Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.
Sofern Unternehmen Daten abhandenkommen, sind unter bestimmten Umständen Behörden und Betroffene zu informieren, § 42a BDSG. Hieran ändert sich auch unter der Datenschutz-Grundverordnung nichts. Der Teufel steckt aber wie immer im Detail. Voraussetzungen, Informationsumfang, Formalien und darüber hinaus gehende Dokumentationspflichten bei Pannen haben sich verändert. Wann die betroffene Person auf der einen Seite und die Behörden auf der anderen Seite zu informieren sind, unterliegt zukünftig auch unterschiedlichen Voraussetzungen. Zusammenfassend muss festgestellt werden, dass Meldepflichten – vor allem gegenüber den Aufsichtsbehörden – viel früher greifen. Unabhängig von Meldepflichten kommt auf Unternehmen zudem ein höherer administrativer Aufwand zu kritische Vorfälle zu dokumentieren.
Information der Behörden
Datenpannen sind nach Art. 33 DSGVO der Datenschutzaufsichtsbehörden zu melden, sofern
- der Schutz personenbezogener Daten verletzt wurde und
- Risiken für die persönlichen Recht und Freiheiten natürlicher Personen bestehen.
Ein wesentlicher Unterschied zur jetzigen Rechtslage ist, dass nicht mehr bestimmte Datenarten abhandenkommen müssen (z.B. Bankdaten) um Informationspflichten auszulösen. Es zählt nunmehr jedes personenbezogene Datum.
Geblieben ist die Abwägung, ob hieraus Risiken resultieren. Auch in diesem Punkt werden die Schwellen für eine Meldung im Verhältnis zur jetzigen Rechtslage gesenkt, da
- ein „einfaches Risiko“ reicht – es muss keine schwerwiegende Beeinträchtigung drohen,
- nicht nur die Interessen des Betroffenen (z.B. des Kunden) zu berücksichtigen sind, sondern jeder natürlichen Person.
Bei der Abwägung können und müssen natürlich auch die Datenarten – und damit die alte Gesetzeswertung – berücksichtigt werden. Wenn durch geeignete Maßnahmen nach einer Datenpanne (Verschlüsselung, Fernlöschung, Rückgabe der Daten, Vereinbarung vertragliche Geheimhaltungspflichten) sichergestellt werden kann, dass keine Risiken bestehen oder es sich nur um relativ belanglose Daten handelt (z.B. die Geburtstagsliste der Rechtsabteilung), kann daher auch in Zukunft eine Meldung unterbleiben.
Sofern man jedoch zum Ergebnis kommen sollte, dass eine Meldepflicht an die zuständige Datenschutzaufsichtsbehörde besteht, stellt die Verordnung auch formale Anforderungen:
- Eine Benachrichtigung soll binnen 72 Stunden erfolgen,
- Diese muss enthalten:
- Eine Beschreibung der Art der Verletzung, Kategorien und Zahl der betroffenen Personen und der Datensätze,
- Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle sowie
- eine Beschreibung der wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.
Information der betroffenen Person
Eine gesonderte Regelung hat nunmehr die Benachrichtigung an den Betroffenen erhalten, Art. 34 DSGVO. Auch wenn die Voraussetzungen nahezu identisch sind, wird der Betroffene – im Vergleich zur Behörde – seltener zu informieren sein. Mittels oben beschriebener Abwägung, ob eine Risiko für den Betroffenen gegeben ist, müsste ein Unternehmen bei einer Prüfung zum Ergebnis kommen, dass nicht nur ein „einfaches“ Risiko besteht – siehe Meldung an die Behörde, sondern ein hohes Risiko. Es besteht daher ein noch größerer Argumentationsspielraum für Unternehmen.
Darüber hinaus enthält die Verordnung weite Ausnahmen, über die ein Unternehmen zum Ergebnis kommen kann, dass der Betroffene doch nicht zu informieren ist:
- Es wurden im Vorfeld geeignete IT-Sicherheitsmaßnahmen getroffen (z.B. Verschlüsselung).
