Der Datenschutz in Europa wird mit der Datenschutz-Grundverordnung (DSGVO) vereinheitlicht. In unserer Beitragsreihe stellen wir Ihnen die wichtigsten Änderungen vor, die in der ersten Jahreshälfte 2018 für alle verpflichtend werden.

Sofern Unternehmen Daten abhandenkommen, sind unter bestimmten Umständen Behörden und Betroffene zu informieren, § 42a BDSG. Hieran ändert sich auch unter der Datenschutz-Grundverordnung nichts. Der Teufel steckt aber wie immer im Detail. Voraussetzungen, Informationsumfang, Formalien und darüber hinaus gehende Dokumentationspflichten bei Pannen haben sich verändert. Wann die betroffene Person auf der einen Seite und die Behörden auf der anderen Seite zu informieren sind, unterliegt zukünftig auch unterschiedlichen Voraussetzungen. Zusammenfassend muss festgestellt werden, dass Meldepflichten – vor allem gegenüber den Aufsichtsbehörden – viel früher greifen. Unabhängig von Meldepflichten kommt auf Unternehmen zudem ein höherer administrativer Aufwand zu kritische Vorfälle zu dokumentieren.

Information der Behörden

Datenpannen sind nach Art. 33 DSGVO der Datenschutzaufsichtsbehörden zu melden, sofern

  • der Schutz personenbezogener Daten verletzt wurde und
  • Risiken für die persönlichen Recht und Freiheiten natürlicher Personen bestehen.

Ein wesentlicher Unterschied zur jetzigen Rechtslage ist, dass nicht mehr bestimmte Datenarten abhandenkommen müssen (z.B. Bankdaten) um Informationspflichten auszulösen. Es zählt nunmehr jedes personenbezogene Datum.

Geblieben ist die Abwägung, ob hieraus Risiken resultieren. Auch in diesem Punkt werden die Schwellen für eine Meldung im Verhältnis zur jetzigen Rechtslage gesenkt, da

  • ein „einfaches Risiko“ reicht – es muss keine schwerwiegende Beeinträchtigung drohen,
  • nicht nur die Interessen des Betroffenen (z.B. des Kunden) zu berücksichtigen sind, sondern jeder natürlichen Person.

Bei der Abwägung können und müssen natürlich auch die Datenarten – und damit die alte Gesetzeswertung – berücksichtigt werden. Wenn durch geeignete Maßnahmen nach einer Datenpanne (Verschlüsselung, Fernlöschung, Rückgabe der Daten, Vereinbarung vertragliche Geheimhaltungspflichten) sichergestellt werden kann, dass keine Risiken bestehen oder es sich nur um relativ belanglose Daten handelt (z.B. die Geburtstagsliste der Rechtsabteilung), kann daher auch in Zukunft eine Meldung unterbleiben.

Sofern man jedoch zum Ergebnis kommen sollte, dass eine Meldepflicht an die zuständige Datenschutzaufsichtsbehörde besteht, stellt die Verordnung auch formale Anforderungen:

  • Eine Benachrichtigung soll binnen 72 Stunden erfolgen,
  • Diese muss enthalten:
    • Eine Beschreibung der Art der Verletzung, Kategorien und Zahl der betroffenen Personen und der Datensätze,
    • Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle sowie
    • eine Beschreibung der wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

Information der betroffenen Person

Eine gesonderte Regelung hat nunmehr die Benachrichtigung an den Betroffenen erhalten, Art. 34 DSGVO. Auch wenn die Voraussetzungen nahezu identisch sind, wird der Betroffene – im Vergleich zur Behörde – seltener zu informieren sein. Mittels oben beschriebener Abwägung, ob eine Risiko für den Betroffenen gegeben ist, müsste ein Unternehmen bei einer Prüfung zum Ergebnis kommen, dass nicht nur ein „einfaches“ Risiko besteht – siehe Meldung an die Behörde, sondern ein hohes Risiko. Es besteht daher ein noch größerer Argumentationsspielraum für Unternehmen.

Darüber hinaus enthält die Verordnung weite Ausnahmen, über die ein Unternehmen zum Ergebnis kommen kann, dass der Betroffene doch nicht zu informieren ist:

  • Es wurden im Vorfeld geeignete IT-Sicherheitsmaßnahmen getroffen (z.B. Verschlüsselung).
  • Es wurden nach der Datenpanne geeignete IT-Sicherheitsmaßnahmen getroffen.
  • Die Benachrichtigung wäre ein unverhältnismäßiger Aufwand (dann aber öffentliche Bekanntmachung).

