FAQ - Meldepflicht beim Datenschutzverstoss - Was müssen Unternehmen im Falle eines Datenschutzverstosses beachten?

Datenschutzverletzungen (oder Datenpannen) bei Unternehmen haben grundsätzlich eine enorme mediale Aufmerksamkeit. Je größer das Unternehmen und die auf dem Spiel stehende Reputation, desto höher ist auch die mediale Aufmerksamkeit bei Datenpannen. Aus diesem Grunde gilt es, als Unternehmen entsprechend vorbereitet zu sein, um einerseits Datenschutzverletzungen präventiv zu verhindern und andererseits im Falle einer Datenschutzverletzung adäquat reagieren und einschreiten zu können.

Die Datenschutzbehörden erhalten nahezu täglich Meldungen von unterschiedlichen Datenschutzverstößen. Letztlich werden immer mehr Fälle von Datenschutzverletzungen bekannt, die sehr hohe Zahlungen von Bußgeldern nach sich ziehen. Das bisher höchste Bußgeld für einen Datenschutzverstoß wurde von der französischen Datenschutzbehörde gegen Google verhängt und betrug 50 Millionen Euro. Das höchste Bußgeld, das eine deutsche Datenschutzbehörde unter der DSGVO verhängte war weitaus geringer und betrug jedoch immerhin 80 Tausend Euro. Erst vor kurzem wurde ein Datenschutzverstoß der Fluglinie British Airways bekannt, für den die zuständige Aufsichtsbehörde (ICO) ein Bußgeld in Höhe von ca. 200 Millionen Euro ankündigte. In diesem Fall gelangten unter anderem Zugangsdaten, Adressen, Namen, Reiseinformationen und Kreditkartennummern mit CVV Sicherheitsnummern von etwa 500.000 Kund(inn)en in fremde Hände. Im Hinblick auf die in der Anzahl steigenden Datenschutzvorfälle ist eine klare Tendenz der Aufsichtsbehörden dahingehend zu erkennen hohe Bußgelder zu verhängen, um die datenschutzrechtlich Verantwortlichen stärker in die Pflicht zu nehmen.

 Die nachfolgenden FAQ beschäftigen sich mit den akuten Fragen, die sich ein Unternehmen im Vorfeld und im Falle einer Datenpanne stellen muss.

Welche rechtlichen Voraussetzungen müssen vorliegen, damit eine Meldepflicht nach Art 33,34 DSGVO gegeben ist?

Die DSGVO sieht nach Art. 33 DSGVO eine Meldepflicht für Datenschutzverletzungen an die zuständige Aufsichtsbehörde vor. Unter bestimmten Voraussetzungen wird diese Meldepflicht um eine Pflicht zur Benachrichtigung der betroffenen Personen über eine Datenschutzverletzung nach Art. 34 DSGVO ergänzt.

Grundvoraussetzung für das Bestehen einer Meldepflicht ist zunächst die „Verletzung des Schutzes personenbezogener Daten“. Von der Begrifflichkeit „personenbezogene Daten“ im Sinne von Art. 2 Abs. 1 DSGVO ist daher nicht schon die bloße Verletzung einer IT-Infrastruktur ohne Zugriff auf Daten mit Personenbezug umfasst. Im Falle einer Datenpanne ist demnach vom Unternehmen im ersten Schritt stets exakt herauszufiltern, ob und welche personenbezogenen Daten konkret betroffen sind. Nur so lässt sich bestimmen, ob der Anwendungsbereich der DSGVO auch tatsächlich eröffnet ist. Nicht als personenbezogene Daten können beispielsweise reine Gesellschaftsbezeichnungen von juristischen Personen (XY GmbH) sein, wenn die Daten keine Rückschlüsse auf persönliche Verhältnisse einer beteiligten natürlichen Person zulassen. Die genaue Bestimmung der Art der personenbezogenen Daten kann sich später auf die zu treffende Risikoabwägung immanent auswirken. Demnach ist schon auf dieser Ebene vom Unternehmen eine sorgfältige Dokumentation erforderlich.

Der Begriff der „Verletzung des Schutzes personenbezogener Daten“ ist in Art. 4 Nr. 12 DSGVO als „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zu Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ definiert. Es ist demzufolge für das Vorliegen einer Datenschutzverletzung erforderlich, dass eine Sicherheitsverletzung gemäß Art. 32 DSGVO vorliegt, die in einem Verletzungserfolg (u.a. Vernichtung, Verlust, Veränderung, unbefugte Offenlegung) mündet. Hierbei kann es sich auch um Datenschutzverletzungen innerhalb eines Unternehmens handeln, z.B. sollten Gehaltsabrechnungen in die Hände von Mitarbeitern gelangen, die nicht zu dessen Einsichtnahme berechtigt sind.

Für das Vorliegen einer Meldepflicht muss die Datenschutzverletzung darüber hinaus zu einem Risiko für die „Rechte und Freiheiten einer betroffenen natürlichen Person“ führen. Erwägungsgrund 85 erläutert hierbei welche Risiken dies sein können. Hiernach geht es um Verletzungen, welche zu einem physischen, materiellen oder immateriellen Schaden beim Betroffenen führen können. Die konkrete Risikoabwägung im Einzelfall sollte bestenfalls von einem außenstehenden unabhängigen Gutachter vorgenommen werden, damit sich das Unternehmen im Falle einer möglichen Datenschutzverletzung auch gegenüber einer Aufsichtsbehörde entsprechend positionieren kann. Insbesondere im Falle eines nicht zu meldenden Datenschutzverstoßes ist eine solche Dokumentation (wenn möglich: kurze gutachterliche Prüfung der Meldepflicht) erforderlich.

Da eine Datenschutzverletzung auch vorliegt, wenn diese unbeabsichtigt geschieht, sind auch fahrlässige Fälle von Art. 4 Nr. 12 DSGVO umfasst. Klassische und (wahrscheinlich) selten meldepflichtige Datenschutzverletzungen, z.B in Form einer unbefugten Offenlegung, sind im irrtümlichen Falschversand von Dokumenten per Brief oder E-Mail zu sehen. Häufig geschieht dies in Unternehmen aufgrund technischer Fehler im Rahmen von systemseitigen Updates. Auch hinsichtlich solcher „kleinen“ Fälle ist eine hinreichende Dokumentation des Unternehmens erforderlich, denn auch solche Fälle bedürfen einer rechtlichen Überprüfung, insbesondere aufgrund der stets im Einzelfall zu treffenden Risikoabwägung.

Darüber hinaus setzt eine Benachrichtigung des Betroffenen nach Art. 34 DSGVO durch das Vorliegen einer Verletzung des Schutzes personenbezogener Daten ein voraussichtlich „hohes Risiko“ für die persönlichen Rechte und Freiheiten natürlicher Personen voraus.

Ausnahmen von der Pflicht zur Benachrichtigung nach § 34 Abs. 3 DSGVO können vorliegen, wenn geeignete technische und organisatorische Maßnahmen getroffen wurden, die verhindern, dass die befürchteten Risiken eintreten oder durch Maßnahmen sichergestellt wurde, dass das hohe Risiko für den Betroffenen aller Wahrscheinlichkeit nach nicht mehr besteht oder die Benachrichtigung mit unverhältnismäßig hohem Aufwand verbunden wäre, wobei der Betroffene dann stattdessen auf andere Weise zu informieren ist.

An wen ist ein Datenschutzverstoß zu melden?

Die Verletzung ist zunächst grundsätzlich an die gem. Art. 55 DSGVO zuständige Aufsichtsbehörde (ASB) zu melden. Maßgeblich für die Zuständigkeit einer nationalen ASB ist nach Erwägungsgrund 122, ob die betreffende Verarbeitung „im Rahmen der Tätigkeit einer Niederlassung des Verantwortlichen im Hoheitsgebiet ihres Mitgliedstaats“ stattfindet oder „Auswirkungen auf betroffene Personen im Hoheitsgebiet hat“ oder bei Verantwortlichen oder Auftragsverarbeitern ohne Niederlassung in der Union, ob diese auf „betroffene Personen mit Wohnsitz in ihrem Hoheitsgebiet ausgerichtet sind“.

Der häufigste Fall dürfte darin zu sehen sein, dass die Verletzung in Verbindung mit der Tätigkeit des Verantwortlichen steht, sodass der Verantwortliche die Meldung bei der ASB des Mitgliedsstaates macht, in welchem er seinen Sitz hat. Hat der Verantwortliche hingegen keine Niederlassung in der Union, sollte die Meldung dort vorgenommen werden, wo Auswirkungen auf betroffenen Personen zu befürchten sind.

Was ist zu tun, wenn ein Verstoß bezüglich grenzüberschreitender Datenverarbeitungen vorliegt? An wen melde ich dann den Datenschutzverstoß?

Besonders häufig kommen Datenschutzverstöße bei international agierenden Unternehmen vor, die grenzüberschreitende Auswirkungen haben. So kann es beispielsweise vorkommen, dass einzelne personenbezogene Daten von Mitarbeitern, die jeweils in verschiedenen EU-Mitgliedsstaaten tätig sind, die jedoch aufgrund der Gesellschaftsstruktur (z.B. kontrollierte Tochtergesellschaften) demselben Unternehmen zuzuordnen sind, zum Zwecke der Durchführung von Phishing-Attacken gehackt werden.

Ausgehend von den in Frage 3 angesprochenen Grundsätzen, könnte man zunächst zu der Ansicht gelangen jeden einzelnen Verstoß bezüglich jeden einzelnen Mitarbeiters bei der jeweils nationalen ASB zu melden. Es ist jedoch zulässig und im Hinblick auf praktische Gesichtspunkte äußerst zweckdienlich grenzüberschreitende Datenschutzverstöße an die „federführende“ ASB gemäß Art. 56 DSGVO zu melden. In diesen Fällen kommt das One-Stop-Shop-Prinzip für grenzüberschreitende Verarbeitungen innerhalb der EU zum Tragen. Dieses Prinzip bewirkt auf EU-Ebene für grenzüberschreitende Datenverarbeitungen, dass eine Zuständigkeit der ASB am Ort der Hauptniederlassung oder des Auftragsverarbeiters vorliegt.

Das One-Stop-Shop-Prinzip wird auch auf nationaler Ebene angewandt. Führt demzufolge eine nichtöffentliche Stelle mehrere Niederlassungen in verschiedenen Bundesländern, ist für die Ermittlung der federführenden Zuständigkeit der ASB gemäß § 40 Abs. 2 BDSG auf die Hauptniederlassung nach Art. 4 Nr. 16 DSGVO abzustellen. Dies hat zur Folge, dass auch auf nationaler Ebene von maßgeblicher Bedeutung ist, in welchem Bundesland der Sitz der Hauptverwaltung des Verantwortlichen gelegen ist.

Wann und wie schnell ist der Datenschutzverstoß zu melden?

Die Meldung ist gemäß Art. 33 Abs. 1 DSGVO „unverzüglich und möglichst binnen 72 Stunden“ zu machen, „nachdem die Verletzung bekannt wurde“.

Die Frist beginnt zu laufen, sobald der Verantwortliche vom Auftreten einer Datenschutzverletzung in einer Weise hinreichend Kenntnis erlangt, die ihm die Vornahme einer sinnvollen Meldung ermöglicht. Von einer Datenpanne betroffene Unternehmen müssen also schnell handeln und eine Prüfung der Meldepflicht anstoßen, wenn alle sachdienlichen Hinweise vorliegen, die eine sinnvolle Meldung des Datenschutzverstoßes möglich machen. Darüber hinaus trifft das Unternehmen eine Aufklärungspflicht des Sachverhalts. Der Verantwortliche kann sich nicht darauf berufen, dass eine Meldung aufgrund mangelnder Kenntnis nicht vorgenommen werden konnte. Es ist daher maßgeblich, ob die Datenschutzverletzung erkennbar gewesen wäre, wenn das Unternehmen der Verarbeitung und dem Stand der Technik angemessene Sicherheitsmaßnahmen zum Erkennen von Sicherheitslücken vorgenommen und entsprechende Berichts- und Dokumentationsprozesse implementiert hätte.

In welcher Form ist zu melden?

Art. 33 DSGVO macht zunächst selbst keine formalen Vorgaben zur Meldung der Datenschutzverletzung an die zuständige ASB. Die konkrete Meldung wird in aller Regel auf der Website der zuständigen ASB mittels Onlineformular vorzunehmen sein. Überdies sind einzelne formlose Nachmeldungen bestimmter Verstöße möglich.

Im Rahmen der Meldung sind zudem die bereits getroffenen und noch zu implementierenden Gegenmaßnahmen vom jeweiligen Unternehmen darzulegen. Auch hier ist ein sofortiges Handeln des Unternehmens erforderlich, um mögliche weitere Schäden einzudämmen und für die Zukunft zu verhindern.

Welche präventiven Maßnahmen sind von einem Unternehmen erforderlich?

Viele Verantwortliche/Unternehmen sind sich der einzelnen Datenpannen innerhalb ihres Unternehmens überhaupt nicht bewusst. Es ist daher ratsam ein Compliance Management System für Datenschutzverstöße zu implementieren und die einzelnen Fachabteilungen im Hinblick auf Datenschutzfragen entsprechend zu sensibilisieren. Im Falle eines möglichen Datenschutzverstoßes ist ein schnelles Handeln geboten. Insbesondere ist eine klare Dokumentationsstruktur vom Vorliegen der personenbezogenen Daten über die konkrete Datenschutzverletzung und die vorgenommene externe Prüfung der Meldepflicht bis hin zur Implementierung konkreter Gegenmaßnahmen erforderlich. Nur wer es beherrscht die genannten prozessual strukturierten Maßnahmen innerhalb des Unternehmens umzusetzen, ist auch in der Lage eine DSGVO konforme Handlungsschnelligkeit im Falle einer Datenpanne zu gewährleisten. 

8. Oktober 2019