Eine vertrauliche E-Mail wird versehentlich an den falschen Empfänger versandt. Ein für einen bestimmten Mitarbeiter konzipiertes Kündigungsschreiben landet bei dessen Kollegen, der das Schreiben zur Kenntnis nimmt. Ein USB-Stick, der sensible Daten enthält, geht verloren. Ein Hacker verschafft sich Zugriff ins Firmennetzwerk. In all diesen Fällen handelt es sich um typische Datenschutzvorfälle.
Datenschutzvorfälle sind grundsätzlich nach Art. 33 Abs. 1 Satz 1 DSGVO meldepflichtig, es sei denn, sie führen voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Person. Ein meldepflichtiger Datenschutzvorfall muss von dem Verantwortlichen binnen 72 Stunden nach dessen Bekanntwerden der zuständigen Aufsichtsbehörde mitgeteilt werden.
Doch nicht immer ist ein Datenschutzvorfall sofort ersichtlich. Oftmals bahnen sich erst über einen längeren Zeitraum Hinweise an, dass sich ein solcher Vorfallereignet haben könnte. Und hier beginnt das eigentliche Problem: Ab wann wird dem Verantwortlichen ein Vorfall tatsächlich bekannt bzw. ab welchem Zeitpunkt kann ihm Kenntnis hierfür zugerechnet werden?
Vorab sei gesagt: Eine pauschale Antwort auf die Frage, ab welchem Zeitpunkt dem Verantwortliche Kenntnis von einem Datenschutzvorfall zugerechnet werden kann, kann nicht gegeben werden. Mehrere Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDIs) haben sich jedoch zu dieser brisanten Fragestellung geäußert. Der vorliegende Beitrag soll die Stellungnahmen dreier LfDIs zur Zurechnung der Kenntnisnahme zusammenfassen.
LfDI Hamburg
Der LfDI Hamburg vertritt die Ansicht (vgl. hier S. 5f), dass es für die Kenntnis eines Vorfalls bereits genügt, dass eine beliebige Person im Unternehmen oder der Behörde Kenntnis von dem Vorfall erlangt. Kenntnis ist nach dem LfDI Hamburg dann erlangt, sobald der Verantwortliche mit einem „angemessenen Grad an Sicherheit“ annehmen muss, dass ein Vorfall vorliegt.
An dieser Stelle weist der oberste Datenschützer der Hansestadt aber auch darauf hin, dass die Meldepflicht im Umkehrschluss eben noch nicht eintrete, sofern zunächst nur vage Hinweise auf einen Vorfall hindeuten. Gleichzeitig obliege dem Verantwortlichen in einem solchen Zustand jedoch die Aufnahme von weiterführenden Ermittlungen. Während der Durchführung von Ermittlungen sei zwar noch nicht von einem angemessenen Grad an Sicherheit an Kenntnis über das Vorliegen eines Datenschutzvorfalls auszugehen. Jedoch könne bereits im Verlauf der Ermittlungen ein angemessener Grad an Sicherheit ersichtlich werden, so dass ggf. schon Kenntnis bestehen könne, bevor der Sachverhalt vollständig ausermittelt sei.
LfDI des Saarlandes
Nach Ansicht der LfDI des Saarlandes (vgl. hier S. 58) begründet die positive Kenntnisnahme der Datenschutzverletzung durch den Verantwortlichen den Fristbeginn. Handle es sich bei dem Verantwortlichen um eine juristische Person, so bedürfe es der Anwendung der allgemeinen Grundsätze der Wissenszurechnung im Unternehmen für die Ermittlung des Zeitpunktes der Kenntnisnahme. Konkret bedeutet dies, dass der verantwortlichen Stelle die Kenntnis desjenigen Mitarbeiters zuzurechnen ist, der nach der internen Organisation für die Verarbeitung personenbezogener Daten verantwortlich ist oder von dem dies aufgrund seiner Stellung erwartet werden kann.
LfDI Bayern
Der LfDI Bayern hat sich zur Kenntniszurechnung in Behörden geäußert (vgl. hier S. 36/Rn. 71). Nach Ansicht des LfDI Bayern wird das meldepflichtige Ereignis einer verantwortlichen bayerischen Stelle jedenfalls dann bekannt, wenn bestimmte Funktionseinheiten bzw. bestimmte Funktionsträger Kenntnis von dem in Rede stehenden Vorfall erlangen. So werde beispielsweise der Behördenleitung Kenntnis für alle Datenschutzverletzungen im Zuständigkeitsbereich der öffentlichen Stelle zugerechnet, wohingegen dem IT-Sachgebiet lediglich Kenntnis für Datenschutzverletzungen zugerechnet werde, die betreute IT-Systeme betreffen. Den Fachsachgebieten werde Kenntnis nur in ihrem eigenen Zuständigkeitsbereich zugerechnet. Werden einem Mitarbeiter aus dem Bauamt aber beispielsweise ein Datenschutzverstoß aus dem Steueramt bekannt, so greife die innerbehördliche Meldepflicht. Die Kenntniserlangung des Mitarbeiters aus dem Bauamt löse jedoch noch nicht den Beginn der 72-Stunden-Frist aus. Dem Verantwortlichen sei im Übrigen nicht das Wissen des behördlichen Datenschutzbeauftragten zuzurechnen.
Fazit
In der Gesamtschau wird deutlich, dass Unternehmen davon ausgehen sollten, dass Kenntnis grundsätzlich „eher früher als später“ erlangt wird. Folgt man der strengeren Ansicht des LfDI Hamburg, so kann die Kenntnis eines jeden Mitarbeiters genügen, den Beginn der 72-stündige Frist auszulösen. Insbesondere in diesem Zusammenhang wird deutlich, dass eine transparente und zielgerichtete Kommunikation sowie ein umfassendes Risikobewusstsein innerhalb von Unternehmen von essentieller Bedeutung sind.
Zu beachten ist allerdings, dass eine Rechtsprechung zur Thematik noch aussteht. Eine allgemeingültige und verbindliche Aussage zum Fristbeginn im Rahmen von Datenschutzvorfällen ist derzeit nicht möglich. Infolgedessen sollten Unternehmen die Stellungnahmen der jeweils für sie zuständigen LfDIs zur oben dargelegten Problematik beachten.