Kein Zugriff auf Facebook – Meldepflicht nach DSGVO?

Fachbeitrag

Viele Menschen wunderten sich wahrscheinlich in der vergangenen Woche, was denn da mit ihrem Facebook-/ Instagram-/ WhatsApp-Account los war. Nichts ging mehr. Für Spott war gesorgt, aber müsste ein solcher Vorfall eigentlich der Aufsichtsbehörde gemeldet werden?

Technische Probleme bei Facebook

In der vergangenen Woche erwischten technische Probleme Facebook gleich mehrfach. Die Folge: An einen Zugriff auf die eigenen Accounts durch die Nutzer:innen oder an ein Versenden von Nachrichten an Freunde, Familie, Bekannte, die Welt war nicht mehr zu denken. Nach Angaben von Facebook habe u.a. ein Konfigurationsfehler die Probleme verursacht und Nutzer:innen weltweit betroffen. Die Unterbrechung des Datenverkehrs habe

„kaskadenartige Auswirkungen auf die Kommunikation zwischen unseren Rechenzentren gehabt und unsere Dienste zum Stillstand gebracht“,

sagte Facebooks Vizepräsident Santosh Janardhan. Auch die internen Systeme seien von dem Ausfall betroffen gewesen.

Ein Datenschutzvorfall?

Als externe Datenschutzbeauftragte stellte sich mir nun folgende Frage: Was wäre zu tun gewesen, wenn mir dies von einem meiner Kunden berichtet worden wäre? Liegt hier ein Datenschutzvorfall nach Art. 33 DSGVO vor, den man schlimmstenfalls auch noch der zuständigen Aufsichtsbehörde melden müsste? Immerhin war eine Vielzahl an Personen betroffen, die durch die technischen Probleme sogar mehrfach und für längere Dauer keinen Zugriff auf ihre Daten hatten. Was wäre also zu tun gewesen?

Ruhe bewahren und prüfen

Zunächst würde ich auch hier erst einmal meinem verständlicherweise aufgeregtem Gegenüber dazu raten, tief Luft zu holen und Ruhe zu bewahren. Es gilt als erstes herauszufinden, ob es sich denn überhaupt um einen meldepflichtigen Datenschutzvorfall handelt. Hierfür müsste nach Art. 33 Abs. 1 DSGVO der Schutz von personenbezogenen Daten verletzt worden sein.

Nach Art. 4 Nr. 12 DSGVO ist dies dann der Fall, wenn es sich um eine Verletzung der Sicherheit handelt, die, ob beabsichtigt oder unrechtmäßig,

  • zur Vernichtung,
  • zum Verlust,
  • zur Veränderung,
  • zur unbefugten Offenlegung oder
  • zum unbefugten Zugang

von/zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Zwei Juristen, (mindestens) drei Meinungen

Durch die technischen Störungen konnten die Nutzer:innen selbst nicht mehr auf ihre Accounts zugreifen. Hierbei wurden ihr Daten jedoch weder vernichtet noch verändert oder offengelegt und es wurde auch niemandem unbefugt Zugang verschafft. Als einzige verbleibende Möglichkeit kommt hier der „Verlust von personenbezogenen Daten“ in Betracht.

Der Europäische Datenschutzausschuss (EDSA) definiert einen Datenschutzvorfall in seiner Richtlinie zu Datenschutzverstößen ebenfalls als

„a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed”.

In Anlehnung an die WP-29-Gruppe wird dabei jedoch auch ein

„Availability breach – where there is an accidental or unauthorised loss of access to, or destruction of, personal data“

als Datenschutzvorfall kategorisiert. Der EDSA interpretiert also bereits eine Einschränkung der Verfügbarkeit („loss of access to personal data“) als Datenschutzvorfall. Ob der Wortlaut des Art. 4 Nr. 12 DSGVO eine solch weite Auslegung jedoch zulässt, erscheint fraglich.

Geht man nach dem direkten Wortlaut muss es zu einem „Verlust der personenbezogenen Daten“ und nicht zu einem „Verlust des Zugriffs auf die Daten“ gekommen sein. Facebook-Nutzer:innen hatten jedoch lediglich keinen Zugriff auf ihre Daten bzw. Accounts. Dies war jedoch nicht von Dauer. Nachdem Facebook die technischen Probleme beseitigt hatte, funktionierte alles wieder tadellos, ein Zugriff war wieder möglich, ein Verlust von Daten nicht gegeben.

Keine Meldepflicht für Facebook

Die technischen Probleme und Ausfälle von Facebook, Instagram und WhatsApp waren wahrscheinlich nur nicht für Facebook selbst äußerst ärgerlich und zum Teil besorgniserregend. Ein meldepflichtiger Datenschutzvorfall wird es jedoch nicht gewesen sein. Nichtdestotrotz ist es wichtig, für mögliche Datenschutzverletzungen im Unternehmen einen Prozess zu etablieren, an dem man sich Notfall orientieren kann.

Insbesondere die 72-stündige Meldepflicht bei der Aufsichtsbehörde, die der Art. 33 DSGVO vorsieht, sollte hierbei nicht aus den Augen verloren werden. Gleichzeitig gilt es jedoch auch, die Mitarbeiter:innen, z.B. mit Schulungen, im Umgang mit personenbezogenen Daten zu sensibilisieren, sodass diese einen möglichen Datenschutzvorfall überhaupt erkennen können. Nur so ist zu beurteilen, ob eine Meldung erforderlich ist.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. Ich gehe davon aus, dass der EDSA mit seiner „Loss of Access“-Formulierung in der Tat den dauerhaften Verlust des Zugriffs meint, etwa, wenn die personenbezogenen DAten verschlüsselt wurden und der Schlüssel verloren ging (oder zerstört wurde). In diesem Fall wären die personenbezogenen Daten selbst (in ihrer verschlüsselten Form) streng genommen nicht verloren, aber der Zugang zu ihnen permanent unmöglich geworden.

  2. Facebook stellt ja auch die Funktion „login via fb“ bereit, um sich an diverse Plattformen anzumelden. Hier war über 7 Std die Nutzung nicht möglich, was einem (temporären) Verlust von personenbezogenen (login) Daten entsprechen könnte? Spielt das hier keine Rolle?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.