Obwohl entsprechend dem erwähnten Gesetzespaket auch Fristen nach dem Allgemeinen Verwaltungsverfahrensgesetz, das unter anderem auf das Verfahren vor der Datenschutzbehörde Anwendung findet, ausgesetzt werden, herrscht hier weitestgehende Einigkeit darüber, dass eine Hemmung der Meldefristen nach Art. 33 DSGVO dadurch nicht bewirkt wird. Data-Breaches sind also auch während der aktuellen Krise binnen 72 Stunden an die zuständige Datenschutzbehörde zu melden.

Grund genug für uns, das Thema Data-Breach bzw. Meldung eines solchen einmal genauer zu beleuchten und aufzuzeigen, welche Schwierigkeiten dem Verantwortlichen hier begegnen können.

Ein Blick in die DSGVO gibt uns zu diesem Thema zunächst folgende Auskunft:

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ (Art. 33 Abs. 1 DSGVO)

Soweit so klar? Oder doch nicht?

Wagen Sie doch gedanklich einmal das Experiment und legen sie den zitierten Art. 33 Abs. 1 DSGVO ihren Kollegen aus den verschiedensten Abteilungen vor. Was glauben Sie? Wie viele davon wissen nach dem ersten Lesen, was sie hier wann zu tun haben, bzw. welche Pflichten sich aus eben diesem Art. 33 Abs. 1 DSGVO ergeben? Und dabei gehen wir schon davon aus, dass jeder weiß, wer dieser „Verantwortliche“ im Sinne der DSGVO überhaupt ist und, dass auch dokumentiert ist, wer die zuständige Datenschutzbehörde ist.

Natürlich kann man jetzt sagen: Wenn sämtliche Unternehmensdaten verschwunden, durch einen Trojaner verschlüsselt oder das Kunden-Adressbuch auf einmal online für jedermann verfügbar ist, dann wird wohl jedem klar sein, dass hier ein sogenannter Data-Breach - eine Datenpanne - vorliegt. Ich wage aber zu behaupten, dass es nicht immer so offensichtlich ist, dass hier etwas, nennen wir es „Art. 33-relevantes“ passiert ist. Das liegt daran, dass auch Fälle, die aus Sicht eines Unternehmens nicht ein sogenannter ‘Katastrophen-Fall im Datenschutz’ sind und die nicht das Business Continuity Management Team auf den Plan rufen, meldepflichtig sein können. Darüber hinaus sage ich auch: Der Unternehmensjurist, der Compliance-Beauftragte, der Datenschutzbeauftragter oder ein Teil der Geschäftsführung wird ohne die Mithilfe seiner Mitarbeiter in vielen Fällen überhaupt nicht in der Lage sein, solche Vorfälle zu erkennen, sie richtig einzuordnen und eine entsprechende Meldung abzugeben.

Doch wie in vielen anderen Fällen auch, schützt Unwissenheit hier nicht vor Strafe! Man mag zunächst zwar denken: Wenn ich bzw. meine Kollegen einen Data-Breach nicht erkennen, dann haben wir auch nichts zu melden. Schließlich läuft die Meldefrist – dazu später mehr – ja erst „nachdem [……] die Verletzung bekannt wurde“. Ein Blick in Erwägungsgrund (EWG) 87 der DSGVO belehrt hier aber eines Besseren. Dort heißt es zusammengefasst:

Der Verantwortliche muss nachweisen können, dass: „organisatorische[n] Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können“.

Der Verantwortliche ist nach der DSGVO also verpflichtet, jedem Mitarbeiter – der mit personenbezogenen Daten zu tun hat - das Werkzeug an die Hand zu geben, einen sogenannten Data-Breach zu erkennen. Tut er das nicht, leistet er sich schon den ersten Meldeverstoß, indem er es nämlich versäumt, einen meldepflichtigen Vorfall als solchen zu erkennen und eben zu melden. Die erste Hürde bei der Erfüllung der Meldepflichten nach Art. 33 (und Art. 34 - auch dazu später mehr) DSGVO liegt also offenbar schon im Erkennen einer solchen Datenpanne im Sinne der DSGVO.

Widmen wir uns daher nun dem Begriff “Data-Breach” oder “Verletzung des Schutzes personenbezogener Daten” - wie es in der DSGVO heißt - genauer: Zu melden ist hier „ein Fall der Verletzung des Schutzes personenbezogener Daten“. Die DSGVO selbst definiert „Verletzung des Schutzes personenbezogener Daten“ in Art. 4 Ziffer 12 als „eine Verletzung der Sicherheit […]“. Das hilft zunächst nicht sonderlich weiter.

