Eines der Kernthemen aktueller politischer Diskussionen in Deutschland ist zweifellos die Entbürokratisierung. Dabei gerät auch der Datenschutz ins Blickfeld der öffentlichen Debatte.
Ein erster konkreter Schritt könnte dabei ein einheitlicher Meldevorgang von Datenschutzverletzungen in Deutschland darstellen. Die Aufsichtsbehörden selbst sind diesbezüglich bereits in einen gemeinsamen Austausch getreten und haben relevante Themen dazu identifiziert, wie die Berliner Aufsichtsbehörde (BlnBDI) in ihrem jüngsten Tätigkeitsbericht bekannt gab (s. hier).
Dieser Beitrag soll sowohl Unterschiede in den Meldeprozessen als auch die Sinnhaftigkeit eines einheitlichen Meldevorgangs sowie eines gemeinsamen Eingangskanals für gemeldete Datenschutzverletzungen näher beleuchten.
Kurzer Überblick und Exkurs: Datenschutzaufsichtsbehörden in Deutschland
Während in zahlreichen EU- und EWR-Mitgliedstaaten eine zentrale Meldestelle eingerichtet wurde, gibt es in der föderalistisch geprägten Bundesrepublik derzeit verschiedene Meldemöglichkeiten und -formulare. So hat jedes Bundesland eine eigene Datenschutzaufsichtsbehörde (außer Bayern, die haben zwei) mit eigenem Meldeportal für Datenpannen. Damit wären es bereits 17 Meldevorgänge. Die Aufsichtsbehörden der Länder sind zuständig für Unternehmen, Landes- und Kommunalbehörden, den privaten Rundfunk u. a. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist als Aufsichtsbehörde wiederum zuständig für Bundesbehörden, Finanzbehörden, Krankenkassen (mit Ausnahmen) und bestimmte Banken (z. B. Deutsche Bundesbank). Darüber hinaus gibt es noch den öffentlich-rechtlichen Rundfunk, Beteiligungsunternehmen und den Beitragsservice sowie die evangelischen und katholischen Kirchen in Deutschland, die ebenfalls eigene Meldewege haben. Um dabei nicht den Überblick zu verlieren, gibt es auf der Website der BfDI den „Kontaktfinder“, über den verantwortliche Stellen erfahren können, wer für die Meldung einer Datenschutzverletzung zuständig ist.
Das von der BlnBDI beschriebene Vorhaben sollte nur die Meldevorgänge der Bundesländer betreffen. Ob auch die Meldevorgänge bei der BfDI Teil der Überlegungen sind, ist nicht bekannt und bleibt fraglich.
Aktuelle Rahmenbedingungen und inhaltliche Unterschiede bei der Meldung von Datenschutzverletzungen
Hat eine Datenschutzverletzung stattgefunden, so ist diese der zuständigen Aufsichtsbehörde nach Art. 33 DSGVO zu melden. Dabei stellt die Norm in Absatz 3 allerdings nur eine Mindestanforderung an Informationen bereit, was den Inhalt der Meldung betrifft. Somit obliegt es dem Ermessen der einzelnen Aufsichtsbehörde, weitere spezifischere Informationen zu den Verletzungen in ihren Meldeformularen abzufragen.
Eine Durchsicht und Auswertung der Unterschiede zwischen den jeweils einzelnen Meldeformularen hat für diesen Beitrag nicht stattgefunden. Auf Grundlage einer umfassenden Sichtung fallen zusammenfassend jedoch folgende inhaltliche Unterschiede auf:
- der Umfang an abgefragten Informationen über die verantwortliche Stelle, wie meldende Person, Branche usw.
- der unterschiedliche Detailgrad bei der Abfrage der getroffenen und noch zu treffenden Abhilfemaßnahmen (von abstrakt bis sehr konkret)
- teilweise vorhandene Hilfestellung durch Ankreuzoptionen bei den spezifischen Informationen zur Datenschutzverletzung, wie bei der Art der Verletzung, der Ursache und dem Auslöser
Insbesondere für kleinere Organisationen, die keinen Datenschutzbeauftragten benannt haben bzw. hierzu auch nicht verpflichtet sind, kann die Art und Weise der Abfrage sowie etwaiger Hilfestellungen durch Ankreuzoptionen eine wichtige Unterstützung darstellen. Sehr konkrete Fragestellungen dürften die Gefahr des Auslassens erforderlicher Informationen ebenso wie das Übermitteln zu vieler oder nicht relevanter Informationen reduzieren.
