Wann ein Data-Breach vorliegt, ist inzwischen also klar. Immer dann, wenn die Vertraulichkeit, Integrität oder Verfügbarkeit von personenbezogenen Daten, also deren Sicherheit verletzt ist, ist eine Datenpanne anzunehmen. Ist das der Fall und hat der Verantwortliche den Data-Breach erkannt, kann dieser sowohl gegenüber der Datenschutzbehörde als auch gegenüber den Betroffenen eine Meldepflicht auslösen. Das Wort “kann” ist hierbei bewusst gewählt, denn dass nicht jeder Data-Breach eine solche Meldepflicht nach sich zieht, ist Thema dieses Teils unseres Beitrags.

In Deutschland waren nach dem bis zum 24. Mai 2018 geltenden § 42a des Bundes­datenschutz­gesetzes (BDSG-alt) nur solche Datenpannen an die zuständige Aufsichtsbehörde zu melden, durch die bestimmte Datenkategorien betroffen waren. Das hat sich durch die Anwendbarkeit der DSGVO - und zwar einheitlich im gesamten Unionsgebiet - geändert. Mittlerweile ist der Aufsichtsbehörde jede Verletzung des Schutzes personen­bezogener Daten zu melden, es sei denn, und auch das steht in Art. 33 Abs. 1 DSGVO, dass: „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt”.

Ob das der Fall ist, hat der Verantwortliche nach den Aussagen der Artikel 29-Datenschutzgruppe - jetzt der Europäische Datenschutzausschuss (EDSA), bestehend aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten - im Einzelfall und nach objektiven Kriterien zu prüfen (vgl. Artikel-29-Datenschutzgruppe: Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679). Dabei ist gemäß Erwägungsgrund (EWG) 76 DSGVO sowohl die Eintrittswahrscheinlichkeit als auch die Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen zu berücksichtigen. Aus den Erwägungsgründen 75 und 94 Satz 2 DSGVO leiteten die unabhängigen Datenschutzbehörden des Bundes und der Länder in Deutschland (Datenschutzkonferenz – DSK) dabei für den Begriff Risiko die folgende Definition her:

„Ein Risiko im Sinne der DSGVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.“ (DSK – Datenschutzkonferenz, Kurzpapier Nr. 18 Risiko für die Rechte und Freiheiten natürlicher Personen)

Hier gibt die DSGVO selbst dem Verantwortlichen, in Erwägungsgründen 85 und 75, weitere Hinweise. Sie sagt nämlich, dass sich Risiken für die Freiheiten natürlicher Personen insbesondere dann ergeben, wenn die Verarbeitung der Daten zu einem physischen, materiellen oder immateriellen Schaden bei eben diesen Personen führen kann.

Von einem solchen Schaden wiederum ist laut DSGVO auszugehen, „wenn die Verarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, einem finanziellen Verlust, einer Rufschädigung […] oder einem anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteil führen kann“ (EWG 75 DSGVO).

Nach EWG 85 DSGVO ist von einem solchen Risiko insbesondere dann auszugehen, wenn:

• durch den Data-Breach die Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten verletzt wurden,

• die Pseudonymisierung von personenbezogen Daten unbefugt aufgehoben wurde oder

• wenn die Betroffenen durch den Data-Breach daran gehindert werden, die Kontrolle über die sie betreffenden Daten auszuüben.

Die Artikel 29-Gruppe weist in ihren Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten zudem darauf hin, dass die Bewertung des mit einem Data-Breach verbundenen Risikos für die Rechte und Freiheiten der betroffenen Personen einen anderen Schwerpunkt hat als die Risikobewertung, die im Rahmen einer Datenschutz-Folgenabschätzung (DSFA) durchgeführt wird. Bei der DFSA werden die generelle Eintrittswahrscheinlichkeit einer Verletzung sowie der potenziell daraus folgende Schaden für die betroffene Person geprüft; mit anderen Worten, es wird ein hypothetisches Ereignis bewertet. Bei einem tatsächlich eingetretenen Data-Breach hat sich der Vorfall bereits ereignet, sodass der Fokus ausschließlich auf dem Risiko der Folgen liegt, die eben diese Datenpanne für die Betroffen hat.

Anhaltspunkte für die Risikobewertung können sich dabei ergeben aus:

• Art der Datenschutzverletzung

• Art, Sensibilität und Umfang personenbezogener Daten

• Identifizierbarkeit betroffener Personen

• Schwere der Folgen für die betroffenen Personen

• besonderen Eigenschaften der betroffenen Person

• besonderen Eigenschaften des Verantwortlichen

• Zahl der betroffenen Personen und

• allgemeinen Aspekte.

Nehmen Sie vor diesem Hintergrund beispielhaft den Versand eines E-Mail Newsletters mit offenem, also sichtbarem Verteiler an 15 Personen an. Der Absender ist der renommierte Psychotherapeut einer beschaulichen Kleinstadt, der im Newsletter unter der Ansprache “Liebe Patienten” darüber informiert, dass er ab sofort eine für den Empfänger äußerst empfehlenswerte neue Therapie zur Bekämpfung von Alkoholsucht anbietet. Der ganz überwiegende Teil der im Verteiler angezeigten E-Mail-Adressen gibt dabei den vollen Namen der Empfänger wieder.