Durchsucht man die DSGVO weiter, zeigt sich, dass sich der ‘Sicherheit personenbezogener Daten’ ein ganzer Abschnitt der Verordnung widmet. Kapitel IV Abschnitt 2 der DSGVO trägt sogar den entsprechenden Namen. Schaut man aber genauer hin, wird man schnell feststellen, dass der besagte Abschnitt nicht sonderlich ergiebig ist. Er umfasst ganze drei Artikel. Zwei davon, Artikel 33 und Artikel Artikel 34 DSGVO regeln die Meldepflichten. Auch Artikel 32, der ebenfalls zu besagtem Abschnitt gehört und sogar explizit den Titel ‘Sicherheit der Verarbeitung’ trägt, definiert nicht etwa was es damit auf sich hat, sondern schreibt in erster Linie vor, dass der Verantwortliche eine Reihe von Maßnahmen zur Sicherung von Daten ergreifen muss.

Eine genaue Definition der ‘Sicherheit von personenbezogenen Daten’ ist auch hier nicht zu finden. Zumindest lässt sich aber ableiten, dass ‘Sicherheit der personenbezogenen Daten‘ oder ‚Datensicherheit‘ also ein Zustand ist, der durch das Umsetzen gewisser Maßnahmen erreicht werden kann.

Der Duden wiederum definiert ‘Sicherheit’ als: „Zustand des Sicherseins, Geschütztseins vor Gefahr oder Schaden; höchstmögliches Freisein von Gefährdungen“. Vielleicht kann man das Pferd also von hinten aufzäumen, indem man Art. 4 Ziffer 12 DSGVO ein Stück weiterliest. Dort nämlich, werden eben diese Gefahren, vor denen personenbezogene Daten zu schützen sind - um sicher zu sein - aufgezählt. Es handelt sich hier um die unbeabsichtigte oder unrechtmäßige Vernichtung, Veränderung und Offenlegung sowie den unbeabsichtigten Verlust und den unbefugten Zugang zu personenbezogenen Daten.

Diese Begriffe kommen jedem, der schon einmal mit dem Thema Informationssicherheit zu tun hatte vermutlich sehr bekannt vor. Informationswerte werden hier – also im Kontext der Informationssicherheit - als ‘sicher’ klassifiziert, wenn ihre Verfügbarkeit, Integrität und Vertraulichkeit jederzeit garantiert werden kann. Verfügbarkeit meint dabei, dass jeder Berechtigte, wann immer nötig Zugriff auf Informationswerte haben soll. Was steht dem entgegen? Die unbeabsichtigte oder unberechtigte Vernichtung bzw. der unbeabsichtigte Verlust. Integrität meint im Kontext der Informationssicherheit die Vollständigkeit und Richtigkeit von Daten. Dem entgegen steht die unbeabsichtigte oder unberechtigte Veränderung. Vertraulichkeit schließlich fordert, dass der Zugriff auf Informationen nur dann erfolgen darf, wenn hierzu eine Berechtigung und eine Notwendigkeit bestehen. Das wird – der aufmerksame Leser ahnt es bereits – durch unbefugte Offenlegung und unbefugten Zugang korrumpiert.

Als ‘Sicherheit von personenbezogenen Daten’ kann also – in Anlehnung an die Definitionen der Informationssicherheit – die jederzeitige Garantie der Verfügbarkeit, Integrität und Vertraulichkeit eben dieser Daten interpretiert werden. Als ‘Verletzung des Schutzes personenbezogener Daten’, also als ‘Art. 33 relevanter Vorfall’ - muss demnach jeder Fall klassifiziert werden, in dem die Verfügbarkeit, Integrität oder Vertraulichkeit personenbezogener Daten nicht mehr garantiert ist.

Wann immer Sie oder Ihre Kollegen also feststellen, dass personenbezogene Daten:

• vernichtet werden oder wurden, ohne dass das so geplant oder in Auftrag gegeben oder gerechtfertigt war,

• trotz Berechtigung und Notwendigkeit nicht zugänglich sind,

• verloren gegangen sind,

• verändert werden, ohne dass dafür eine Rechtfertigung ersichtlich ist,

• unbefugt weitergegeben werden oder wurden oder

• von unbefugten Dritten zur Kenntnis genommen werden oder werden können,

dann müssen Ihre inneren ‘Alarmglocken’ – besser einmal zu viel als zu wenig – läuten. Hier liegt die Verletzung des Schutzes personenbezogener Daten, also ein Data-Breach vor, dessen Nicht-Erkennen bereits bußgeldbewehrt ist und dessen Vorliegen zu einer Meldepflicht führen kann.

Kann? Ja, kann! Dass nämlich nicht jeder Data-Breach an die Behörde (und an die Betroffenen) gemeldet werden muss, erfahren Sie im zweiten Teil unseres Beitrags „Data-Breach Meldungen nach DSGVO“.