Die Datenschutzgrundverordnung (DSGVO) feierte vor wenigen Monaten ihr einjähriges Bestehen, jedoch sind auch heute noch zahlreiche Fragen ungeklärt. Zu diesen unklaren Bereichen zählt beispielsweise die Meldepflicht des Verantwortlichen bei der Verletzung des Schutzes personenbezogener Daten, gemäß Art. 33 und Art 34 DSGVO. Wann liegt eine solche Verletzung vor? Ab welchem Zeitpunkt muss eine Meldung an die Aufsichtsbehörde erfolgen? Hat der Verantwortliche die betroffene(n) Person(en) über die Verletzung des Schutzes der personenbezogenen Daten zu informieren? Welche Daten zählen in diesem Zusammenhang überhaupt zu den „personenbezogenen“ und folglich meldepflichtigen Daten? Der nachfolgende Beitrag soll ein wenig Licht ins Dunkel bringen und aufklären, welche Pflichten den datenschutzrechtlich Verantwortlichen im Falle der Verletzung des Schutzes personenbezogener Daten treffen.
Allgemeines und Zweck der Meldepflicht
Grundsätzlich gilt festzuhalten, dass die DSGVO in Art 33 eine Meldepflicht im Falle einer Verletzung des Schutzes personenbezogener Daten (Data Breach Notification Duty) an die Aufsichtsbehörde vorsieht. Zweck dieser Regelung ist es, die für den Betroffenen möglichen Schäden so gering wie möglich zu halten.[1] Die Artikel-29-Datenschutzgruppe hat zu der Meldepflicht nach der DSGVO Leitlinien erarbeitet. Diese können für die Beurteilung, ob eine Meldepflicht vorliegt herangezogen werden.[2]
Die Geldbußen bei Nichteinhaltung der Meldepflicht können mitunter beträchtlich sein. So muss mit Geldstrafen von bis zu € 10 Mio. oder (im Falle eines Unternehmens) mit bis zu 2% des gesamten weltweit erzielten Jahresumsatzes gerechnet werden.[3] Hier gilt jeweils das höhere mögliche Bußgeld als Obergrenze. Dass auch letztere Strafandrohung eine erhebliche Summe darstellt liegt auf der Hand. Damit wurden die Strafandrohungen durch die Einführung der DSGVO verzigfacht; nach alter Rechtslage betrug die mögliche Geldbuße in Deutschland lediglich bis zu € 300.000 (§ 43 Abs. 3 BDSG a.F.).[4]
Beteiligte Personen
Verantwortlicher und Auftragsverarbeiter
Bezugnehmend auf die Meldepflicht ist der Verantwortliche auch stets der Verpflichtete, die Verletzung des Schutzes der personenbezogenen Daten zu melden.[5] Dies gilt selbst dann, wenn die Datenverarbeitung (oder ein Teil derselben) auf einen Auftragsverarbeiter im Sinne des Art. 28 DSGVO ausgelagert wurde.[6] Denn aufgrund der Weisungshoheit des Verantwortlichen bleibt dessen Verantwortlichkeit auch bei der Auftragsverarbeitung bestehen (vgl. etwa Art 28 Abs. 3 lit a), Art 29 i.V.m Art 4 Nr. 7 DSGVO). Art 33 Abs. 2 DSGVO konstituiert daher die Pflicht des Auftragsverarbeiters, eine Verletzung des Schutzes personenbezogener Daten an den Verantwortlichen zu melden. Die Meldepflicht gegenüber der Aufsichtsbehörde trifft nur den Verantwortlichen.[7] Verletzt der Auftragsverarbeiter seine Benachrichtigungspflichten gegenüber dem Verantwortlichen, so kann auch ihn allerdings die Zahlung eines Bußgeldes von bis zu € 10 Mio. oder 2% des weltweit erzielten Jahresumsatzes treffen.[8]
Aufsichtsbehörde
Wurde eine Verletzung des Schutzes personenbezogener Daten bekannt, so ist diese der Aufsichtsbehörde grundsätzlich unverzüglich, aber höchstens binnen 72 Stunden nach Bekanntwerden der Verletzung zu melden. Die Behörde kann gegebenenfalls darüber entscheiden, ob die betroffene(n) Person(en) über die Verletzung zu informieren sind oder ob eine solche Benachrichtigung unterbleiben kann.[9] Die bayrische Aufsichtsbehörde ist das Landesamt für Datenschutzaufsicht unter der Leitung des Präsidenten des Landesamts.[10]
Meldepflicht
Verletzung des Schutzes personenbezogener Daten
Was unter einer „Verletzung des Schutzes personenbezogener Daten“ zu verstehen ist, wird in Art 4 Nr. 12 DSGVO klargestellt: Davon umfasst sind Verletzungen der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. dem unbefugten Zugang zu personenbezogenen Daten führt, die verarbeitet werden. Zu beachten ist, dass sich der Wortlaut nicht auf die unrechtmäßige Offenlegung bzw. den unrechtmäßigen Zugang beschränkt, sondern auch der Verlust sowie die Vernichtung und Veränderung von der Meldepflicht umfasst sind.
