Verschärfte Meldepflichten - am Beispiel der Datenpanne bei Comdirect und helpling.de

Ab dem 28.5.2018 gilt die europäische Datenschutzgrundverordnung (DSGVO) und muss dann ohne weitere Übergangszeit beachtet werden. Eine der wohl erheblichsten Neuerungen sind die deutlich verschärften Meldepflichten. Unternehmen sollten sich bereits jetzt eingehend mit den ab Mai 2018 geltenden Anforderungen beschäftigen und ihre Abläufe und Prozesse rechtzeitig anpassen.

Was war passiert?

Helpling.de:
Ein grober Fehler bei der Systemumstellung hat Anfang Juni 2016 bei der Vermittlungsplattform für Putzhilfen „helpling.de“ offensichtlich zu einer Datenpanne geführt. So war es für eingeloggte Kunden möglich, neben den eigenen Rechnungen auch die anderer Kunden  und damit deren personenbezogene Daten, wie z.B. Adresse, Stockwerk, Kundennummer aber auch die Adresse und in Einzelfällen sogar Steuer-Identifikationsnummer der jeweiligen Reinigungskraft einzusehen.

Comdirect:
Noch heftiger traf es Kunden der Comdirect: Mitte Juni landeten Kunden nach ihrem Online-Log-in nicht in ihrem eigenen Online-Konto, sondern in dem eines anderen Kunden. Dort konnte sich der Kunde frei bewegen und sämtliche Daten und Kontodetails des fremden Kontoinhabers einsehen. Offensichtlich hatte auch dort ein Software-Update zu der Datenpanne geführt.

Welche Meldepflichten bestehen aktuell?

Bislang sind Unternehmen gemäß § 42a BDSG zur Meldung von Datenschutzverstößen an die Betroffenen und an die zuständige Aufsichtsbehörde nur dann verpflichtet, wenn die Datenpanne besondere Arten personenbezogener Daten betrifft (z.B. besonders sensible Daten, Bank- oder Kontodaten usw.). Die Meldepflicht gilt zudem nur, wenn Daten unrechtmäßig übermittelt oder Dritten auf sonstige Weise unrechtmäßig zur Kenntnis gelangt sind und wenn schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.

Während für Helpling - abgesehen von einem möglichen Image- bzw. Vertrauensverlust – nach aktuellem Recht das Risiko datenschutzrechtlicher Konsequenzen wohl eher gering ist, bestand für Comdirect wohl bereits nach aktuellem Recht die Pflicht, die Datenpanne zu melden. Mit der Einsichtsmöglichkeit in fremde Konten waren besonders sensible Daten betroffen und sind Dritten unrechtmäßig zur Kenntnis gelangt. Das Bekanntwerden von Kontodaten gehört ohne jeden Zweifel zu den schutzwürdigen Interessen eines Kontoinhabers.

Doch welche Konsequenzen hätte die Datenpannen 2 Jahre später, also nach In-Kraft-treten der Datenschutzgrundverordnung, nach sich gezogen?

Was bedeutet das für die Zukunft?

Gegenüber den aktuellen Meldepflichten werden die ab Mai 2018 geltenden Meldepflichten deutlich verschärft:

I. Meldung an die Aufsichtsbehörde

1. Meldepflicht

Gemäß Art. 33 Abs. 1 DSGVO hat der Verantwortliche die zuständige Aufsichtsbehörde bei Datenpannen, also bei jeder „Verletzung des Schutzes personenbezogener Daten“ unverzüglich zu benachrichtigen. Die Meldepflicht gilt damit für jeden Fall der rechtswidrigen Datenverarbeitung, also auch bei jeder rechtswidrigen Zerstörung, Veränderung oder dem rechtswidrigen Verlust von Daten, auch bei versehentlicher Verletzung und nicht mehr nur dann, wenn Dritte unbefugt Zugriff auf Daten erlangen.

Unverzüglich bedeutet in diesem Zusammenhang möglichst binnen 72 Stunden, nachdem dem Verantwortlichen die Verletzung bekannt geworden ist. Wird diese Frist nicht eingehalten, ist der Meldung an die Aufsichtsbehörde eine Begründung für die Verzögerung beizufügen.

2. Ausnahme Risikoabwägung

Einer Meldung bedarf es laut DSGVO nur dann nicht, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Ob Risiken für natürliche Personen wahrscheinlich sind, ist unter Berücksichtigung des Risikokatalogs in Erwägungsgrund 75 DSGVO abzuwägen. Die Risikoabschätzung sollte dokumentiert werden.

Die Meldepflicht gilt damit ab Mai 2018 für alle Arten personenbezogener Daten und nicht mehr nur für besonders sensible Daten.

3. Anforderungen an die Meldung

Gemäß Art. 33 Abs. 3 DSGVO muss die Meldung einer Datenpanne zumindest folgende Informationen enthalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

4. Dokumentationspflicht

Der Verantwortliche ist gemäß Art. 33 Abs. 5 DS-GVO zudem darüber hinaus zur umfassenden Dokumentation der Datenpanne, ihrer Auswirkungen sowie der nach der „Panne“ ergriffenen Maßnahmen verpflichtet. Diese Dokumentation soll der Aufsichtsbehörde die Überprüfung ermöglichen.

