Wann liegt eine meldepflichtige Datenpanne vor?

Dieser Beitrag beleuchtet, wann eine Datenpanne vorliegt und gemeldet werden muss. Denn nicht jeder ungewöhnliche Vorfall ist eine Datenpanne. Wenn jedoch tatsächlich eine Datenpanne vorliegt, heißt es schnell agieren, um die kurze Meldefrist einzuhalten. Das Management ist daher gehalten, im Rahmen des Datenschutzmanagementsystems einen Prozess zur Behandlung von Datenpannen zu etablieren.

Kriterien für das Vorliegen einer Datenpanne

Die zunehmende Digitalisierung, die Verlagerung in die Cloud und auch der Einsatz von KI schaffen Rahmenbedingungen, die das Risiko für Fehler und damit einhergehende Beeinträchtigungen für die Rechte und Freiheiten betroffener, natürlicher Personen bei der Verarbeitung personenbezogener Daten immens erhöhen. Wo gehobelt wird, da fallen Späne! Trotz aller Vorsichtsmaßnahmen und Sicherheitsvorkehrungen kann immer etwas passieren, insbesondere vor menschlichen Fehlern ist man nie gefeit. Deshalb ist es für den Verantwortlichen, um Bußgelder und einen Imageverlust zu vermeiden, entscheidend zu wissen:

• Was ist eine Datenpanne?
• Wann ist diese meldepflichtig?
• Ab wann läuft die Meldefrist von 72 Stunden?
• Funktioniert mein etablierter Prozess zur Meldung von Datenpannen?

Was ist eine meldepflichtige Datenpanne?

Nach Art. 33 DSGVO liegt eine meldepflichtige Datenpanne immer vor, sofern eine Verletzung des Schutzes personenbezogener Daten gegeben ist und sich hieraus ein voraussichtliches Risiko für die Rechte und Freiheiten natürlicher Personen ergibt. Aber wann ist das der Fall?

Verletzung des Schutzes personenbezogener Daten

Ausgangspunkt ist eine Verletzung des Schutzes personenbezogener Daten. Die Legaldefinition dazu liefert Art. 4 Nr. 12 DSGVO:

„Verletzung des Schutzes personenbezogener Daten“, ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet werden;“

Wie sich hieraus ergibt, ist es für das Merkmal „Verletzung des Schutzes personenbezogener Daten“ unwesentlich, ob

• besondere personenbezogene Daten
• beabsichtigt oder unbeabsichtigt
• unrechtmäßig

durch eine Verletzungshandlung, ein Tun oder Unterlassen, verletzt sind.

Verletzung der Sicherheit

Der Verletzungserfolg muss durch ein Sicherheitsdefizit der getroffenen technischen und organisatorischen Maßnahmen hervorgerufen werden, wodurch die Integrität und Vertraulichkeit der personenbezogenen Daten gem. Art. 5 Abs. 1 lit. f DSGVO nicht gewährleistet ist. Diese mangelhafte Sicherheit beim Verantwortlichen muss zu einer Vernichtung, einem Verlust, einer Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang personenbezogener Daten geführt haben. Es muss sich also um eine Vertraulichkeits-, Integritäts- oder Verfügbarkeitsverletzung handeln.

Basiert die Verletzung des Schutzes personenbezogener Daten nicht auf einem Sicherheitsdefizit gem. Artt. 5 Abs. 1 lit. f, 32 DSGVO, dann liegt keine meldepflichtige Datenpanne vor. Diese Anschauung vertritt auch der europäische Datenschutzausschuss (EDSA) in dem er von „security incidents“ spricht und die Datensicherheit als verletzt ansieht, wenn bei einer rechtswidrigen Datenübermittlung die Offenlegung an Dritte erfolgt. Ebenso wird die versehentliche fehlerhafte Adressierung, Versendung von Mails an einen großen Verteiler mit „cc“ und ohne „bcc“ als eine Verletzung der Sicherheit definiert. Vom Datenschutz umfasst sind daher zwei Aspekte:

• die Verarbeitung personenbezogener Daten basiert auf einem legitimen Rechtsgrund und
• unter Einhaltung der Datensicherheit (Gesamtheit der technischen und organisatorischen Maßnahmen orientiert am Schutzbedarf der Daten)

Wichtig: Das Sicherheitsrisiko muss im Verantwortungsbereich des Verantwortlichen liegen. Gibt die betroffene Person auf einer gefälschten Online-Plattform personenbezogene Daten ein (Phishing), dann verwirklicht sich ein Sicherheitsrisiko, dass von der betroffenen Person selbst zu verantworten ist.

Objektiv vorliegender Verletzungserfolg

Weiter ist für das Vorliegen einer meldepflichtigen Datenpanne erforderlich, dass durch die Verletzungshandlung objektiv ein Verletzungserfolg eingetreten ist. Der Verdacht allein reicht nicht. Ob der Verletzungserfolg beabsichtigt oder unbeabsichtigt herbeigeführt wurde, ist nicht ausschlaggebend.

Die Meldepflicht besteht dann, wenn ein Zugriff auf die Daten erfolgt ist, unabhängig davon, ob dieser unbeabsichtigt oder beabsichtigt erfolgt. Nicht entscheidend ist, ob tatsächlich von den Daten Kenntnis genommen wurde. Will der Verantwortliche einer Meldepflicht trotz vorliegendem Sicherheitsdefizit entgehen, muss er belegen, dass kein Zugriff auf die Daten erfolgte.

Kein Risiko für die Rechte und Freiheiten natürlicher Personen

Aber auch dann, wenn ein Verletzungserfolg vorliegt, kann die Meldepflicht entfallen, sofern sich kein Risiko für die Rechte und Freiheiten natürlicher Personen manifestiert. Für den Verletzungserfolg ist der Schadenseintritt nicht relevant, jedoch fließt dies bei der Risikobewertung mit ein. Bei dieser wird die Schwere des möglichen materiellen oder auch immateriellen Schadens in Relation zur Eintrittswahrscheinlichkeit gebracht. In seiner Prognoseentscheidung identifiziert und beurteilt der Verantwortliche das Risiko und stuft es als

• geringes Risiko,
• Risiko oder
• hohes Risiko ein.

Diese Risikoentscheidung insbesondere der Risikoausschluss und die damit einhergehende Verneinung der Meldepflicht, muss dokumentiert sein, damit man seinen Dokumentationspflichten gem. Art. 5 Abs. 2 DSGVO nachkommen kann. Für die Risikoeinstufung gibt der europäische Datenschutzausschuss in seinen Guidelines 01/2021 und 09/2022 Verantwortlichen Kriterien an die Hand wie:

• Zahl der Betroffenen
• Art und Umfang der Daten
• Art der Verletzung
• Identifizierbarkeit der betroffenen Person
• die Schwere der Folgen für die betroffene Person
• besondere Eigenschaften des Verantwortlichen
• besondere Eigenschaften der betroffenen Person (Kinder, Art. 9 DSGVO Daten)
• zu erwartende Konsequenzen (EG 85).

Kein Risiko liegt jedenfalls dann vor, wenn die Daten bei Verlust wirksam verschlüsselt sind und über ein Back-up die Verfügbarkeit gewährleistet ist. Ferner gilt dies, wenn die Daten öffentlich verfügbar sind. Eine hilfreiche Handreichung für die Beurteilung des Risikos und damit einhergehender Meldepflichten von Datenschutzpannen bietet neben den EDSA Guidelines 01/2021 und 09/2022 die Handreichung der Hamburgischen Beauftragten für Datenschutz und Informationssicherheit.

So stellt zum Beispiel der versehentliche Versand von Daten an eine vertrauenswürdige Drittpartei einen Verletzungserfolg dar, jedoch manifestiert sich darin kein Risiko für die Rechte und Freiheiten natürlicher Personen, wenn eine Drittpartei als Berufsgeheimnisträger zur Vertraulichkeit verpflichtet ist und die Daten löscht bzw. zurücksendet, soweit es sich nicht um  Art. 9 DSGVO Daten handelt.

Einhaltung der Meldepflichten von Datenpannen

Liegt eine Datenpanne vor, dann gilt es schnell, überlegt innerhalb der 72 Stunden Frist zu agieren. Für den Verantwortlichen heißt es zu entscheiden, ob eine Meldepflicht vorliegt und wenn ja, welche sowie dies zu dokumentieren. Letztendlich muss der Verantwortliche (Vorstand, Geschäftsführer) die Meldung bei der zuständigen Aufsichtsbehörde vornehmen. Eine Form, wie diese Meldung erfolgt, ist nicht vorgeschrieben. Aufgrund der Nachweispflicht aus Art. 5 Abs. 2 DSGVO empfiehlt sich eine schriftliche Meldung.

Meldepflicht nach Art. 33 DSGVO

Die Meldepflicht bei der zuständigen Aufsichtsbehörde (Art. 55 DSGVO) obliegt dem Verantwortlichen gem. Art. 33 Abs. 1 S. 1 i.V.m Art. 4 Nr. 7 Hs. 1 DSGVO unverzüglich und möglichst binnen 72 Stunden. Der inhaltliche Umfang der Meldung ergibt sich aus Art. 33 Abs. 3 DSGVO. Die Meldung ist zu dokumentieren, um der Transparenzpflicht und der Nachweispflicht gem. Art. 33 Abs. 3 lit. a, c, d, Abs. 5 i.V.m. Art. 5 DSGVO Rechnung zu tragen.

