Meldung von Datenschutzpannen nach Art. 33 DSGVO – Meldepflichten nach der DSGVO

Lesezeit: ca. 4 Minuten

Der hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat in einer Veröffentlichung vom 15.11.2018 weitere Hinweise für die Meldung von Datenschutzpannen nach Art. 33 DSGVO gegeben. Wörtlich heißt das Dokument „Data-Breach-Meldung nach Art. 33 DSGVO“.

Warum hier der hamburgische Beauftragte den englischen Begriff „Data Breach“ nutzt und nicht bei dem klassisch deutschen Begriff einer Datenschutzpanne bleibt, ist nicht ersichtlich.

Wie viele andere Aufsichtsbehörden auch, bietet die hamburgische Aufsichtsbehörde ein Online-Formular an, um Data-Breach-Meldungen oder Datenschutzpannen gegenüber der Aufsichtsbehörde anzuzeigen.

Meldung nur bei Verletzung des Schutzes personenbezogener Daten

Gemäß Art. 33 DSGVO besteht eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt. Hierzu gibt es in Art. 4 Nr. 12 DSGVO eine Definition. Gegenüber der alten Rechtslage wird jetzt nicht mehr darauf abgestellt, dass besonders geschützte personenbezogene Daten betroffen sind, beispielsweise Gesundheitsdaten, sondern die Verletzung des Schutzes personenbezogener Daten betrifft jede Art solcher personenbezogenen Daten.

Allerdings stellt die hamburgische Aufsichtsbehörde deutlich fest, dass nicht jede Datenschutzverletzung zu melden ist. Es muss eine unrechtmäßige Offenheit gegenüber Dritten gegeben haben oder beispielsweise einen Datendiebstahl. Beispielhaft zählt hier die hamburgische Aufsichtsbehörde das Hacking, den Datendiebstahl über SQL-Lücken oder Bugs in Webservern auf. Auch verloren gegangene USB-Sticks und Laptops, die unrechtmäßige Übermittlung personenbezogener Daten oder ein Einbruch in Serverräume sind solche Datenschutzpannen. Auch eine versehentliche Falschadressierung von Briefen oder E-Mails oder die Versendung einer Massen-E-Mail unter Verwendung des „An“-Feldes oder des „CC“-Feldes kann eine solche Datenschutzpanne sein. Insoweit kann auch menschliches Versagen eine unzulässige Datenverarbeitung auslösen. Es wird nicht nur allein auf technische Fehler abgestellt.

Weiterhin muss ein Verletzungserfolg eingetreten sein. Ob tatsächlich eine Kenntnisnahme des Inhaltes folgt, ist dabei unerheblich. Weiterhin ist für das Vorliegen einer Meldepflicht unerheblich, ob ein Schaden eingetreten ist. Es muss also weder ein Vermögensschaden noch ein immaterieller Schaden entstanden sein.

Meldepflicht nur bei Risiko für Betroffene

Während der Begriff der Verletzung des Schutzes personenbezogener Daten, wie oben dargestellt, eher weit ist, gibt es eine in Art. 33 Abs. 1 Satz 1 DSGVO formulierte Grenze. Es wird bei der Meldepflicht darauf abgestellt, ob es zu einem Risiko für die Rechte und Freiheiten natürlicher Personen kommt. Dabei wird auf die Schwere des Schadens und dessen Eintrittswahrscheinlichkeit abgestellt. Je höher der anzunehmende Schaden ist, desto geringer sind die Anforderungen an die Wahrscheinlichkeit eines Eintritts. Folgende Kriterien sind dabei zu beachten:

– Art der Datenpanne (unautorisierter Zugriff ist oft gravierender als der Datenverlust)

– Art und Umfang der Daten-Identifizierbarkeit (kann ein Dritter nach dem unautorisierten Zugriff einen Personenbezug herstellen?)

– Spezielle Umstände hinsichtlich der Betroffenen, beispielsweise Kinder

– Spezielle Umstände hinsichtlich des Verantwortlichen, beispielsweise medizinische Einrichtungen

– Anzahl der Betroffenen

– Die zu erwartenden Konsequenzen, beispielsweise Diskriminierung, Identitätsdiebstahl und Identitätsbetrug, finanzielle Verluste und weitere Konsequenzen.

Gemäß Art. 33 Abs. 5 DSGVO muss der Verantwortliche die Verletzung des Schutzes personenbezogener Daten dokumentieren. Im Gesetz ist in Art. 33 Abs. 5 Satz 2 DSGVO festgelegt, dass die Dokumentation der Aufsichtsbehörde die Überprüfung der Einhaltung der Meldepflichten ermöglichen soll. Um dies sicherzustellen, ist daher detailliert darzulegen, ob eine Verletzung des Schutzes personenbezogener Daten vorliegt und welches Risiko besteht.

Informationen des Betroffenen nach Art. 34 DSGVO

Unabhängig von der Meldepflicht an die Aufsichtsbehörde besteht eine Informationspflicht gegenüber dem Betroffenen nach Art. 34 DSGVO. Eine solche Informationspflicht bei Datenschutzpannen besteht, wenn ein voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen besteht. Hier wird im Gegensatz zu Art. 33 DSGVO nicht mehr ein „normales“ Risiko verlangt, sondern ein „hohes“ Risiko. Wenn also der Data Breach nur ein normales Risiko bedeutet, dann ist nur eine Meldung an die Aufsichtsbehörde abzusetzen. Eine Meldung gegenüber dem Betroffenen muss dann nicht erfolgen.

Der hamburgische Beauftragte für Datenschutz und Informationsfreiheit veröffentlicht dann verschiedene Fallbeschreibungen, bei denen zwischen der Meldepflicht an die Aufsichtsbehörde und der Mitteilungspflicht an den Betroffenen differenziert wird. Beispielsweise ein gestohlener USB-Stick mit wirksam verschlüsselten Daten löst weder eine Meldepflicht an die Aufsichtsbehörde noch eine Informationspflicht an Betroffene aus. Werden aber Kontoauszüge an falsche Kunden verschickt, löst dies zumindest eine Meldepflicht an die Aufsichtsbehörde aus. Das Erbeuten von Nutzernamen, Passwörtern und dem Kaufverhalten von Kunden in einem Onlineshop führt auf jeden Fall zu einer Meldepflicht gegenüber der Aufsichtsbehörde und zu einer Informationspflicht an Betroffene. Wenn eine Cyberattacke auf ein Krankenhaus dazu führt, dass 30 Minuten kein Zugriff auf Patientendaten möglich ist, löst dies ebenfalls eine Meldepflicht an die Aufsichtsbehörde aus. Auch die Betroffenen, sprich die Patienten, sind zu informieren.

Schnelle Meldung notwendig

Die hamburgische Aufsichtsbehörde weist auch noch einmal deutlich darauf hin, dass die Meldung unverzüglich, spätestens nach 72 Stunden bei der Aufsichtsbehörde eingehen muss. Die Frist beginnt mit der Kenntnis von der Datenschutzpanne oder dem Data Breach. Nicht bereits vage Hinweise lösen eine Meldepflicht aus. Die Informationen im Unternehmen oder einer Behörde müssen schon eine gewisse Qualität haben.

Wichtig ist an dieser Stelle, dass die Regelungen des Art. 33 DSGVO nicht nur für Unternehmen gelten, sondern auch gegenüber Behörden anzuwenden sind.

Letztendlich erwartet die DSGVO ein Informationssicherheitsmanagementsystem, das sicherstellt, dass Datenpannen und Datendiebstähle wahrgenommen werden und im Rahmen der Meldung hinsichtlich ihrer Auswirkungen für das Unternehmen, die Behörde und die Betroffenen bewertet werden.

Wird im Übrigen die Meldepflicht nicht eingehalten, löst dies einen Bußgeldtatbestand nach Art. 83 DSGVO aus.

Das Papier der Aufsichtsbehörde: https://datenschutz-hamburg.de/assets/pdf/2018.11.15_Data%20Breach_Vermerk_extern.pdf

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen