, ob der oder die Bösewichte als Innen- oder Außentäter oder sogar als beides zu qualifizieren sind. Beispielhaft seien Hackerangriffe genannt, bei denen Daten abfließen oder Fälle, in denen der geschasste Mitarbeiter als Rache die Kundendatenbank an Dritte verteilt.
Aber halt! Soweit sind wir ja noch gar nicht. In aller Regel weiß der Betroffene gerade in objektiv schweren Vorfällen zu Anfang subjektiv gar nicht, was genau vorgefallen ist. Doch exakt diese Fälle sind es, in denen ein Handeln noch dringender erforderlich wird und eine Meldung an Behörde und Betroffene zwingend ist.
Was wir wissen müssen
Dieser unheimliche Zustand des eklatanten Wissensdefizits führt hoffentlich zu der Erkenntnis, dass eine umfangreiche Aufklärung erforderlich wird. Denn es stellen sich viele Fragen. Die aus datenschutzrechtlicher Sicht wichtigsten sind:
- Was ist passiert?
- Welche Daten/ Personen sind betroffen?
- Mit welcher Wahrscheinlichkeit werden weitere Schäden eintreten?
- Welche Maßnahmen lassen sich ergreifen, um den Schaden zu minimieren?
Dem kritischen Geist wird aufgefallen sein, dass eine Frage nicht aufgetaucht ist: die nach dem „wer“. Bei der Aufklärung von schweren Fällen hört man die Frage danach schnell zu Anfang eines Gesprächs seitens des betroffenen Unternehmens. Sie ist aber zunächst von untergeordneter Natur, da sie einen zivil- bzw. strafrechtlichen Hintergrund hat. Eine Antwort hierauf ist also interessant aber nachrangig.
Beweise, Belege, Sicherheiten
Das Gesetz spricht nicht explizit davon, dass diesen Fragen nachzugehen ist. Allerdings lassen sich weder Behörden noch Betroffene ausreichend informieren, wenn Antworten fehlen. Und auch die „Lessons Learned“ blieben ohne gesicherte Informationen inhaltsleer, was wiederum gegen den Sinn und Zweck des Art. 32 DSGVO verstoßen würde. Kurzum: Der Verantwortliche braucht Antworten. Und zwar umfangreiche Belege und keine halbgaren Mutmaßungen.
Die Gründe wurden teilweise schon genannt. Er muss die Behörde informieren. Er muss die Betroffenen benachrichtigen. Er muss aus seinen Fehlern lernen. Sollte er letzteres vernachlässigen und ein weiterer Vorfall ähnlicher Güte hinzukommen, könnte dies auf ein strukturelles Problem hinweisen. Ein ausgesprochen guter Grund für ein hohes Bußgeld. Deutlich günstiger ist es hingegen, den Fall umfangreich untersuchen zu lassen.
Ohne IT-Forensik keine Chance
IT-Systeme spielen bei Datenschutzvorfällen sehr häufig eine Rolle. Die Untersuchung der in Frage kommenden Systeme ist daher Pflicht. Hierbei haben Verantwortliche zwei Möglichkeiten. Entweder sie beschäftigen selbst versierte IT-Forensiker, die sich schnell der Sache annehmen können oder sie holen sich externe Hilfe. Manchmal auch beides, je nach Umfang des Vorfalls. Das gemeine daran ist nämlich, dass es eine Korrelation zwischen Antwortbedürfnis/ -pflicht und Komplexität eines Vorfalls gibt.
…weil es sich lohnt
Halten wir fest: Auch, wenn das Gesetz nicht von einer Aufklärungspflicht spricht, ist sie aufgrund der Begleitumstände zwingend anzunehmen. Andere Schlussfolgerungen geraten zwangsläufig in Konflikt mit Art. 32, 33 und 34 DSGVO. Betroffenen Unternehmen ist daher dringend zu raten, Datenschutzvorfälle umfangreich aufzuklären, um ein Bußgeldrisiko zu minimieren. Einzelne Fehler passieren und gegen bösartige Angriffe ist nicht immer ein Kraut gewachsen. Aber strukturelle Defizite sind eine andere Hausnummer. Und eine Struktur beginnt immer mit einem ersten Fall. Im Sinne aller Involvierten und der eigenen Kosten-Nutzen-Bilanz ist also schnell und entschieden zu handeln, um Weiteres zu verhindern. Auch so gesehen ist es eine Pflicht.