- Es wurden nach der Datenpanne geeignete IT-Sicherheitsmaßnahmen getroffen.
- Die Benachrichtigung wäre ein unverhältnismäßiger Aufwand (dann aber öffentliche Bekanntmachung).
Hinsichtlich der formalen Anforderungen an einer Benachrichtigung ist folgendes zu beachten:
- Meldung in einer angemessenen Frist (keine festen Vorgaben wie bei Meldungen an die Behörde),
- Die Meldung muss enthalten:
- Eine Beschreibung der Art der Verletzung,
- Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle,
- eine Beschreibung der wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.
- Die Meldung hat in klarer und einfacher Sprache zu erfolgen.
Ob die erhebliche Differenzierung bei Meldungen an Behörden und Betroffenen eine praktische Auswirkung hat, darf bezweifelt werden, da Art. 34 Abs. 4 DSGVO vorsieht, dass die Behörde mittels Beschluss – nach einer eigenen Risikoeinschätzung – ein Unternehmen anweisen kann, die Meldung an den Betroffenen nachzuholen. Eine wesentliche Weichenstellung für das gesamte Verfahren wird daher die Meldung an die Behörden bleiben.
Dokumentation von Pannen/ Sicherheitsvorfällen
Neu ist, dass ausnahmslos – d.h. insbesondere ohne Abwägung von Risiken für den Betroffenen – jede Datenschutzverletzung zu dokumentieren ist, Art. 33 Abs. 5 DSGVO. Schon in der Richtlinie 2002/22/EG zu § 42a war ein solches Verzeichnis enthalten. Den Behörden soll damit ermöglicht werden bei einer Betriebsprüfung zu kontrollieren, ob u.a. die Benachrichtigungspflichten eingehalten wurden. Der Aufwand dieser Dokumentation ist nicht zu unterschätzen, da
- alle zusammenhängenden Fakten,
- Auswirkungen und
- ergriffene Maßnahmen
zu erfassen sind.
Das Verfahren nach einer Datenpanne lässt sich daher wie folgt zusammenfassen:
- technische-organisatorische Beseitigung des Vorfalls, Ergreifen von Maßnahmen zum Schutz des Betroffenen,
- Dokumentation des Vorfalls,
- Abwägung, ob der Vorfall an die Behörde zu melden ist sowie
- Abwägung, ob der Vorfall an den Betroffenen zu melden ist.
Bußgeld
Die Datenschutz-Grundverordnung stellt – wie eine Vielzahl anderen Pflichten auch – die Nichterfüllung von Meldepflichten ebenfalls unter ein Bußgeld, Art. 83 Abs. 4 a DSGVO – bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes des vorherigen Geschäftsjahres.
Spannend ist, dass die Verordnung selbst kein Beweisverwertungsverbot für die Meldeinhalte enthält, anders § 42a a.E. BDSG. Fraglich ist daher, ob Aufsichtsbehörden Informationen, die über eine Meldung erlangt wurden, für ein Strafverfahren oder eine weitergehende Betriebsprüfung nutzen dürfen. Hiervon kann im Ergebnis nicht ausgegangen werden, weil dem grundrechtlichen Bedenken entgegenstünden. Niemand ist verpflichtet, sich selbst bei staatlichen Behörden anzuzeigen oder zu belasten. Es ist daher davon auszugehen, dass die Verordnung nur deshalb keine Feststellung hierzu trifft, da es an der Gesetzgebungskompetenz für strafprozessuale Vorgaben fehlt. Eine Klarstellung durch den deutschen Gesetzgeber, dass die aktuelle Rechtslage in diesem Punkt bestehen bleibt, wäre sehr wünschenswert.