Die Art der Schutzverletzung, die unbefugte Offenlegung personenbezogener Daten ist hier schnell erkannt. Offengelegt wird zunächst die jeweilige E-Mail-Adresse der Betroffenen, was soweit noch relativ unkritisch erscheint. Offengelegt wird aber auch die Information, dass es sich bei diesen Personen um Patienten des Psychotherapeuten handelt. In der Kleinstadt und anhand des Aufbaus der E-Mail-Adressen sind diese Personen für die jeweils anderen Empfänger wohl auch relativ leicht identifizierbar, wobei das Bekanntwerden der Tatsache, dass sie Patienten sind, für die eine Therapie im Bereich Suchtbekämpfung empfehlenswert ist, durchaus auch gravierende persönliche Folgen haben könnte. Die Anzahl der Betroffenen ist mit 15 zwar recht überschaubar, aber sowohl unser Verantwortlicher als Mediziner als auch unsere Betroffenen als Patienten bzw. als offenbar Suchtkranke weisen besondere Eigenschaften auf.

Alles in allem kann hier also sicher davon ausgegangen werden, dass ein Risiko für die Rechte und Freiheiten der Betroffenen besteht und, dass der Vorfall nach Art. 33 Abs. 1 DSGVO zwangsläufig an die Datenschutzbehörde zu melden ist.

Verändert man aber nur einige wenige Kleinigkeiten in diesem Fallbeispiel, kann sich diese Bewertung möglicherweise ändern. Nimmt man nämlich an, der Newsletter würde noch immer vom selben Therapeuten, in derselben Kleinstadt, mit offenem Verteiler, an dieselben 15 Personen versendet. Diese würden nun aber als “Freunde des Hauses“ angesprochen und über das neue Therapieangebot lediglich informiert, wobei die E-Mailadressen nur den jeweiligen Vornamen der Betroffenen enthalten, dann bleibt die Art der Datenschutzverletzung – nämlich die unbefugte Offenlegung personenbezogener Daten gleich. Auch die Anzahl und die Eigenschaften der Betroffen verändern sich nicht. Ebenso wenig die Eigenschaften des Therapeuten. Die Betroffenen werden nun aber nicht mehr als Patienten - sagen wir „geoutet“ - und sind auch nicht mehr – zumindest nicht ohne einigen Aufwand zu betreiben – für die übrigen Empfänger identifizierbar.

Betroffen von dem Data-Breach sind hier also keine sensiblen Daten bzw. Informationen über die Betroffenen mehr und auch die mögliche Folge des Vorfalls – nämlich die unbefugte Weiterverwendung der E-Mail-Adresse des Betroffenen durch einen der 14 übrigen Empfänger – ist weniger gravierend als das ‘Outing’ als Suchtpatient. Ob hier also noch eine Meldepflicht besteht, könnte man folglich zur Diskussion stellen und im Ergebnis wohl sogar verneinen.

Noch deutlicher wird die Tatsache, dass nicht jeder Data-Breach eine Meldepflicht nach Art. 33 DSGVO auslöst an einem weiteren kleinen Beispiel. Nehmen Sie dafür an, im Serverraum eines Verantwortlichen kommt es zu einem kurzen aber doch mehrere Minuten andauernden Stromausfall, sodass die Mitarbeiter der Marketing-Abteilung in dieser Zeit nicht auf die Kundendaten zugreifen und diesen nicht wie geplant um 13:00 Uhr eine aktuelle Direktwerbung senden können.

Eine Schutzverletzung – nämlich die der Verfügbarkeit der Kundendaten liegt offensichtlich auch hier vor. Mitunter sind - je nach Art oder Branche des Verantwortlichen - auch sensible Daten betroffen, die betroffenen Personen sind identifizierbar, haben vielleicht besondere Eigenschaften und die Anzahl der betroffenen Datensätzen ist groß. Die einzig zu erwartende Folge für die Betroffenen ist hier aber, dass sie - wie alle anderen auch - die Werbung einige Minuten später als geplant erhalten. Dabei ist sogar davon ausgehen, dass die Betroffenen dies gar nicht realisieren werden, weil sie den ursprünglich geplanten Zeitpunkt für den Versand gar nicht kennen. Ein Risiko für die Rechte und Freiheiten der Betroffenen ist hier also nicht ohne weiteres zu erkennen und eine Meldepflicht besteht – trotz offensichtlichem Data-Breach – nicht.

Wichtig ist an dieser Stelle ist aber, dass alle damit in Zusammenhang stehenden Überlegungen zu dokumentieren sind, um ggf. nachweisen zu können, dass hier eine Risikobewertung angestellt und warum der Schluss gezogen wurde, eine Meldepflicht läge nicht vor. Das verlangt auch schon Art. 33 Abs. 5 DSGVO als Ausprägung der in der DSGVO vielfach hervorgehobenen Rechenschaftspflicht des Verantwortlichen.

