In letzter Zeit häufen sich die bekannt gewordenen Bußgelder aufgrund zu spät gemeldeter Datenpannen.
Vor kurzem wurde nun auch ein Bußgeld gegen Booking.com i.H.v. 475.000€ publik. Dieses wurde verhängt, da es Cyberkriminellen Anfang 2019 gelang, über 4000 Kundendatensätze mit Namen, Adressen, Telefonnummern und in knapp 300 Fällen auch Kreditkarteninformationen vom Betreiber zu stehlen. Neben den allgemeinen Kreditkarteninformationen gelang es den Kriminellen dabei auch fast 100 Sicherheitscodes (CVV) abzufangen. Die Kontakt- und Adressdaten wurden hierbei durch die Angreifer auch für gezielte Phishing-Angriffe genutzt. Booking.com meldete diese schwere Datenpanne erst 22 Tage nach dem Bekanntwerden des Vorfalls, sodass sich die niederländische Aufsichtsbehörde veranlasst sah, ein Bußgeld zu verhängen. Dieses ist angesichts eines Umsatzes von ca. 15 Milliarden Euro im Jahr 2019 und somit einer Bußgeldhöhe von 0.003 % des weltweit erzielten Jahresumsatzes des Unternehmens (möglich wären gem. Art. 83 Abs. 4 DSGVO bis zu 2 Prozent gewesen) dabei sogar noch recht milde ausgefallen.
Doch auch gegen andere Unternehmen wurden vermehrt Bußgelder aufgrund zu spät gemeldeter Datenschutzverstöße verhängt. Bekannte Beispiele sind die Bußgelder gegen Twitter (450.000€), die ID Finance Poland Sp. z o.o. (ca. 240.000 €) oder gegen das National Government Service Centre in Schweden (ca. 18.700€).
Wann ist eine Meldung verspätet gemeldet?
In Art. 33 Abs. 1 DSGVO ist vorgesehen, dass eine Meldung gegenüber der zuständigen Aufsichtsbehörde unverzüglich ab Kenntnis einer Verletzung des Schutzes personenbezogener vorzunehmen ist, sofern die Verletzung (voraussichtlich) zu einem Risiko für die betroffene(n) Person(en) führt.
Nach dem Bekanntwerden des Vorfalls ist der Verantwortliche daher angehalten, umgehend Maßnahmen einzuleiten, um festzustellen, ob ein meldepflichtiger Verstoß im Sinne des Art. 33 Abs. 1 DSGVO vorliegt. Die Meldefrist beginnt sobald der Verantwortliche aufgrund der vorliegenden Tatsachen mit hinreichender Wahrscheinlichkeit davon ausgehen muss, dass eine meldepflichtige Datenpanne vorliegt. Während einer notwendigen Aufklärungsphase besteht jedoch noch keine Meldepflicht.
Die Meldung hat dann unverzüglich, spätestens aber binnen 72 Stunden zu erfolgen. Hinsichtlich der Fristberechnung über Wochenend- und Feiertage kursieren unterschiedliche Meinungen (wir berichteten). Im Zweifel ist aber anzunehmen, dass die Frist auch durch Wochenend- und Feiertage nicht gehemmt wird und die Frist strikt ab Kenntnis der Verletzung des Schutzes personenbezogener Daten zu laufen beginnt (vgl. 28. Tätigkeitsbericht des LfDI Saarland, S. 58; Orientierungshilfe des Bayerischen Landesbeauftragten für den Datenschutz v. 1.6.2019, Rn. 80ff.). Kann der Verantwortliche während der 72-Stunden-Frist nicht alle erforderlichen Informationen für die Meldung (Artikel 33 Abs. 3 DSGVO) zusammentragen, sollte der Verantwortliche von einer schrittweisen Meldung im Sinne des Art. 33 Abs. 4 DSGVO Gebrauch machen und fehlende Informationen umgehend nachliefern.
Die Zurechnung der Kenntnis des Vorfalls bemisst sich hierbei an den allgemeinen Grundsätzen der Wissenszurechnung in Organisationseinheiten. Das bedeutet, dass dem Verantwortlichen die Kenntnisnahme einer meldepflichtigen Datenpanne ab dem Zeitpunkt zuzurechnen ist, ab dem ein Beschäftigter der internen Organisation, welcher für die Verarbeitung personenbezogener Daten verantwortlich ist oder von dem dies aufgrund seiner Stellung im Unternehmen erwartet werden kann, hiervon Kenntnis erlangt.
Tritt die Datenpanne im Zusammenhang mit einer Verarbeitungstätigkeit auf, die der Verantwortliche zu einem Auftragsverarbeiter ausgelagert hat, ist dem Verantwortlichen die Kenntnisnahme spätestens ab dem Moment zuzurechnen, ab dem der Auftragsverarbeiter dem Verantwortlichen den Vorfall berichtet. Nach Art. 33 Abs. 2 DSGVO ist der Auftragsverarbeiter dabei verpflichtet, den Verantwortlichen unverzüglich über entsprechende Vorfälle zu unterrichten. Die Beurteilung des Risikos obliegt dann alleine dem Verantwortlichen. Wie das Beispiel des Bußgeldes gegen Twitter zeigt sind mangelhafte Prozesse beim Auftragsverarbeiter, die dazu führen, dass eine Meldung verspätet erfolgt, dem Verantwortlichen zuzurechnen. Verantwortliche sind daher gemäß Art. 28 Abs. 1 DSGVO dazu angehalten ausschließlich verlässliche Auftragsverarbeiter einzusetzen, die durch geeignete technische und organisatorische Maßnahmen sicherstellen, dass die Meldeverpflichtungen des Verantwortlichen eingehalten werden können und die Verarbeitung im Einklang mit den datenschutzrechtlichen Bestimmungen erfolgt.
Innerbetriebliche Meldeprozesse und Schulungen erforderlich
Damit Unternehmen in der Lage sind Datenpannen als solche zu erkennen und rechtzeitig, innerhalb der kurzen Frist, meldepflichtige Datenpannen an die zuständige Aufsichtsbehörde zu melden, bedarf es einiger organisatorischer Vorkehrungen. Essentiell ist es hierfür innerbetriebliche Meldestrukturen und Prozesse zu etablieren und die Beschäftigten darüber aufzuklären. Zusätzlich sollten die Beschäftigten in regelmäßigen Abständen im Datenschutz und insbesondere im Umgang mit bzw. dem Erkennen von (möglichen) Datenpannen geschult werden. Nur durch den Aufbau von Know-how, Awareness sowie funktionierender Meldestrukturen kann gewährleistet werden, dass Datenpannen rechtzeitig als solche erkannt werden und die notwendigen Abhilfemaßnahmen ergriffen werden. Lagert ein Unternehmen Datenverarbeitungsvorgänge auf Dienstleister aus, die als Auftragsverarbeiter agieren, sollte der Verantwortliche im Rahmen der Vertragsprüfung außerdem darauf achten, dass der Dienstleister einen Meldeprozess für die unverzügliche Meldung von Vorfällen vorweisen kann. Auch sollte der Verantwortliche in regelmäßigen Abständen von seinen Kontrollrechten gemäß Art. 28 Abs. 1 lit. h DSGVO Gebrauch machen.