Der Auftragsverarbeiter ist gem. Art. 33 Abs. 2 DSGVO zur unverzüglichen Meldung gegenüber dem Verantwortlichen verpflichtet. Dem Auftragsverarbeiter steht es nicht zu, eine eigene Bewertung der Datenpanne im Sinne der Risikoprüfung vorzunehmen, dies obliegt allein dem Verantwortlichen.

Welche Behörde ist denn zuständig?

Die Zuständigkeit wird grundsätzlich an dem Ort der Datenverarbeitung fest gemacht. Bei grenzüberschreitenden Datenverarbeitungen könnte es zu Mehrfachzuständigkeiten und in der Folge zu unterschiedlichen Entscheidungen kommen, die die DSGVO damit versucht auszuschließen, dass die Behörde am Sitz der Hauptniederlassung gem. Art. 56 Abs. 1 DSGVO oder der einzigen Niederlassung des Verantwortlichen (federführende Behörde) zuständig ist. Diese One-Stop-Shop-Lösung soll es für den Verantwortlichen leichter machen.

Anders verhält es sich, wenn personenbezogene Daten eines Verantwortlichen mit Sitz im EU-Ausland angegriffen werden, es sich aber um betroffene Personen des EU-Inlandes handelt. In diesem Fall ist jede Aufsichtsbehörde in dem Mitgliedsstaat gem. Art. 56 Abs. 2 DSGVO zuständig, soweit ein Bezug der Datenpanne zu dem Mitgliedsstaat der Aufsichtsbehörde besteht. In der Folge müssen all die Aufsichtsbehörden informiert werden, wo die betroffenen Personen, deren personenbezogene Daten betroffen sind, ihren Wohnsitz haben.

Meldepflicht nach Art. 34 DSGVO

Geht mit der Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko einher, dann muss der Verantwortliche die betroffene Person hierüber benachrichtigen. Er hat hierfür in klarer, präziser Sprache transparent Informationen mit dem Mindestinhalt gem. Art. 34 Abs. 2, 33 Abs. 3 lit. b, c, d DSGVO zu wählen.

Ab wann laufen die 72 Stunden der Meldefrist?

Die Meldefrist beginnt ab dem Zeitpunkt zu laufen, ab dem irgendjemand in dem Unternehmen des Verantwortlichen Kenntnis von den erheblichen Tatsachen der Datenpanne erhalten hat. Das ist immer dann der Fall, wenn durch die erlangten Kenntnisse mit einer angemessenen Sicherheit von einer Datenpanne ausgegangen werden kann. Eine vollständige, komplette Ermittlung des Sachverhaltes ist nicht notwendig, vielmehr hat eine vorläufige Meldung zu erfolgen und weitere Sachverhaltsaufklärungen müssen nachgereicht werden.

Wenn also die Meldefrist immer schon dann zu laufen beginnt, wenn irgendjemand in der Organisation des Verantwortlichen Kenntnis erlangt hat, wenn auch unvollständig, dann wird klar, warum ein gut funktionierender, allen bekannter Prozess für die Meldung von Datenpannen vorhanden sein muss. 72 Stunden sind nicht lange.

Vorsicht: Diese Frist gilt auch am Wochenende und selbst bei hohen Feiertagen, wie Ostern und Weihnachten. Unberücksichtigt bleibt bei der Fristberechnung auch Urlaub und Krankheit. Eine Verletzung der Meldefrist ist gem. Art. 83 Abs. 4 lit. a DSGO bußgeldbewehrt.

Wichtig festzuhalten ist jedoch, dass der Verantwortliche nicht unbedingt die 72 Stunden ausreizen darf, sondern vielmehr unverzüglich also auch früher (EG 86) melden muss.

Bei dokumentierten, außergewöhnlichen Umständen kann von dem Verantwortlichen gem. Art. 33 Abs. 1 S. 2 DSGVO dargelegt werden, wieso die Meldefrist nicht eingehalten werden konnte.

Wirksame Umsetzung von Prozessen zur Meldung von Datenpannen in Unternehmen

Betrachtet man die kurze Frist und die häufig komplexen Sachverhalte wird klar, warum ein effektiver Prozess mit Kommunikationsmatrix für die Meldung von Datenschutzpannen im Unternehmen vorhanden sein muss, wenn man Bußgelder nach Art. 83 Abs. 4 lit. a DSGVO vermeiden will. Um die Wirksamkeit des etablierten Prozesses im Wege des PDCA-Zyklus zu prüfen, empfiehlt sich auch die Etablierung eines KPI (Key Performance Indicator), mit dem die Messung erfolgt, wie viele Datenpannen fristgerecht bearbeitet wurden bzw. ob Datenpannen insgesamt vermieden werden konnten. Dies gilt insbesondere, wenn das Unternehmen sich nach ISO 27001 und ISO 27701 zertifizieren lassen will.