Auch technische und formelle Anforderungen können sich unterscheiden
Was die formellen und technischen Rahmenbedingungen betrifft, gibt es zum Teil erhebliche Unterschiede. Zwar mögen diese auf den ersten Blick marginal erscheinen, aber auch eine Vereinheitlichung der Übermittlungswege und -anforderungen kann sich auf die Effizienz auswirken. Die zentralen Unterschiede lassen sich hierbei wie folgt zusammenfassen:
- Dateneingabe über eine Online-Eingabemaske oder mittels Übersendung eines Dokuments
- Download und Bearbeitung des Meldeformulars in unterschiedlichen Formaten (PDF, Word u. a.)
- unterschiedliche Übermittlungskanäle (Post, E-Mail, sogar Fax)
Aus Sicht der verantwortlichen Stellen und ihrer Datenschutzbeauftragten wäre es wünschenswert, einen einheitlichen Meldekanal inklusive Nutzung intuitiver Übermittlungswege bei allen Aufsichtsbehörden vorzufinden.
Zukunftsmusik: Einheitlicher Meldeprozess soll auch zu einer (zunächst) einheitlichen Bearbeitung führen
Die BlnBDI legt in ihrem Bericht auch einen Fokus auf die mögliche Einrichtung eines zentralen und gemeinsamen Eingangskanals für Datenschutzverletzungen.
Ein solcher Kanal erscheint aus Datenschutzsicht begrüßenswert. Man stelle sich den vermehrt auftretenden Fall vor, dass ein Auftragsverarbeiter für zahlreiche verantwortliche Stellen in unterschiedlichen Bundesländern als Auftragnehmer tätig ist und (leider) Opfer einer schwerwiegenden Datenschutzverletzung wird, bspw. in Form eines Ransomware-Angriffs, welcher die Verfügbarkeit und Integrität von Daten der verantwortlichen Stelle massiv verletzt. Nachdem der Auftragsverarbeiter die verantwortlichen Stellen im Rahmen seiner Pflichten informiert hat (Art. 28 Abs. 3 lit. f DSGVO), liegt es nun bei den verantwortlichen Stellen, diese Datenpanne im Bundesland ihrer Niederlassung zu melden. Die Informationen, die dabei an die Aufsichtsbehörde übermittelt werden, können sich – wie beschrieben – durch die Struktur (Art der Fragestellung und Gestaltung des Meldeformulars) unterscheiden. Ein einheitlicher Meldeprozess würde die aktuellen Unterschiede im Rahmen des Meldeprozesses bereinigen und für einen einheitlichen Informationsstandard bei der Meldung sorgen.
Ebenfalls interessant sind hier die Perspektive der Institution Aufsichtsbehörde und der mögliche Einfluss auf deren Arbeit. Folgende Vorteile sind zu erwarten:
- Die zentralisierte Bearbeitung einer Datenschutzverletzung, welche verantwortliche Stellen in unterschiedlichen Bundesländern betrifft, spart erhebliche Ressourcen und bündelt Kompetenzen bei den Aufsichtsbehörden
- Je mehr Informationen den Aufsichtsbehörden über eine Datenschutzverletzung vorliegen, desto zielgerichteter kann sie erforderliche Rückfragen stellen und den Sachverhalt aufklären, technische und organisatorische Anpassungen empfehlen und Maßnahmen gegen verantwortliche Stellen und Auftragsverarbeiter einleiten.
- Eine zentrale „Sammelstelle“ für Datenschutzverletzungen erleichtert es den Aufsichtsbehörden, überregionale statistische Auswertungen zu erzeugen, um grundsätzliche Trends und Entwicklungen im Datenschutz zu erkennen und somit die eigenen Aufgaben als Aufsichtsbehörde (Art. 57 DSGVO) bestmöglich erfüllen zu können.
Fazit
Ein einheitlicher Meldevorgang für Datenschutzverletzungen, welcher sowohl ein gemeinsames Meldeformular als auch einen gemeinsamen Eingangskanal umfasst, würde die Effizienz der Arbeit von verantwortlichen Stellen, Aufsichtsbehörden und Datenschutzbeauftragten steigern. Auch der Schutz personenbezogener Daten würde von einem verbesserten Informationsaustausch sowie einer Kompetenzbündelung profitieren.
Selbstverständlich mag es auch gute Gründe geben, die für eine Begrenzung des geplanten Vorhabens sprechen und im Rahmen der öffentlichen Debatte berücksichtigt werden sollten. Aufgrund besonderer datenschutzrechtlicher Bestimmungen im Landesrecht sollte bspw. die Erstbearbeitung einer Meldung einer öffentlichen Stelle durch die „lokalen“ Aufsichtsbehörden erfolgen.