Datenschutz-Grundverordnung: Meldung von Verstößen

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. 

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit. 

Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.

Eine Verletzung des Schutzes personenbezogener Daten kann erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person bedeuten. Der Verantwortliche hat daher eine Schutzverletzung unverzüglich und möglichst binnen 72 Stunden der Aufsichtsbehörde zu melden.

Geldbuße bis zu 10 Mio. EUR oder bis 2 % des gesamten weltweit erzielten Jahresumsatzes (Art. 83 Abs. 2 lit. a) sowie behördliche Maßnahmen

Die Informationspflicht des Verantwortlichen bei unrechtmäßiger Kenntniserlangung von personenbezogenen Daten besteht auch schon nach dem alten Recht (§ 42 a BDSG). Diese umfasst aber nur abschließend aufgezählte besonders sensible Daten-kategorien. ((Rechtsgrundlage: Art. 33)) 

Die DS-GVO beschränkt sich nun nicht mehr auf die Betroffenheit eines vorgegebenen Katalogs, sondern formuliert eine weitergehende Schutzverletzung von personenbezogenen Daten und führt somit zu einer Ausweitung der Meldepflicht.((Rechtsgrundlage: Art. 33 (1), ErwGr 85)) 

Die „Verletzung des Schutzes personenbezogener Daten“ ist im Art. 4 Nr. 12 der DS-GVO definiert als Verletzung der Sicherheit, die unbeabsichtigt oder unrechtmäßig 

• zur Vernichtung (z. B. unbeabsichtigte Löschung) 
• zum Verlust (z. B. Verlust eines unverschlüsselten Laptops oder Speichermediums) 
• zur Veränderung (z. B. Änderung einer Lieferadresse im Online-Shop)
• zur unbefugten Offenlegung (z. B. Versand an falschen Empfänger 
• zum unbefugten Zugang (z. B. mangelnder Passwortschutz, Hackerangriff) 

von verarbeiteten personenbezogenen Daten führte.((Rechtsgrundlage: ErwGr 85))

Im Mittelpunkt eines Entscheidungsprozesses des Verantwortlichen über die Meldepflicht einer Datenschutzverletzung steht grundsätzlich die Frage nach dem voraussichtlichen Risiko für die Rechte und Freiheiten der betroffenen natürlichen Person(en). Es handelt sich hierbei stets um eine Prognoseentscheidung, für die der Verantwortliche nachzuweisen hat, dass er seine Entscheidung nach dem Grundsatz der Rechenschaftspflicht getroffen hat. 

Als Risiken für natürliche Personen sind alle drohenden physischen, materiellen oder immateriellen Schäden zu berücksichtigen, etwa der Verlust der Kontrolle über personenbezogene Daten, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für den Betroffenen.((Rechtsgrundlage: Art. 33 (1) ))

Die Meldung an die Aufsichtsbehörde hat unverzüglich, mindestens jedoch binnen einer Frist von 72 Stunden zu erfolgen. Diese Frist beginnt mit dem Zeitpunkt, zu dem die Datenschutzverletzung dem Verantwortlichen bekannt wird.((Rechtsgrundlage: ErwGr 87)) Abweichungen von dieser Frist lösen eine Begründungspflicht gegenüber der Aufsichtsbehörde aus. Die behördliche Feststellung der „Unverzüglichkeit“ einer Meldung ist unter Berücksichtigung der Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie mit Blick auf mögliche Folgen und nachteilige Auswirkungen für den Betroffenen vorzunehmen.((Rechtsgrundlage: Art. 33 (2) )) 

Entstand die Datenschutzverletzung innerhalb einer Auftragsdatenverarbeitung, so hat der Auftragsdatenverarbeiter unverzüglich den Verantwortlichen zu informieren.

Der Mindestinhalt der Meldung an die Aufsichtsbehörde ist explizit in Art. 33 Abs. 3 vorgegeben:

• eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
• den Namen und die Kontaktdaten des Datenschutz-beauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
• eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen 

Diese Informationen sollen es der Aufsichtsbehörde ermöglichen, den Umfang und die Folgen des Datenschutzvorfalls ausreichend beurteilen zu können, um hieraus geeignete Maßnahmen ableiten bzw. ergreifen zu können.((Rechtsgrundlage: Art. 33 (4) )) 

Sollten dem Verantwortlichen noch nicht alle Informationen zu der Datenschutzverletzung vorliegen und sofern noch weiterer Ermittlungsbedarf (Ausmaß, Anzahl der Betroffenen …) besteht, so kann die Meldung an die Aufsichtsbehörde schrittweise erfolgen. 

Vorgaben für Form und Übermittlungsweg der Meldung bestehen nicht. In einem Ordnungswidrigkeits- oder Strafverfahren gegen den Meldepflichtigen darf eine Meldung nur mit Zustimmung des Meldepflichtigen verwendet werden.((Rechtsgrundlage: § 42 (4), § 43 (4), BDSG n. F.))

Für den Verantwortlichen besteht eine Pflicht zur Dokumentation von Verletzungen des Schutzes personenbezogener Daten einschließlich aller Fakten, deren Auswirkungen und die diesbezüglich ergriffenen Maßnahmen.((Rechtsgrundlage: Art. 33 (5) )) Der Inhalt der Dokumentation geht somit über den Inhalt der Meldung der Datenschutzverletzung an die Aufsichtsbehörde hinaus. Aufgrund der Begründungspflicht gegenüber der Behörde bei einer verspäteten Meldung sollte der Zeitpunkt der Entdeckung zentral dokumentiert werden.((Rechtsgrundlage: Art. 58 (1) lit.a))

Die Aufsichtsbehörde kann die Bereitstellung dieser Dokumentation zu Überprüfungszwecken verlangen.