Um auf Nummer sicher zu gehen, sollte eine Meldepflicht jedenfalls nur dann verneint und die Meldung unterlassen werden, wenn das Bestehen eines Risikos für die Rechte und Freiheiten der Betroffenen ausgeschlossen werden kann. Kommt der Verantwortliche im Gegenteil aber zu dem Schluss, dass hier nicht nur ein Risiko, sondern sogar ein hohes Risiko für die Betroffen vorliegt, muss der Vorfall – also die Datenpanne – nicht nur der Behörde, sondern auch den Betroffenen Personen angezeigt werden. Das bestimmt der Art. 34 Abs. 1 DSGVO.

Der Grund dafür, dass der europäische Gesetzgeber hier eine höhere Schwelle für die Benachrichtigung der Betroffenen eingezogen hat, kann darin gesehen werden, dass Betroffene nicht verunsichert und (vielleicht sogar rein vorsorglich) mit Meldungen überflutet werden. Besteht aber ein hohes Risiko, dann begründet die DSGVO die Benachrichtigung der Betroffenen in Erwägungsgrund 86 damit, dass diese die Möglichkeit erhalten sollen, eigene Vorkehrungen zur Milderung der drohenden Folgen treffen zu können.

Unterlässt der Verantwortliche die geforderte Benachrichtigung der Betroffenen, begründet auch das (sofern kein Ausnahmetatbestand des Art. 34 Abs. 3 DSGVO greift) einen Meldeverstoß.

Ob ein solcher Meldeverstoß vorliegt, hatte die österreichische Datenschutzbehörde am 08.08.2018 (DSB, Bescheid vom 8. August 2018, GZ: DSBD084.133/0002-DSB/2018) zu bescheiden. Im dort gegenständlichen Fall hatte der Landesverband eines Hilfs- und Rettungsverbandes festgestellt, dass während des Einsatzes eines Notarzteinsatzfahrzeuges das dort üblicherweise mitgeführte „Suchtgiftbuch“ verloren gegangen war. In diesem Suchtgiftbuch wurden - wie vom Suchtmittelgesetz gefordert - die Ein- und Ausgänge des Suchtmitteldepots dieser Einsatz-Ressource sowie Angaben zu Patienten, denen diese Suchtmittel verabreicht wurden, dokumentiert. Auf Nachfrage der Behörde hin, teilte der Verantwortliche mit, dass eine Unterrichtung der Betroffenen nicht erfolgt sei und führte mit ausführlicher Begründung an, dass kein hohes Risiko für die Rechte und Freiheiten der Betroffen bestünde. Die Datenschutzbehörde hingegen kam zu dem Ergebnis, dass eine drohende hohe Schadensschwere schon dadurch begründet sei, dass hier Gesundheitsdaten in einem erheblichen Umfang von der Datenpanne betroffen sind und stellte im Ergebnis fest, dass auch kein Ausschlussgrund nach Art. 34 Abs. 3 DSGVO einschlägig sei und dass eine Benachrichtigung der Betroffenen Patienten zu erfolgen habe. Im Hinblick auf die Betroffenen Notärzte und Sanitäter - über die wohl immerhin vermerkt gewesen sein muss, wann sie ihren Dienst verrichtet haben und welche Medikamente sie verabreicht haben - hingegen bestünde auch nach Ansicht der Behörde keine Benachrichtigungspflicht.

Die Datenschutzbehörde hat hier also entschieden, dass der Verantwortliche bei seiner Risikobewertung zu einem aus Sicht der Behörde falschen Ergebnis gelangt ist und folglich zunächst gegen seine Meldepflicht gegenüber den betroffenen Patienten nach Art. 34 Abs. 1 DSGVO verstoßen hat. Sie wies auch darauf hin, dass die Unterrichtung der Betroffenen gem. Art. 34 Abs. 1 DSGVO eigentlich „unverzüglich“ zu erfolgen gehabt hätte, verhängte im konkreten Fall allerdings keine Strafe, sondern machte lediglich von ihrem Recht nach Art. 34 Abs. 4 DSGVO Gebrauch und legte dem Verantwortlichen per Spruch auf, die betroffenen Patienten binnen einer Frist von vier Wochen zu benachrichtigen und einen entsprechenden Nachweis darüber bei der Behörde einzureichen.

Zusammenfassend lässt sich hier folglich feststellen, dass nicht nur nicht jeder Data-Breach eine Meldepflicht gegenüber der Behörde auslöst, sondern dass auch unterschiedliche Betroffenengruppen ein und derselben Datenpanne im Hinblick auf eine Meldung unterschiedlich zu behandeln sein können. Wichtig ist in jedem Fall die umfassende Dokumentation aller hier berücksichtigten Umstände.

Erfolgt nämlich eine solche umfassende Dokumentation aller zur Risikobewertung herangezogenen Aspekte, dann stellt die Meldung selbst inhaltlich keinen großen Mehraufwand mehr dar. Was genau sie der Behörde nach Art. 33 Abs. 3 DSGVO mitteilen müssen und welchen Zeitrahmen Sie dabei einhalten müssen, erfahren Sie in Teil 3 unseres Beitrages “Data-Breach Meldungen nach DSGVO”.