Abgrenzung zur vorherigen Konsultation
Von den oben beschriebenen Informationspflichten ist die vorherige Konsultation der Behörde nach Art. 36 DSGVO zu unterscheiden. Diese kommt nicht in Betracht sofern dem Unternehmen Daten abhandengekommen sind, sondern nur, sofern es im Rahmen der Datenschutz-Folgenabschätzung (auch Privacy Impact Assessment: PIA genannt) zum Ergebnis kommen sollte, dass durch die Datenverarbeitung – trotz ergriffener Schutzmaßnahmen – weiterhin hohe Risiken für Betroffene bestehen. Diese Pflicht ist ebenfalls Bußgeld bewehrt, Art. 83 Abs. 4 a DSGVO.
Siehe hierzu unseren Beitrag zur Folgenabschätzung.
Irina
3. Februar 2018 @ 16:21
Auf Wikipedia scheint sich auch keine Benennung einer Meldestelle für Datenschutzpannen zu befinden. Quelle: https://de.wikipedia.org/wiki/Diskussion:Datenschutz-Grundverordnung#Meldestellen_f%C3%BCr_Verst%C3%B6%C3%9Fe_nach_Datenschutzgrundverordnung
Daniela Windelband
5. Februar 2018 @ 11:37
Hallo Irina,
Datenpannen müssen an die für das jeweilige Unternehmen zuständige Datenschutzaufsichtsbehörde gemeldet werden. Eine Übersicht über die Landesdatenschutzaufsichtsbehörden inkl. Kontaktdaten finden Sie hier: https://www.ldi.nrw.de/mainmenu_Service/submenu_Links/Inhalt2/Aufsichtsbehoerden/Aufsichtsbehoerden.php
Mit freundlichen Grüßen
Ihre Blogredaktion
Ein Bürger
29. Januar 2018 @ 14:55
Das Datenschutzpannen zu melden sind habe ich bereits in mehreren Quellen gelesen. Da technische Datenschutzmängel alltägliche Praxis sind und manch ein Hersteller oder Betreiber entsprechende Hinweise hartnäckig ignoriert, stellt sich mir die Frage wo man solche Dinge melden kann. Evtl. bedarf es bei manchen Firmen ja der Einschaltung einer Behörde damit sie zumindest ihre gut bekannten Datenlecks gewillt sind zu stopfen.
Irina
3. Februar 2018 @ 0:16
Wohin Datenschutzpannen zu melden sind verrät der Artikel scheinbar wirklich nicht. Google scheint bei der Frage auch nicht ohne weiteres weiter zu helfen.
Markus M.
3. Juni 2016 @ 15:57
Sehr geehrter Herr Schmidt,
wie ist der Satz: „Schon in der Richtlinie 2002/22/EG zu § 42a war ein solches Verzeichnis enthalten. “ zu verstehen? Ich finde in der Richtlinie leider nur Teilnehmerverzeichnisse und verstehe nicht in wieweit diese mit der Dokumentation der Datenpannen in Art. 33 Abs. 5 zusammenhängen.
Ich hoffe sie können mir bei dieser Frage weiterhelfen.
Vielen Dank im Voraus.
Felix Schmidt
6. Juni 2016 @ 10:43
Vielen Dank für den Hinweis. Die Richtlinie 2002/22/EG ist insofern tatsächlich nicht hilfreich. Mein Hinweis zielte auf Art. 4 der Richtlinie 2002/58/EG in der überarbeiteten Fassung durch die Richtlinie 2009/136/EG ab (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:de:PDF). Dort auf Seite 20 wird Art. 4 um die Absätze 3-5 ergänzt. Absatz 4 (am Ende) enthält folgende Regelung: „Die Betreiber führen ein Verzeichnis der Verletzungen des Schutzes personenbezogener Daten, das Angaben zu den Umständen der Verletzungen, zu deren Auswirkungen und zu den ergriffenen Maßnahmen enthält […].“ In der Deutlichkeit hat es die Regelung nicht ins deutsche Recht geschafft.