Spring zum Hauptinhalt Spring zum Footer

Compliance Cloud | 05.06.2020

Data-Breach Meldungen nach DSGVO – Teil 3: Fristgerechte und vollständige Meldung

#Datenschutz

von Anne Katharina Stein

Nachdem die ersten Hürden im Meldeprozess eines Data-Breachs nach der EU-Datenschutzgrundverordnung (DSGVO), nämlich das Erkennen eines solchen und die Identifikation der Meldepflichten gemeistert sind, stellt sich für den Verantwortlichen die Frage, was und vor allem bis wann an die zuständige Datenschutzbehörde zu melden ist. Eben diese Teilbereiche der Data-Breach Meldung nach DSGVO sind Gegenstand des hier vorliegenden dritten und vorerst letzten Teils unserer entsprechenden Reihe.

Das “WAS” der Meldung einer Datenpanne gegenüber der zuständigen Behörde regelt Art. 33 Abs. 3 DSGVO. Er fordert vom Verantwortlichen:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten,

  • die Angabe der Kategorien betroffener Personen,

  • die Angabe der ungefähren Zahl der betroffenen Personen,

  • die Angabe der betroffenen Datenkategorien,

  • die Angabe der ungefähren Zahl der betroffenen personenbezogenen Datensätze,

  • die Angabe von Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,

  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten und

  • eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wer den zweiten Teil unseres Beitrags zum Thema Data-Breach Meldung gelesen hat, der wird erkennen, dass die allermeisten dieser Angaben schon für die Bewertung des Risikos für die Rechte und Freiheiten der betroffenen Personen benötigt und zusammentragen werden mussten. Schließlich zählen zu den Anhaltspunkten für die Risikobewertung eben die Art der Verletzung des Schutzes personenbezogener Daten, die Eigenschaften der Betroffenen, die Zahl der betroffenen Personen und die betroffenen Datenkategorien.

Darüber hinaus muss der Verantwortliche auch die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten bereits im Rahmen der Risikobewertung evaluieren und ist aufgrund der DSGVO immanenten Rechenschaftspflicht auch verpflichtet, ergriffene Maßnahmen zur Abmilderung von Folgen des Data-Breach zu dokumentieren.

Der Meldung nach Art. 33 DSGVO sind hier also – abgesehen von bereits dokumentierten Tatsachen – einzig die Kontaktdaten des Datenschutzbeauftragten respektive die einer anderen Ansprechperson hinzuzufügen. Einen wirklichen inhaltlichen bzw. dokumentarischen Mehraufwand bringt die Meldung folglich nicht, was in Anbetracht der Meldefrist doch beruhigend anmutet.

Diese Frist selbst wird in Art. 33 Abs. 1 DSGVO bestimmt. Demnach hat die Meldung eines Data-Breachs unverzüglich, spätestens aber binnen 72 Stunden zu erfolgen, nachdem die Verletzung des Schutzes personenbezogener Daten dem Verantwortlichen bekannt geworden ist. Fraglich erscheint hier aber, wann davon auszugehen ist, dass Ihnen als Verantwortlichen eine Datenpanne bekannt geworden ist.

Das hängt von den Umständen des Einzelfalls ab. Im einfachsten Fall, z.B. dem Verlust einer einzig in Papierform übermittelten Bewerbungsmappe, wird davon auszugehen sein, dass dem Verantwortlichen die Verletzung des Schutzes personenbezogener Daten in dem Moment bekannt wird, in dem er den Verlust eben dieser Mappe realisiert.

Nehmen wir aber z.B. den Fall an, der Verantwortliche erhält einen Anruf einer ihm unbekannten Person, die mitteilt, einen Trojaner in die Systeme des Verantwortlichen eingeschleust und dadurch unbeschränkten Zugriff auf dessen Kundendatenbank erhalten zu haben. Markiert dieser Anruf dann bereits den Beginn der 72-stündigen Meldefrist?

Auch hier liefert die DSGVO keine konkreten Anhaltspunkte für die Antwort auf diese Frage. Die Artikel-29-Datenschutzgruppe zumindest, ist gemäß ihrer Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten der Auffassung, dass dem Verantwortlichen hier eine gewisse Zeitspanne zusteht, um zu überprüfen, ob es tatsächlich zu einer Datenschutzverletzung gekommen ist, ohne dass die 72-stündige Meldefrist bereits zu laufen beginnt. Erst wenn der Verantwortliche also hinreichende Gewissheit darüber erlangt hat, dass tatsächlich von einem Eindringen in seine Systeme auszugehen ist, startet nach dieser Auffassung die Meldefrist.