II. Meldung an die Betroffenen

1. Meldepflicht

Ist eine Datenpanne mit einem „hohen Risiko“ für die persönlichen Rechte und Freiheiten natürlicher Personen verbunden, müssen neben der Aufsichtsbehörde auch die Betroffenen gemäß Art. 34 Abs. 1 DSGVO unverzüglich benachrichtigt werden.

2. Anforderungen an die Meldung

Die Benachrichtigung muss klar und in einfacher Sprache formuliert sein und – ähnlich wie bei der Anzeige an die Aufsichtsbehörde – mindestens folgende Informationen enthalten:

  • Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • Beschreibung der wahrscheinlichen Folgen der Datenpanne,
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

3. Ausnahme

Eine Ausnahme von der Benachrichtigungspflicht gegenüber den einzelnen Betroffenen liegt vor, wenn

  • der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, z.B. durch Verschlüsselung,
  • der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
  • dies mit einem unverhältnismäßigen Aufwand verbunden wäre.

Sofern unter diesen Voraussetzungen die individuelle Benachrichtigung einer großen Vielzahl von Betroffenen unverhältnismäßig wäre, hat stattdessen aber eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

III. Folgen eines Verstoßes

Bei einem Verstoß gegen die Meldepflicht droht ein empfindliches Bußgeld von bis zu 10 Mio. Euro oder 2 % des weltweit erzielten Jahresumsatzes (Art. 83 Abs. 4 lit. a DSGVO)

IV. Konsequenzen für Comdirect und Helpling.de

Statt einer Meldepflicht nur für besonders sensible Daten, besteht ab Mai 2018 eine Meldepflicht für jede Verletzung des Schutzes personenbezogener Daten. Nicht nur Datenverstöße wie die von Comdirect, bei denen Bankdaten betroffen sind, müssen dann gemeldet werden. Auch Helpling.de hätte die Panne in jedem Fall sowohl der zuständigen Datenschutzbehörde als auch den Betroffenen mitteilen müssen. Beide Unternehmen hätten ihrer Meldepflicht spätestens innerhalb von 72 Stunden nach ihrem Bekanntwerden der Datenpanne nachkommen müssen. Die Meldungen an die Behörden hätten zudem die aufgezeigten Anforderungen aus § 33 Abs. 3 DSGVO erfüllen müssen. Dies hätte insbesondere die Risikoabwägung umfasst, ob ggf. eine Ausnahme von der Meldepflicht besteht, ebenso wie die konkreten Maßnahmen, die zur Behebung der Verletzung des Schutzes der betroffenen Daten ergriffen worden sind.

Mit Blick auf 2018 ist klar: im Falle einer Datenpanne müssen Unternehmen schneller und umfassender reagieren, als das ggf. jetzt noch der Fall ist. Während sich für Comdirect bei einer Datenpanne zwei Jahre später „nur“ der Umfang der Meldepflichten erhöht hätte, hätte für Helpling – anders als zum jetzigen Zeitpunkt – überhaupt erst eine Meldepflicht bestanden.
Für beide Unternehmen gilt: wären sie ihren zu diesem Zeitpunkt  zweifelsfrei bestehenden Meldepflichten nicht oder nicht vollständig nachgekommen - zum Beispiel, weil die Meldung zu spät erfolgt oder die Dokumentation lückenhaft gewesen wäre - hätte ein empfindliches Bußgeld gedroht, dessen Höhe ein Start-up, aber auch etablierte Unternehmen oder Banken wie die Comdirect durchaus in arge Bedrängnis bringen können.

V. Fazit

Das neue Datenschutzrecht erhöht die Anforderungen an die Unternehmen hinsichtlich der Meldepflichten deutlich. Unsicherheiten gibt es in diesem Zusammenhang insbesondere im Hinblick auf die durch das Unternehmen vorzunehmende Risikoabwägung. Es ist zu erwarten, dass die Aufsichtsbehörden das neue Recht möglichst eng auslegen werden.

Umso wichtiger ist es, dass die Unternehmen sich auf die neuen Herausforderungen vorbereiten. Es ist dringend empfehlenswert bis Mai 2018 interne Richtlinien zu entwickeln und umzusetzen, die eine unverzügliche Meldung aller Datenschutzverstöße einschließlich möglicher Verdachtsfälle beim betrieblichen Datenschutzbeauftragten oder der Unternehmensleitung gewährleisten. Geschieht dies nicht und meldet ein Unternehmen eine Datenpanne dann nicht oder ist es mangels entsprechender Dokumentation nicht in der Lage, die umfassenden gesetzlichen Anforderungen an die Meldung zu erfüllen, drohen empfindliche Bußgelder.

Weitere Informationen zu den wichtigsten betrieblichen Fragestellungen zur DSGVO finden Sie in dem neuen Praxishandbuch von HÄRTING „Datenschutz- Grundverordnung- Das neue Datenschutzrecht in der betrieblichen Praxis“, welches zur Begleitung der betrieblichen Umsetzung als auch als Schulungsbuch für die Mitarbeiter geeignet ist!

http://www.haerting.de/neuigkeit/datenschutz-grundverordnung-das-neue-datenschutzrecht-der-betrieblichen-praxis-0

10. August 2016