Leitfaden zum Umgang mit Datenpannen – Teil 2

Im Teil 1 unseres Leitfadens zum Umgang mit Datenpannen haben wir uns mit den Fragen beschäftigt, wann eine Datenpanne vorliegt und welche Vorkehrungen zur Vermeidung einer Datenpanne getroffen werden können. Im Teil 2 befassen wir uns mit dem Vorgehen bei Kenntnisnahme von einer Datenpanne: Wie wird eine Datenpanne gemeldet und wie sollten die betroffenen Personen informiert werden?

Vorgehen bei Kenntnisnahme von einer Datenpanne

1. Schritt: Vornahme der Datenpannenmeldung

a) Meldefrist

Sofern eine Datenschutzverletzung bemerkt wurde und sich im Zuge der Ermittlung des Sachverhaltes sowie dessen Prüfung herausstellt, dass diese meldepflichtig ist (Kriterien vgl. Teil 1), muss deren Meldung nach Art. 33 Abs. 1 S. 2 DSGVO unverzüglich, d. h. innerhalb von 72 Stunden erfolgen. Die Frist beginnt mit der Feststellung bzw. mit der Kenntnisnahme der Datenschutzverletzung. Diese kann dann angenommen werden, wenn es nach Maßgabe der dem Verantwortlichen zugänglichen, objektiven Informationen und Erkenntnisse wahrscheinlicher ist, dass eine Datenpanne mit Bezug auf personenbezogene Daten eingetreten ist, als dass eine solche ausgeblieben ist. Hierbei sei auch darauf hingewiesen, dass eine bewusst pflichtwidrige Verweigerung der Kenntnisnahme der Datenschutzverletzung nicht geeignet ist, die Entstehung der Meldepflicht zu verhindern (Taeger/Gabel, DSGVO Art. 33 Rn. 41 und Rn. 14/16).

Zudem ist zu berücksichtigen, dass die Vollständigkeit der Kenntnisnahme der Datenschutzverletzung nach Art. 33 Abs. 4 DSGVO keine Bedingung für die Vornahme der Meldung ist. Denn es besteht die Möglichkeit der schrittweisen Meldung. Da in der Praxis der relevante Sachverhalt selten innerhalb von 72 Stunden nach Kenntnisnahme vollständig ermittelt ist und eine Fristüberschreitung nachvollziehbar begründet werden muss, sollte zur Risikominimierung vom Recht zur Vornahme einer schrittweisen Meldung Gebrauch gemacht werden.

b) Form der Datenpannenmeldung

Eine besondere Form ist im Hinblick auf die Vornahme der Datenpannenmeldung nicht vorgeschrieben. Diese kann z. B. per E-Mail, Fax oder Brief erfolgen. Bei einer postalischen Versendung der Meldung sollte ein etwaiger Zeitverlust infolge der Zustellung berücksichtigt werden. Ferner bieten die meisten Datenschutzaufsichtsbehörden auf ihren Internetseiten die Möglichkeit zur Vornahme der Datenpannenmeldung über ein Online-Formular an.

c) Zuständige Datenschutzaufsichtsbehörde

Die Datenpannenmeldung muss bei der zuständigen Datenschutzaufsichtsbehörde erfolgen. Dies ist i. d. R. diejenige Datenschutzaufsichtsbehörde in dem Bundesland, in welchem der Verantwortliche seinen Sitz (z. B. Unternehmenssitz) hat.

d) Inhalt der Datenpannenmeldung

Der Inhalt einer Datenpannenmeldung ergibt sich aus Art. 33 Abs. 3 DSGVO:

• eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten (z. B. Datenverlust), soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze (z. B. es sind Datensätze von ungefähr 200 Mitarbeitenden und 50 Kunden betroffen, darunter Anzahl x besonders schützenswerte Daten);
• den Namen und die Kontaktdaten der/des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten (z. B. Identitätsdiebstahl oder -betrug);
• eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen (z. B. Anwendung eines Verfahrens zur Datenwiderherstellung bei Datenverlust).

Hierbei empfiehlt sich insbesondere die Nutzung des jeweiligen Online-Formulars (sofern angeboten) zur Meldung der Datenpanne auf der Internetseite der zuständigen Datenschutzaufsichtsbehörde, da i. d. R. die dort vorhandenen Fragen den gesetzlichen Inhalt einer Datenpannenmeldung abbilden.

e) Dokumentationspflicht

Nach Art. 33 Abs. 5 DSGVO ist der Verantwortliche zur Dokumentation der Datenpanne verpflichtet. Die Dokumentationspflicht lehnt sich in inhaltlicher Hinsicht an den Inhalt der Meldepflicht nach Art. 33 Abs. 3 DSGVO an. Jedoch kann die Dokumentationspflicht im Einzelfall auch mehr Informationen umfassen. So kann es u. U. auch notwendig sein, die Ursache der Datenschutzverletzung oder möglicherweise involvierte interne oder externe Personen zu erfassen.

2. Schritt: Benachrichtigung der betroffenen Personen

a) Voraussetzungen für das Bestehen einer Informationspflicht gegenüber den betroffenen Personen

Zusätzlich zur Meldung bei der Aufsichtsbehörde muss der Verantwortliche in bestimmten Fällen auch die betroffenen Personen informieren. Die Informationspflicht nach Art. 34 Abs. 1 DSGVO besteht, wenn die Datenpanne „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Im Gegensatz zu Art. 33 setzt Art. 34 also nicht nur ein Risiko, sondern ein hohes Risiko voraus („Data-Breach-Meldungen nach Art. 33 DSGVO“ des HmbBfDI*, S. 3). Ein hohes Risiko ist i. d. R. dann anzunehmen, wenn besondere Kategorien personenbezogener Daten i. S. d. Art. 9 DSGVO (z. B. Gesundheitsdaten) oder Finanzdaten (z. B. IBAN, Kreditkartennummer etc.) von der Datenpanne betroffen sind.

b) Ausnahmen von der Benachrichtigungspflicht

Die Pflicht zur (individuellen) Benachrichtigung der Betroffenen besteht nicht ausnahmslos. Nach Art. 34 Abs. 3 DSGVO besteht in folgenden Fällen keine Pflicht des Verantwortlichen zur Benachrichtigung:

• Wenn bereits im Vorfeld seitens des Verantwortlichen geeignete technische und organisatorische Maßnahmen getroffen wurden, durch die ein Zugang zu den personenbezogenen Daten ausgeschlossen ist (z. B. Verschlüsselung),
• Wenn durch nachfolgende Sicherheitsvorkehrungen sichergestellt ist, dass, aller Wahrscheinlichkeit nach, ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen nicht mehr besteht (z. B. durch Wiederherstellung von gelöschten Daten oder durch eine Remotelöschung bei entwendeten mobilen Endgeräten).

Ferner sieht Art. 34 Abs. 3 DSGVO noch eine Erleichterung im Hinblick auf die Erfüllung der Benachrichtigungspflicht dahingehend vor, dass bei einem unverhältnismäßigen Aufwand (z. B. große Anzahl von Betroffenen oder der Verantwortliche verfügt nicht über die Kontaktdaten der Betroffenen) die Benachrichtigung der Betroffenen auch über eine öffentliche Bekanntmachung (z. B. Benachrichtigung der Mitarbeitenden in einem internen Rundschreiben, Benachrichtigung mittels Printmedien oder über die eigene Internetseite) erfolgen kann. Allerdings sollte hierbei berücksichtigt werden, dass eine flächendeckende Benachrichtigung der Betroffenen auch zu einem größeren Imageschaden für den Verantwortlichen führen kann. Somit sollte bereits im Vorfeld geprüft werden, ob eine öffentliche Bekanntmachung zur Benachrichtigung der Betroffenen (bei Vorliegen der Voraussetzungen) sinnvoll ist.

c) Inhalt der Benachrichtigung

Der Inhalt der Benachrichtigung der Betroffenen ergibt sich aus Art. 34 Abs. 2 DSGVO:

• der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Stelle für weitere Informationen,
• eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,
• eine Beschreibung bereits ergriffener und zu empfehlender „Selbstschutzmaßnahmen“.

Wichtig ist dabei, dass die Benachrichtigung in einer klaren und einfachen Sprache verfasst und so gestaltet ist, dass der Betroffene deren Inhalt ohne Schwierigkeiten zur Kenntnis nehmen kann. Juristische Fachtermini sollten daher dort vermieden werden und es sollte eine möglichst übersichtliche Gestaltung der Benachrichtigung erfolgen.

d) Form und Frist der Benachrichtigung

Wie die Benachrichtigung des Betroffenen im Normalfall zu erfolgen hat, ist in der DSGVO nicht ausdrücklich geregelt. Aus Gründen der Nachweisbarkeit ist jedoch eine mündliche, undokumentierte Benachrichtigung in der Praxis nicht empfehlenswert (Taeger/Gabel, DSGVO, Art. 34 Rn. 30).

Daher sollte die Benachrichtigung der Betroffenen z. B. per Brief, per Telefax oder per E-Mail erfolgen.

Die Benachrichtigung der Betroffenen muss zudem unverzüglich erfolgen. Jedoch muss die Frist hier großzügiger bemessen werden (Paal/Pauli, DSGVO, Art. 34 Rn. 33), da Art. 34 DSGVO – im Gegensatz zu Art. 33 DSGVO – keine starre Zeitvorgabe i. H. v. 72 Stunden enthält. Aber auch hier gilt, dass lediglich eine möglichst zeitnahe Benachrichtigung der Betroffenen als rechtssicher angesehen werden kann.

Fazit zum Umgang mit einer Datenpanne

Zusammenfassend lässt sich somit festhalten, dass durch den richtigen Umgang mit einer Datenpanne etwaige daraus resultierende negative Folgen (z. B. Bußgeld, Schadensersatz, Imageverlust) erheblich begrenzt werden können. Dennoch sollten entsprechende Maßnahmen, insbesondere regelmäßige Schulungen der Mitarbeitenden im Datenschutzrecht und die Implementierung angemessener technischer und organisatorischer Maßnahmen (TOM), getroffen werden, mit denen bereits das Risiko einer Datenpanne minimiert bzw. ausgeschlossen werden kann.

Hier geht es zum Teil 1 unseres Leitfadens zum Umgang mit Datenpannen.

*Update vom 20.10.2023: Im September 2023 hat der HmbBfDI seine Handreichung zum Umgang mit Datenpannen überarbeitet. Das neue Dokument finden Sie hier. Dieser Beitrag bezieht sich auf die vorherige Version der Handreichung.