In einer Welt, die von der rasanten Digitalisierung geprägt ist und in der immer mehr (personenbezogene) Daten verarbeitet werden, gewinnt das Thema Datenschutz zunehmend an Bedeutung. Da es dabei gleichzeitig vermehrt zu Fehlern bei der Datenverarbeitung kommen kann, beschäftigten sich bereits einige unserer Blogbeiträge mit dem Thema „Datenpanne“ bzw. „Datenschutzvorfall“, wie bspw. dieser, in dem es um den Fehlversand von Rechnungen per E-Mail ging.
In diesem Beitrag möchten wir eine weitere interessante Frage aus dem Bereich Datenpanne beleuchten: Kann eine meldepflichtige Datenpanne auch dann vorliegen, wenn sich herausstellt, dass eine Person, die fälschlicherweise Einsicht in personenbezogene Daten anderer erhalten hat, tatsächlich einen Rechtsanspruch auf Einsichtnahme gehabt hätte?
Hierzu dient der folgende hypothetische Sachverhalt
Einer Wohnungseigentümerin, deren Wohnung zu einer Wohnungseigentümergemeinschaft (WEG) gehört, wurde unbeabsichtigt (aufgrund eines Systemfehlers) durch die mit der Verwaltung beauftragte Immobilienverwaltungsgesellschaft die Abrechnung eines anderen Eigentümers der WEG übermittelt.
Nachdem der Fehler aufgefallen war und festgestellt wurde, dass es sich um einen Einzelfall handelte, kam die Verwaltungsgesellschaft zu dem Ergebnis, dass vorliegend schon keine „Datenpanne“ gegeben sein könne, da jeder Eigentümer WEG-rechtlich ohnehin das Recht auf Einsichtnahme in die Einzelabrechnungen der anderen Wohnungseigentümer hat. Bei Vorliegen eines Rechtsanspruchs auf Einsicht in die (fälschlicherweise) erhaltenen Dokumente könne von einer „Datenpanne“ nicht die Rede sein.
Doch ist diese Einschätzung richtig?
Unter dem Begriff der „Datenpanne“ werden eine Vielzahl an Vorfällen verstanden, welche unterschiedlichsten Ausmaßes sein und unterschiedlichste Risiken für die Rechte und Freiheiten der von dem Vorfall betroffenen Personen haben können.
Eine Datenpanne bzw. ein Datenschutzvorfall liegt vor, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt (siehe Art. 33 Abs. 1 DSGVO). Nach der Legaldefinition in Art. 4 Nr. 12 DSGVO ist dies „[…] eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Nach dieser Definition ist im geschilderten Sachverhalt eine Datenschutzverletzung zu sehen, da für die Frage der Schutzverletzung im Rahmen der hier relevanten zweiten Kategorie (Vertraulichkeit), welche die unbefugte (nicht unrechtmäßige) Kenntnisnahme personenbezogener Daten betrifft, insbesondere auf die technischen und organisatorischen Maßnahmen abzustellen ist (vgl. Taeger/Gabel/Arning/Rothkegel, DS-GVO, Art. 4 Rn. 368 f; Ehmann/Selmayr, DS-GVO, Art. 4 Rn. 56; Kühling/Buchner/Jandt, DS-GVO, Art. 4 Nr. 12 Rn. 8). Diese sollen die Betroffenen insbesondere im Hinblick auf mögliche Beeinträchtigungen, die von der Verarbeitung ihrer personenbezogenen Daten ausgehen, schützen. Vorliegend spricht demnach das Versagen der eingesetzten technischen und organisatorischen Sicherheitsmaßnahmen sowie der unbeabsichtigte Charakter für das Vorliegen eines Datenschutzvorfalls. Die Übermittlung der fremden Abrechnung erfolgte aufgrund eines Systemfehlers und nicht etwa gezielt, um den Anspruch auf Einsichtnahme zu erfüllen.
An dieser Betrachtungsweise kann auch der tatsächlich bestehende Rechtsanspruch auf Einsichtnahme nichts ändern. Es ist zwar richtig, dass Wohnungseigentümer WEG-rechtlich das Recht auf Einsicht in die Belege der Einzelabrechnungen anderer Eigentümer haben, aber dieser Rechtsanspruch sollte durch klare und gesetzeskonforme Verfahren und Prozesse abgedeckt werden. Die unbeabsichtigte Übermittlung der Daten erfüllt nicht die Anforderungen einer WEG-gesetzlich vorgeschriebenen Einsichtnahme. Die Einschätzung des Unternehmens, wonach bereits kein Datenschutzvorfall gegeben sein könne, ist nach hier vertretener Auffassung falsch. Somit liegt ein Datenschutzvorfall vor!
Dieser ist vom Verantwortlichen nach Art. 33 Abs. 1 DSGVO grundsätzlich der zuständigen Aufsichtsbehörde zu melden. Eine Meldung kann nur ausnahmsweise unterbleiben, wenn der Vorfall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Für die Frage der Meldepflicht muss also eine Gefahrenprognose orientiert an den Umständen des konkreten Einzelfalls erfolgen, wobei neben der Art der betroffenen Daten und der Identifizierbarkeit der betroffenen Person vor allem die möglichen Folgen der Verletzung für diese zu berücksichtigen sind.
Vorliegend kann ein Risiko für die Rechte und Freiheiten natürlicher Personen und damit im Ergebnis eine Meldepflicht nach Art. 33 Abs. 1 DSGVO verneint werden. Denn aufgrund des Rechtsanspruchs auf Einsichtnahme besteht vorliegend gerade kein Missbrauchsrisiko durch die grundsätzlich unbefugte Kenntnisnahme durch den anderen Eigentümer. Der betroffenen Person drohenden keinerlei materielle oder immaterielle Schäden, wie etwa Diskriminierung, Identitätsdiebstahl, finanzielle Verluste, Rufschädigung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Es wurden keine Informationen weitergegeben, die nicht auch ohne den Vorfall hätten eingesehen werden können.
Fazit
Der bestehende Rechtsanspruch ist lediglich im Rahmen der Einschätzung der möglichen Folgen der Verletzung als ein Teilaspekt zu berücksichtigen.
Was Sie im Falle einer meldepflichtigen Datenpanne tun müssen, erfahren Sie bspw. in der ausführlichen Handreichung „Umgang mit Data-Breach-Meldungen nach Art. 33 DSGVO“ des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI).