In den letzten Jahren gehörte die baden-württembergische Datenschutz Aufsichtsbehörde zu einer der Aufsichtsbehörden in Deutschland, bei der die meisten Datenpannen gemeldet wurden. Für das Jahr 2023 verzeichnete die Behörde nun sogar 166 Meldungen mehr als im Vorjahr. Damit dürfte Baden-Württemberg auch 2023 zu den Spitzenreitern in Sachen gemeldeter Datenpannen gehören.
Quelle: Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Baden-Württemberg 2023, S. 121
Bedenkt man jedoch, dass allein in Baden-Württemberg über 400.000 Unternehmen ansässig sind, wird schnell klar, dass die Dunkelziffer der fälschlicherweise nicht gemeldeten Datenpannen recht hoch sein dürfte. Selbst unter der (überspitzten) Annahme, dass nur bei einem Prozent der dort ansässigen Unternehmen eine meldepflichtige Datenpanne pro Jahr auftreten würde, wären nur ca. 70 % der meldepflichtigen Datenpannen gemeldet worden. In der Realität dürfte die Anzahl der fälschlicherweise nicht gemeldeten Datenpannen die Anzahl der gemeldeten Datenpannen sogar bei Weitem übersteigen.
Die Gründe für eine ausbleibende oder verspätete Meldung sind vielseitig und reichen von Unwissen, fehlenden Prozessen bis hin zu bewussten (strategischen) Entscheidungen der Geschäftsführung. In diesem Beitrag soll aufgezeigt werden, welche Verpflichtungen im Falle einer meldepflichtigen Datenpanne entstehen und welche Konsequenzen im Falle einer ausbleibenden bzw. verspäteten Meldung drohen.
Was sind Datenpannen und welche gesetzlichen Verpflichtungen sind zu beachten?
Juristisch korrekt ausgedrückt handelt es sich bei „Datenpannen“ um Verletzungen des Schutzes personenbezogener Daten im Sinne Art. 4 Nr. 12 DSGVO, also um eine „[…] Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Klassische Beispiele hierfür sind falsch versendete E-Mails, (versehentlich) falsch vergebene Zugriffsrechte in Datenverarbeitungssystemen, Datenkompromittierungen durch Ransomware etc.
Führt die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen, resultieren daraus für den Verantwortlichen (Art. 4 Nr. 7 DSGVO) Meldepflichten gemäß Art. 33 Abs. 1 DSGVO gegenüber der zuständigen Aufsichtsbehörde. Diese Meldung muss sodann unverzüglich, spätestens jedoch 72 Std. nach Kenntnis erfolgen. Die Zurechnung der Kenntnis des Vorfalls bemisst sich hierbei an den allgemeinen Grundsätzen der Wissenszurechnung in Organisationseinheiten. Das bedeutet, dass dem Verantwortlichen die Kenntnisnahme einer meldepflichtigen Datenpanne ab dem Zeitpunkt zuzurechnen ist, ab dem ein Beschäftigter der internen Organisation, welcher für die Verarbeitung personenbezogener Daten verantwortlich ist oder von dem dies aufgrund seiner Stellung im Unternehmen erwartet werden kann, hiervon Kenntnis erlangt.
Derzeit läuft die Frist von 72 Stunden auch über Wochenend- und Feiertage. Der aktuelle Vorschlag der EU-Kommission „zur Festlegung von zusätzlichen Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679“ könnte in diesem Zusammenhang jedoch wesentliche Erleichterungen für Verantwortliche schaffen und Wochenenden und Feiertage künftig von der Fristberechnung ausnehmen (wir berichteten).
Entstehen aufgrund der Umstände durch die Datenpanne hohe Risiken für die Rechte und Freiheiten der betroffenen natürlichen Personen, entsteht zusätzlich die Verpflichtung die betroffenen Personen gemäß Art. 34 DSGVO zu benachrichtigen. Dies hat unverzüglich zu erfolgen. Die Benachrichtigung muss hierbei zumindest die nach Art. 33 Abs. 3 lit. b-d DSGVO geforderten Informationen enthalten.
Konsequenzen bei Verstößen gegen die Melde- bzw. Benachrichtigungspflicht
Verstöße gegen die Verpflichtungen aus Art. 33 DSGVO (Meldung an die Aufsichtsbehörde) bzw. Art. 34 DSGVO (Benachrichtigung der betroffenen Personen) können von den Aufsichtsbehörden mit Bußgeldern von bis zu 10 Mio. Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes des Unternehmens (= Wirtschaftliche Einheit) geahndet werden.
Erst kürzlich wurden weitere Bußgelder i.H.v. 60.000 Euro gegen eine griechische Bank sowie i.H.v. 600.000 Euro gegen ein französisches Unternehmen verhängt, nachdem diese unter anderem versäumt hatten eine Datenpanne an die zuständige Aufsichtsbehörde zu melden. Die Bußgelder der vergangenen Jahre z. B. gegen Booking.com i.H.v. 475.000 Euro und Twitter i.H.v. 450.000 Euro (wir berichteten) zeigen hierbei deutlich, dass auch eine verspätete Meldung erhebliche Konsequenzen nach sich ziehen kann.
Nicht vergessen werden darf hierbei, dass auch Verletzungen des Schutzes personenbezogener Daten, die zu keinem Risiko für natürliche Personen führen, einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen gemäß Art. 33 Abs. 5 DSGVO dokumentiert werden müssen. Letztlich sind auch Verstöße gegen die Dokumentationspflicht nach Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt.
Fazit
Verantwortliche sollten durch regelmäßige Schulungsmaßnahmen und entsprechend ausgestaltete sowie transparent bekanntgemachte innerbetriebliche Prozesse darauf hinwirken, dass Beschäftigte im Falle von Datenpannen schnell reagieren und die erforderlichen Schritte einleiten damit (im Falle einer Meldepflicht) die Meldung fristgerecht bei der zuständigen Aufsichtsbehörde eingereicht werden kann. Gelingt es dem Verantwortlichen nicht bis zum Ablauf der First den Sachverhalt ausreichend aufzuklären, kann auch eine vorläufige Meldung im Sinne des Art. 33 Abs. 4 DSGVO sinnvoll sein, um die Frist zu wahren.
Wenn Sie Ihre Mitarbeitenden im Hinblick auf das Thema Datenpannen schulen wollen, haben wir den richtigen Datenpannen eLearning-Kurs für Sie. Schauen Sie gerne einmal bei DSN train, unserer Plattform für interaktive eLearning-Kurse, vorbei.
Update 12.04.2024
Wir haben eine Korrektur von Art. 33 Abs. 4 auf Art. 33 Abs. 5 vorgenommen.
11. April 2024 @ 12:31
Hallo, im letzten Absatz vor dem Fazit hat sich ein kleiner Fehler eingeschlichen: „…und der ergriffenen Abhilfemaßnahmen gemäß Art. 33 Abs. 4 DSGVO dokumentiert werden müssen.“
Der richtige Absatz wäre hier 5 des Art. 33, nicht 4.
VG
12. April 2024 @ 9:51
Sehr geehrter Herr Karnath,
vielen Dank für Ihren Hinweis. Wir haben den Text entsprechend korrigiert.
Mit freundlichen Grüßen
Ihre Blogredaktion