Während der Sommerakademie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) hat u.a. ein Workshop zum Thema Datenpannen stattgefunden. Der Referent, Herr Behrendt, zeigte zehn kurze Fallbeispiele und fragte, ob dieser Sachverhalt jeweils eine an die Aufsichtsbehörde meldepflichtige Datenpanne sei oder nicht. Zum Beispiel: „Übersendung eines Arztbriefes an einen anderen Arzt ohne Einwilligung des Patienten“. Seine Meinung war zu jedem Beispiel: „Es kommt drauf an“. Allerdings saßen im Publikum mehr als 50 betriebliche Datenschutzbeauftragte. Von ihnen hatten viele zu jedem Fallbeispiel eine klare Meinung, dass „so etwas“ in jedem Fall eine meldepflichtige Datenpanne sei, oder: auf gar keinen Fall.
Tatsächlich ist es keineswegs einfach, festzustellen, ob eine meldepflichtige Datenpanne vorliegt oder nicht. Der Profi legt sich nicht voreilig fest. Entscheidend ist nach Art. 33 Abs. 1 DSGVO nicht nur, ob eine (in Art. 4 Nr. 12 DSGVO definierte) Verletzung des Schutzes personenbezogener Daten vorliegt, sondern auch, ob sie zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Diese Schwierigkeit besteht nicht für Auftragsverarbeiter. Für sie besteht die Meldepflicht allein bei Verletzung des Datenschutzes – und das „unverzüglich“ – Meldung aber lediglich bei dem Verantwortlichen. Der Verantwortliche hat das Risiko festzustellen und zu bewerten, und meldet ggf. der Aufsichtsbehörde.
Auch ein „Virenbefall durch Kryptotrojaner mit Verschlüsselung der Kundendaten“ muss keine meldepflichtige Datenpanne sein, wenn der Verantwortliche schon nach einer Stunde ein Backup eingespielt hat, und in der Zwischenzeit nichts Böses passieren kann. Zum Beispiel, weil die Verschlüsselung nachts passierte, und nachts keine Kunden anrufen. Oder: Wenn für Personaldaten eine Zugriffsmöglichkeit für Unbefugte bestand, liegt keine meldepflichtige Datenpanne vor, wenn der Verantwortliche feststellt, dass die Zugriffsmöglichkeit tatsächlich von niemandem genutzt wurde und jetzt beendet ist.
So wichtig es ist, die Meldepflicht von 72 Stunden zu berechnen – die Frist beginnt erst zu laufen, wenn der Verantwortliche weiß, dass die Meldepflicht besteht. Man muss und darf sich einige Stunden Zeit nehmen, um den Sachverhalt gründlich zu untersuchen, ohne wegen der 72-Stunden-Frist ständig auf die Uhr zu sehen. Nach einer angemessenen Untersuchungsfrist muss man, wenn man die Risiken nicht ausschließen kann, von einer Meldepflicht ausgehen, und ggf. gemäß Art. 33 Abs. 4 DSGVO der Aufsichtsbehörde weitere Informationen schrittweise zur Verfügung stellen.
Sendung von Befunden oder Arztbriefen an den falschen Arzt
Von allen Aufregern der größte war der Fall der Versendung von Befundberichten aus einer Arztpraxis oder einem Labor an einen anderen Arzt, als an den, für den der Befund bestimmt war. Ein solcher Vorfall ist im hektischen Alltag in Arztpraxen oder Laboren Alltag. Viele betriebliche Datenschutzbeauftragte mussten das schon einmal beurteilen. Sie glaubten die Lösung sicher zu wissen: keine Meldepflicht. Begründung: Der „falsche“ Arzt ist auch in Bezug auf die irrtümlich übersandten Patientendaten an seine ärztliche Schweigepflicht gebunden. Daher bestehe kein relevantes Risiko für die Betroffenen.
Der Referent wandte ein: dem Patienten könnte es durchaus darum gehen, dass gerade dieser Arzt diese Diagnose nicht erfahren darf. Zum Beispiel, weil er ein Nachbar des Patienten ist. Auch hier gelte also: erst den Sachverhalt richtig ermitteln.
3. Dezember 2019 @ 9:27
Ich finde „Datenschutz-Vorfall“ als Kurzbezeichnung für eine „Verletzung des Schutzes personenbezogener Daten“ im Sinne von Art. 4 Nr. 12 DSGVO auch besser, entsprechend „meldepflichtiger Datenschutz-Vorfall“ für ein meldepflichtiges Ereignis nach Art. 33 Abs. 1. Das ändert nichts daran, dass sich der Ausdruck „Datenpanne“ durchgesetzt hat. Ich bin nicht sicher, ob der Aufwand sich lohnt, das zu ändern.
4. Dezember 2019 @ 18:49
„Datenschutz-Vorfall“ ist tatsächlich ein sehr guter Vorschlag.
„Ob der Auffand lohnt?“ Echt jetzt? Das macht beim Tippen so viel Mehraufwand, dass das zu viel ist und man deshalb wider besseren Wissens lieber weiter verharmlost? Man muss ja nicht gleich alle alten Artikel ändern. Aber man sollte in *zukünftigen* Artikel *wirklich* damit aufhören, von „Pannen“ zu sprechen. (Oder habt Ihr irgend wo eine empirische Erfahrungsbasis dafür, dass herunterspielende Euphemismen dabei helfen, ein Problem zu bearbeiten? Oder dafür, dass die Lesenden, die eine „Datenschutz-Panne“ erwarten mit dem Begriff des „Datenschutz-Vorfalls“ nichts anfangen können?)
Wer soll denn da mal begrifflich den Anfang machen, wenn nicht gerade jemand, der vom Fach ist und „zufällig“ ein Datenschutzblog betreibt, das sogar fachfremde Leute wie mich interessiert? Das wäre doch eigentlich schon ein eigener Artikel wert! Gerade über Jurablo.gs würden das doch auch jede Menge Kollegen mitbekommen. Stoßt doch einfach mal die Diskussion an. 😉
30. November 2019 @ 19:49
Ich finde die Bezeichnung „Datenschutz-Vorfall“ beschreibt es ganz gut.
„Datenpanne“ finde ich zu harmlos, weil das meistens keine kleinen harmlosen Pannen oder spontane, unvorhersehbare Unfälle sind.
Aber „Vorfall“ ist auch nicht gleich so eskalierend wie „Desaster“, weil ein Datenschutz-Vorfall nicht automatisch auch negative Folgen nach sich zieht.
30. November 2019 @ 15:38
Ganz spontan fände ich schon „Datenunfall“ oder „Datenschutzkatastrophe“ oder „Datendesaster“ durchaus passender.
Auch Datenschutzvergehen würde oft durchaus passen. Wenn z.B. ein Laden gehackt wird, dann ist das eben keine „Panne“ mehr. Das ist eine meist absehbare Katastrophe, weil Datensicherheit nebensächlich (oder „zu teuer“) war und die Leute nicht auf ihre Daten aufgepasst haben. Das als „Panne“ zu deklarieren verniedlicht das bestenfalls. In jedem Fall lenkt es vom Aussagegehalt ab.
Das sich das als Terminus technicus eingebürgert hat ist schon schlimm genug. Man muss diesen Trend aber nicht zwangsläufig mit machen. Die Vokabel bestimmt halt auch das Denken. Und solange das alles nur „harmlose Pannen“ sind, braucht man sich über großflächig fehlendes Problembewusstsein nicht wundern. Den Begriff unreflektiert weiterzuverwenden dürfte das eher zementieren als ein Umdenken auslösen.
29. November 2019 @ 19:21
Da muss ich Johannes mal zustimmen.
Der Ausdruck „Datenpanne“ sollte nicht verwendet werden, wenn personenbezogene Daten (Gesundheitsdaten) abgeflossen sind.
Meine Auffassung: Bei Gesundheitsdaten ist die Aufsichtsbehörde und der Betroffene umgehend zu informieren.
Zum Beispiel Arzt: Leider werden die Briefe bzw. E-Mails nicht nur vom Arzt gelesen.
29. November 2019 @ 16:51
Die Auffassung, dass der Ausdruck „Datenpanne“ nicht perfekt ist, teile ich. Englisch „data breach“ ist besser. Aber das korrekte „Verletzung des Schutzes personenbezogener Daten“ ist zu lang und sperrig. Mir fällt nicht Besseres ein als „Datenpanne“, das hat sich in Deutschland als Terminus technicus eingebürgert.
29. November 2019 @ 13:46
Vielleicht solltet Ihr endlich mal aufhören, bei derartigen Vorkommnissen von einer „Panne“ zu reden.
Oder findet Ihr ernsthaft, dass das z.B. mit einem leicht zu reparierenden platten Reifen am Auto vergleichbar ist?