Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit veröffentlicht Leitfaden für Data-Breach-Meldungen

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden die Datenpanne der zuständigen Aufsichtsbehörde. In welchem Umfang dies zu geschehen hat, wird seit Inkrafttreten der DSGVO durch den europäischen Gesetzgeber in Art. 33 DSGVO vorgegeben. Hierin wurden Verhaltensregeln aufgestellt, die im Falle eines sogenannten Data-Breach vom Verantwortlichen zwingend einzuhalten sind, damit etwaige negative Folgen für Betroffene möglichst schnell abgestellt werden können. Zugleich minimiert ein Art. 33 DSGVO-konformes Verhalten des Verantwortlichen etwaige Schadensersatz- oder Haftungsrisiken.

Die Informations- und Meldepflicht in der Praxis – Schwierigkeiten für Verantwortliche

Während Art. 33 DSGVO in Abs. 3 katalogartig aufführt, welche Mindestinformationen Gegenstand einer solchen Meldung an die jeweils zuständige Aufsichtsbehörde sein müssen, herrscht in der Praxis bisweilen Unklarheit darüber, welche Art von Datenverstoß zugleich eine Meldepflicht auslöst. Gemeint ist die Schwere des Verstoßes. Die Differenzierung, ob ein meldepflichtiger Verstoß vorliegt oder „(…) die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (Art. 33 Abs. 1, 3. Halbsatz DSGVO), hat der Gesetzgeber dem Verantwortlichen überlassen. Daneben gilt es zu beachten, dass ein nach Art. 33 DSGVO meldepflichtiger Fall häufig auch eine Informationspflicht aus Art. 34 DSGVO an den oder die Betroffenen auslöst.

In welchen Fällen muss der Verantwortliche einen Datenverstoß stets melden und die Betroffenen hierüber informieren? Die Antwort: Es kommt drauf an. Dass im Alltag aus der sprichwörtlichen Mücke nicht gleich ein Elefant gemacht werden soll, hilft hierbei nur wenig. Auch ein einmaliger und räumlich äußerst eng begrenzter Datenverstoß wird etwa im Falle der Verletzung höchst sensibler personenbezogener Daten regelmäßig eine Meldepflicht an die zuständige Aufsichtsstelle begründen und wegen eines oftmals hohen Risikos der Verletzung eine Informationspflicht an Betroffene (Art. 34 DSGVO) nach sich ziehen. In Anbetracht der sehr eng bemessenen Reaktionszeit von maximal 72 Stunden auf die bekannt gewordene Datenpanne einerseits und dem hohen Sanktionsrisiko andererseits verwundert es nicht, dass Verantwortliche dazu geneigt sind im Zweifel jeden noch so kleinen Verstoß zu melden

Der Hamburgische Leitfaden mit Fallbeispielen

Mit seinem am 15. November veröffentlichten Leitfaden* hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit eine Hilfestellung bereitgestellt, die dem Verantwortlichen praxisnahe Fallbeispiele eines Art. 33 DSGVO konformen Verhaltens an die Hand gibt.

Kernstück des Leitfadens ist eine tabellarische Auflistung von zehn Fallbeispielen. Mit einem schnellen Blick gibt die jeweilige Kategorie einen kurzen Hinweis darüber, ob die Datenpanne eine Meldepflicht an die Aufsichtsbehörde und/oder eine Informationspflicht an Betroffene auslöst. Die Fallbeispiele reichen vom Diebstahl eines USB-Sticks bis hin zum Verschicken von Werbe-E-Mails mit offenem Mailverteiler (cc statt bcc).

Bewertung

Datenschutzpannen sind in der Praxis für alle Akteure mit Stress verbunden. Dies gilt insbesondere aus der Sicht des Verantwortlichen. Schließlich ist es seine Aufgabe den Sachverhalt in kurzer Zeit möglichst umfassend aufzuklären und im Anschluss zu entscheiden, ob ein melde- bzw. informationspflichtiger Fall vorliegt. Damit der Stress nicht in blinde Panik umschlägt, heißt es auch in der sehr knappen Zeitspanne von maximal 72 Stunden einen klaren Kopf zu behalten. Wann ein melde- und/oder informationspflichtiger Vorfall vorliegt, gestaltet sich gerade auch deshalb so schwierig, da sich der zu beurteilende Sachverhalt oftmals erst nach und nach offenbart.

Begrüßenswert ist in dieser Hinsicht der Leitfaden des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, der dem Verantwortlichen für die dort genannten – immerhin – zehn Fälle eine erste Hilfestellung bereitstellt. Mit wenigen Blicken lässt sich feststellen, ob und wenn ja, an wen der Verstoß weitergereicht werden muss. Nichtsdestotrotz sei die Anmerkung gestattet, dass der Leitfaden, respektive die Einordnung eines Vorfalls unter die Fallbeispiele, eine fundierte Prüfung des Verstoßes im Einzelfall, nicht zu ersetzen vermag.

Neben den Fallbeispielen befasst sich der Leitfaden mit der Darstellung wichtiger Begriffe. Unter Bezugnahme des Diskussionsstandes in der Wissenschaft und Praxis, sowie der Empfehlungen der Artikel-29-Gruppe, einem Beratungsgremium der europäischen Kommission in Fragen des Datenschutzes, werden dem Verantwortlichen etwa der Begriff „Risiko“ nähergebracht oder die „Verletzung des Schutzes personenbezogener Daten“ erläutert.

 

*Update vom 20.10.2023: Im September 2023 hat der HmbBfDI seine Handreichung zum Umgang mit Datenpannen überarbeitet. Das neue Dokument finden Sie hier. Dieser Beitrag bezieht sich auf die vorherige Version der Handreichung.