Eine falsch versendete E-Mail an einen offenen Empfängerkreis (ohne BCC). Ein Cyberangriff. Eine fehlerhaft versendete Gehaltsabrechnung. Eine verlorengegangene Bewerbung.
Datenpannen haben viele Gesichter. Sie passieren tagtäglich und können unterschiedlichsten Ausmaßes sein und unterschiedlichste Risiken für die Rechte und Freiheiten der von dem Vorfall betroffenen Personen haben.
Eine an den falschen Empfängerkreis gesendete E-Mail kann nicht so zurückgerufen werden, als wäre sie nie versendet worden. Ein Cyberangriff nicht ungeschehen gemacht werden. Ebenso wie eine fehlerhaft versendete Gehaltsabrechnung oder eine verlorengegangene Bewerbung.
In den o. g. Fällen handelt es sich um „klassische“ sog. Datenpannen. Der Begriff der „Datenpanne“ ist zwar vielen Personen bekannt. Doch was ist eigentlich genau zu tun, wenn eine Datenpanne aufgetreten ist?
Datenpanne – und nun?
Dieser Blogbeitrag soll eine grundsätzliche Hilfestellung dahingehend bieten, was aufgrund unserer Praxiserfahrungen in aller Regel beachtet werden sollte, wenn eine Datenpanne aufgetreten ist. Bitte beachten Sie, dass es sich hierbei lediglich um eine Orientierung und nicht um verbindliche Empfehlungen o. Ä. handeln kann. Es ist stets der konkret in Rede stehende Einzelfall mit seinen Besonderheiten zu betrachten.
Wenn eine Datenpanne in Ihrem Unternehmen aufgetreten ist oder Sie sich bei einem Vorfall nicht sicher sind, ob es sich hierbei um eine meldepflichtige Datenpanne i. S. d. Art. 33 DSGVO handelt (was wird als meldepflichtige Datenpanne angesehen? Siehe unsere Blogbeiträge hier und hier), wenden Sie sich bitte an Ihren Datenschutzbeauftragten.
1. Ach du Schreck, da ist aber was passiert!
Wenn sich ein Vorfall ereignet hat, sollte in einem ersten Schritt zusammengetragen werden, was genau passiert ist. Es sind also alle verfügbaren Informationen zu dem in Rede stehenden Vorfall zu sammeln und auszuwerten. Dies sollte so zeitnah wie möglich passieren, insbesondere, wenn erkennbar ist, dass personenbezogene Daten betroffen sind oder betroffen sein könnten. Denn wenn es sich um eine meldepflichtige Datenpanne handelt, ist die sog. 72-Stunden-Frist ab Kenntnisnahme zu wahren. Wann diese beginnt und welche Ansichten von Aufsichtsbehörden zum Zeitpunkt der Kenntnisnahme können Sie hier nachlesen. Bitte beachten Sie, dass der Zeitpunkt der Kenntnisnahme von den Aufsichtsbehörden teilweise unterschiedlich definiert wird.
2. Ergebnis: Es handelt sich um eine meldepflichtige Datenpanne i. S. d. Art. 33 DSGVO
Wenn die beiden Kriterien des Art. 33 Abs. 1 DSGVO erfüllt sind, nämlich das Vorliegen einer Verletzung des Schutzes personenbezogener Daten (vgl. Definition in Art. 4 Nr. 12 DSGVO) und ein nicht auszuschließendes Risiko für die Betroffenen aufgrund des Vorfalls, handelt es sich bei dem Vorfall um eine meldepflichtige Datenpanne, die innerhalb von 72 Stunden nach Kenntnisnahme an die zuständige Aufsichtsbehörde zu melden ist.
Hinweis: Es bietet sich an, bereits an dieser Stelle zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten der Betroffenen aufgrund des Vorfalls besteht, so dass diese nach Art. 34 DSGVO zu informieren sind.
3. Bei welcher Aufsichtsbehörde ist die Datenpanne zu melden?
Zunächst ist es wichtig zu wissen, dass es in Deutschland 17 Datenschutzaufsichtsbehörden der Länder gibt. Je Bundesland eine, nur in Bayern gibt es zwei Datenschutzaufsichtsbehörden: Eine für öffentliche Stellen (BayLfD) und eine für nicht-öffentliche Stellen (BayLDA). Zudem gibt es auch eine Datenschutzaufsichtsbehörde des Bundes (BfDI), die für alle öffentlichen Stellen des Bundes sowie für Unternehmen, die Telekommunikations- und Postdienstleistungen anbieten, zuständig ist.
Eine Datenpanne ist bei der für die verantwortliche Stelle zuständigen Aufsichtsbehörde zu melden. Für Unternehmen, die nicht unter die Zuständigkeit des BfDI fallen, ist regelmäßig die Aufsichtsbehörde des Bundeslandes zuständig, in dem der Verantwortliche seinen Sitz hat.
4. Auffinden des Meldeformulars
Wenn eruiert wurde, welche Aufsichtsbehörde zuständig ist, ist das Meldeformular der jeweiligen Behörde aufzurufen. Das jeweilige Formular findet sich regelmäßig auf der Webseite der zuständigen Aufsichtsbehörde. Zumeist findet sich bereits auf der Startseite ein Hinweis „Datenpanne melden“.