Aus dieser Auslegung des Terms „bekannt geworden“ dürfen Sie nun aber keinesfalls schlussfolgern, dass sich Verantwortliche für das Überprüfen solcher Hinweise unbegrenzt Zeit nehmen dürfen oder die Überprüfung schlimmstenfalls ganz unterlassen können. Gehen Verantwortliche einem Hinweis, wie dem erwähnten Anruf, nicht nach oder haben sie keine Möglichkeit den Wahrheitsgehalt der Behauptung des Anrufers im Beispiel zu überprüfen, dann beginnt zwar die Meldefrist nach Art. 33 Abs. 1 DSGVO nicht zu laufen. Der Verantwortliche begeht aber mitunter dennoch einen Verstoß gegen datenschutzrechtliche Bestimmungen. Wie bereits im ersten Teil unseres Beitrags “Data-Breach Meldungen nach DSGVO” erwähnt, fordert nämlich die DSGVO vom Verantwortlichen, dass dieser geeignete Maßnahmen ergriffen hat, um Verletzungen des Schutzes personenbezogener Daten unverzüglich feststellen zu können. Wird die Datenschutzverletzung also bekannt - zum Beispiel durch den Anruf eines Hackers oder auch durch die Beschwerde eines Betroffenen, der seine Daten nun an anderer Stelle wiedergefunden hat oder von unserem Hacker sogar kontaktiert wurde - und der Verantwortliche unterlässt es, dem Hinweis nachzugehen und die Datenschutzverletzung und die ggf. bestehenden Risiken selbst zu erkennen und zu melden, dann wird die Behörde hier davon ausgehen können, dass solche Maßnahmen nicht oder nicht ausreichend implementiert wurden und den Verantwortlichen ebenso sanktionieren, wie für die unterlassene Meldung an sich.

Sie sind als Verantwortlicher also verpflichtet, jedem konkreten Hinweis auf einen Data-Breach nachzugehen und eine entsprechende Überprüfung einzuleiten. Dabei erwartet die Artikel-29-Datenschutzgruppe vom Verantwortlichen, dass diese Untersuchung schnellstmöglich beginnt und diese in einer vernünftigen Zeitspanne - für deren Festlegung auch die Schwere der drohenden Datenschutzverletzung zu berücksichtigen ist - abschließt (vgl. Artikel-29-Datenschutzgruppe: Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679).

Eine behördliche Entscheidung darüber, welche Zeitspanne hier als vernünftig anzusehen ist, ist uns zum heutigen Tag nicht bekannt. Welche Untersuchungsfristen die Datenschutzbehörden künftig also für angemessen halten werden, bleibt abzuwarten. In jedem Fall bleibt wohl aber festzuhalten, dass die 72-stündige Meldefrist erst dann beginnt, wenn der Verantwortliche mit hinreichender Gewissheit festgestellt haben, dass eine Datenschutzverletzung tatsächlich vorliegt, was wiederum von den Umständen des Einzelfalls abhängig ist.

Für das Überschreiten der Meldefrist drohen jedenfalls erhebliche Bußgelder, wie die Datenschutzbehörde in Hamburg Berichten von Business & More zur Folge unter Beweis gestellt hat. Wegen der verspätet erstatteten Meldung eines Data-Breachs, in Kombination mit der unterbliebenen Information der Betroffenen, verhängte diese ein Bußgeld in Höhe von EUR 20.000,00 – eines der bisher höchsten verhängten Bußgelder in Deutschland.

Zum Abschluss unseres dreiteiligen Beitrags zum Thema “Data-Breach Meldung nach DSGVO” können wir also festhalten, dass der richtige Umgang mit den Meldepflichten nach Art. 33 und auch Art. 34 DSGVO eine herausragende Bedeutung im Kontext Datenschutz und so auch für das Datenschutzmanagement hat. Als Fazit bleibt, dass jeder Verantwortliche:

  • in der Lage sein muss, einen Data-Breach schnellstmöglich als solchen zu erkennen und auch seine Mitarbeiter - z.B. durch Schulungen - in die entsprechende Lage zu versetzen,

  • sich im Klaren darüber sein muss, wann welche Meldepflichten greifen und nach welchen Anhaltspunkten diese zu identifizieren sind,

  • zwar eine angemessene Zeit zur Untersuchung eines vermuteten Data-Breachs beanspruchen kann, eine umfassende Meldung aber dennoch schnellstmöglich abzugeben ist und

  • wissen muss, dass im Hinblick auf Datenpannen - wie generell im Bereich Datenschutz - umfassenden Dokumentations- und Rechenschaftspflichten greifen.

Über den Autor

Aktuelles

Verwandte Beiträge