Hinsichtlich der formalen Anforderungen an einer Benachrichtigung ist folgendes zu beachten:

  • Meldung in einer angemessenen Frist (keine festen Vorgaben wie bei Meldungen an die Behörde),
  • Die Meldung muss enthalten:
    • Eine Beschreibung der Art der Verletzung,
    • Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle,
    • eine Beschreibung der wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.
  • Die Meldung hat in klarer und einfacher Sprache zu erfolgen.

Ob die erhebliche Differenzierung bei Meldungen an Behörden und Betroffenen eine praktische Auswirkung hat, darf bezweifelt werden, da Art. 34 Abs. 4 DSGVO vorsieht, dass die Behörde mittels Beschluss – nach einer eigenen Risikoeinschätzung – ein Unternehmen anweisen kann, die Meldung an den Betroffenen nachzuholen. Eine wesentliche Weichenstellung für das gesamte Verfahren wird daher die Meldung an die Behörden bleiben.

Dokumentation von Pannen/ Sicherheitsvorfällen

Neu ist, dass ausnahmslos – d.h. insbesondere ohne Abwägung von Risiken für den Betroffenen – jede Datenschutzverletzung zu dokumentieren ist, Art. 33 Abs. 5 DSGVO. Schon in der Richtlinie 2002/22/EG zu § 42a war ein solches Verzeichnis enthalten. Den Behörden soll damit ermöglicht werden bei einer Betriebsprüfung zu kontrollieren, ob u.a. die Benachrichtigungspflichten eingehalten wurden. Der Aufwand dieser Dokumentation ist nicht zu unterschätzen, da

  • alle zusammenhängenden Fakten,
  • Auswirkungen und
  • ergriffene Maßnahmen

zu erfassen sind.

Das Verfahren nach einer Datenpanne lässt sich daher wie folgt zusammenfassen:

  • technische-organisatorische Beseitigung des Vorfalls, Ergreifen von Maßnahmen zum Schutz des Betroffenen,
  • Dokumentation des Vorfalls,
  • Abwägung, ob der Vorfall an die Behörde zu melden ist sowie
  • Abwägung, ob der Vorfall an den Betroffenen zu melden ist.

Bußgeld

Die Datenschutz-Grundverordnung stellt – wie eine Vielzahl anderen Pflichten auch – die Nichterfüllung von Meldepflichten ebenfalls unter ein Bußgeld, Art. 83 Abs. 4 a DSGVO – bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes des vorherigen Geschäftsjahres.

Spannend ist, dass die Verordnung selbst kein Beweisverwertungsverbot für die Meldeinhalte enthält, anders § 42a a.E. BDSG. Fraglich ist daher, ob Aufsichtsbehörden Informationen, die über eine Meldung erlangt wurden, für ein Strafverfahren oder eine weitergehende Betriebsprüfung nutzen dürfen. Hiervon kann im Ergebnis nicht ausgegangen werden, weil dem grundrechtlichen Bedenken entgegenstünden. Niemand ist verpflichtet, sich selbst bei staatlichen Behörden anzuzeigen oder zu belasten. Es ist daher davon auszugehen, dass die Verordnung nur deshalb keine Feststellung hierzu trifft, da es an der Gesetzgebungskompetenz für strafprozessuale Vorgaben fehlt. Eine Klarstellung durch den deutschen Gesetzgeber, dass die aktuelle Rechtslage in diesem Punkt bestehen bleibt, wäre sehr wünschenswert.

Abgrenzung zur vorherigen Konsultation

Von den oben beschriebenen Informationspflichten ist die vorherige Konsultation der Behörde nach Art. 36 DSGVO zu unterscheiden. Diese kommt nicht in Betracht sofern dem Unternehmen Daten abhandengekommen sind, sondern nur, sofern es im Rahmen der Datenschutz-Folgenabschätzung (auch Privacy Impact Assessment: PIA genannt) zum Ergebnis kommen sollte, dass durch die Datenverarbeitung – trotz ergriffener Schutzmaßnahmen – weiterhin hohe Risiken für Betroffene bestehen. Diese Pflicht ist ebenfalls Bußgeld bewehrt, Art. 83 Abs. 4 a DSGVO.

Siehe hierzu unseren Beitrag zur Folgenabschätzung.

Weitere Beiträge zur DSGVO in unserem Blog.