5. Ausfüllen des Meldeformulars
Es sollte beachtet werden, dass die Aufsichtsbehörden unterschiedliche Meldeformulare haben. Wer also schonmal eine Datenpanne in einem Bundesland X gemeldet hat und das Meldeformular der Datenschutzaufsichtsbehörde des Bundeslandes X mit dem einer Aufsichtsbehörde aus dem Bundesland Y vergleicht, wird in aller Regel Unterschiede feststellen können.
Einige Aufsichtsbehörden stellen in ihren Meldeformularen viele Fragen, auf die in Freitextfeldern geantwortet werden kann. Dann gibt es auch Aufsichtsbehörden, die zu einem größeren Teil mit Ankreuz-Optionen arbeiten. Die Formulare variieren grundsätzlich im Umfang der Fragen, aber letztlich möchten alle Aufsichtsbehörden sinngemäß wissen, was wann und warum passiert ist und welche Gegenmaßnahmen getroffen wurden. Zudem möchten die Aufsichtsbehörden in aller Regel erfahren, ob aufgrund des Vorfalls von einem hohen Risiko für die Rechte und Freiheiten der Betroffenen auszugehen ist. Teilweise möchten die Aufsichtsbehörden bei Bejahung eines hohen Risikos auch die Information für die Betroffenen sehen. Aufgrund dessen bietet es sich an, bereits bei Bejahung der Meldepflichtigkeit eines Vorfalls zu prüfen, ob auch ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht, so dass eine Art. 34 DSGVO-Information bereits vorbereitet werden kann.
U. a. sollten folgende Punkte beim Ausfüllen von Meldeformularen beachtet werden:
Pflichtfelder
Beim Ausfüllen des Formulars sollte darauf geachtet werden, dass alle Pflichtfelder ausgefüllt sind, um Fehlermeldungen beim Versand zu vermeiden.
Darlegung des Sachverhaltes
Zudem sollten die Angaben so gemacht werden, dass die Aufsichtsbehörde den Sachverhalt erfassen kann. Es sollte also eine Darstellung gewählt werden, die einem außenstehenden Dritten ermöglicht, den Sachverhalt nachvollziehen und bewerten zu können. Wenn z. B. mit internen Abkürzungen gearbeitet werden soll, sollten diese zumindest einmal erklärt werden. Insbesondere in Freitextfeldern, in denen der Vorfall beschrieben werden soll, bietet es sich erfahrungsgemäß an, die Textstruktur in Anlehnung an die sog. „W-Fragen“ zu gestalten:
- Was ist passiert?
- Warum hat sich der Vorfall (wenn noch nicht abschließend geklärt: voraussichtlich/wahrscheinlich) ereignet?
- Wann hat sich der Vorfall ereignet?
- Wo hat sich der Vorfall ereignet?
- Welche Personen sind betroffen?
- Welche Gegenmaßnahmen wurden bereits ergriffen bzw. werden noch ergriffen?
Prüfung aller Angaben vor Versand
Vor dem Versand der Meldung bietet es sich an, alle Angaben noch einmal durchzulesen. Ggf. können in diesem Zusammenhang noch Unklarheiten in der Darstellung erkannt und behoben oder Rechtschreibfehler o. Ä. korrigiert werden.
Wichtig: Dokumentation für Ihre Akte
Vor dem Versenden bietet es sich an, das ausgefüllte Meldeformular für Ihre Akte zu speichern. In manchen Meldeformularen findet sich am Ende zwar ein Hinweis, dass der Absender eine Bestätigungsemail über den Eingang der Nachricht erhält. Dies bedeutet jedoch nicht automatisch, dass damit das ausgefüllte Formular mitgesendet wird. Deshalb ist es hilfreich, das Formular vor Versand der Meldung entweder in Papierform oder als PDF zu drucken und abzulegen. So kann im Falle einer Kontaktaufnahme durch die Behörde auch nochmal nachvollzogen werden, auf was genau die Behörde Bezug nimmt.
6. Meldung abgeschickt – und jetzt?
Manche Aufsichtsbehörden haben einen Hinweis in ihren Empfangsbestätigungen, dass sie sich innerhalb einer bestimmten Frist melden bzw. die Sache nach dem dort angegebenen Fristablauf vom Verantwortlichen als „erledigt“ angesehen werden kann. Diese Information gibt aber nicht jede Behörde. Von daher heißt es in aller Regel: Abwarten.
Es ist möglich, dass sich die Behörde gar nicht zu der Meldung meldet. Es kann aber auch sein, dass die Behörde bzgl. der Meldung Kontakt mit der verantwortlichen Stelle aufnimmt. Dies kann u. a. sein, um Rückfragen zu stellen. Zudem kommt es auch vor, dass Aufsichtsbehörden sich beim Verantwortlichen melden und darlegen, dass die Angelegenheit als erledigt betrachtet wird und weshalb ihrerseits keine weiteren Maßnahmen ergriffen werden.
Fazit
Das Melden einer Datenpanne ist oftmals mit Anspannung verbunden und geschieht auch oft unter Zeitdruck. Umso wichtiger ist es, dass sichergestellt ist, dass die Meldung ordentlich vorgenommen wird und für die Aufsichtsbehörde verständlich formuliert ist. Es bietet sich stets an, den Datenschutzbeauftragten miteinzubinden, ebenso im Falle der Rückmeldung durch die Aufsichtsbehörde.
Gerne verweisen wir an dieser Stelle auch auf unsere Datenpannenwoche im Januar die Beitrage finden sie hier: Tag 1, Tag 2, Tag 3, Tag 4, Tag 5.