Meldezeitpunkt bzw. -zeitraum
Art 33 Abs. 1 DSGVO normiert eine grundsätzlich unverzügliche Meldepflicht, jedoch räumt sie dem Verantwortlichen einen Zeitraum von 72 Stunden ein, diese Verletzung anzuzeigen bzw. bekannt zu geben. Diese 72-Stundenfrist beginnt ab Bekanntwerden der Verletzung des Schutzes. Bemerkenswert ist, dass der Wortlaut eine Meldung „möglichst“ binnen 72 Stunden vorsieht. Zumindest hat der Verantwortliche eine verzögerte Meldung zu begründen, vgl. Art 33 Abs. 1 S 2 DSGVO.[11] Die Artikel-29-Datenschutzgruppe ging davon aus, dass dem Verantwortlichen ein Vorfall „bekannt“ ist, wenn er mit hinreichender Gewissheit davon ausgehen kann, dass ein Sicherheitsvorfall aufgetreten ist, der für die Verletzung des Schutzes personenbezogener Daten ursächlich ist.[12] Erlangt der Verantwortliche von einem solchen Vorfall Kenntnis, so hat er unverzüglich Untersuchungen durchzuführen und festzustellen, ob tatsächlich personenbezogene Daten betroffen sind und gegebenenfalls welche Maßnahmen ergriffen werden können um dem entgegenzuwirken.[13] Der Verordnungsgeber geht offensichtlich davon aus, dass 72 Stunden eine ausreichende Zeitspanne bieten, die Verletzung des Schutzes der Daten mit Sicherheit feststellen zu können.
Der Verantwortliche ist jedoch nicht dazu verpflichtet, der Aufsichtsbehörde sämtliche Informationen gesammelt binnen 72 Stunden zu übermitteln, da dies bei besonderer Schwere und Komplexität der Verletzung nahezu unmöglich ist. So wird ihm gem. Art 33 Abs. 4 DSGVO die Möglichkeit eingeräumt, die Informationen schrittweise zur Verfügung zu stellen, was ihm ausreichend Zeit verschaffen soll, die gesamten Auswirkungen des Data Breach zu ermitteln.[14]
Risikobewertung
Sobald der Verantwortliche den Data Breach bemerkt, so hat er das dadurch entstehende Risiko zu bewerten. Eine solche Risikobewertung kann Klarheit darüber verschaffen, ob ein Vorfall der Aufsichtsbehörde zu melden ist, da die Meldepflicht entfällt, wenn die Verletzung des Schutzes personenbezogener Daten nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Im Umkehrschluss ergibt sich, dass der Verantwortliche die Meldung in jedem Fall vorzunehmen hat, bei dem mit einem Risiko für die Rechte und Freiheiten natürlicher Personen zu rechnen ist. Von einem solchen Risiko umfasst sind mögliche Schäden (sowohl materielle als auch immaterielle wie auch physische) für die Person, die von der Verletzung betroffen ist.[15] Als Beispiel dienen nicht nur wirtschaftliche Verluste, Identitätsdiebstahl oder dergleichen, sondern auch Diskriminierung und möglicher Reputationsverlust. Bei der Risikobewertung miteinzubeziehen sind sowohl Eintrittswahrscheinlichkeit als auch Schwere des Risikos.[16]
Grundsätzlich gilt: Je sensibler die Daten, desto wahrscheinlicher ist der Eintritt eines Schadens für die betroffene Person.[17] In die Bewertung miteinzubeziehen ist eine mögliche Identifikation der betroffenen Person. Wurden personenbezogene Daten zuvor pseudonymisiert, anonymisiert oder verschlüsselt, ist die Wahrscheinlichkeit des Schadenseintritts geringer.[18] Gelingt es dem Verantwortlichen, die Wahrscheinlichkeit des Risikos auf ein Minimum zu reduzieren oder gänzlich einzudämmen, so kann die Meldung an die Aufsichtsbehörde entfallen.[19] Die Artikel-29-Datenschutzgruppe führt als Beispiel einer Datenschutzverletzung, die voraussichtlich nicht mit einem Risiko für die betroffenen Personen verbunden ist, solche Daten an, die bereits öffentlich verfügbar sind und deren Offenlegung demzufolge kein Risiko für den Betroffenen darstellt.[20]
Ebenfalls in die Bewertung einzufließen hat die Zahl der betroffenen Personen. Je mehr Personen betroffen sind, desto größer können die Auswirkungen und möglichen Schäden sein.[21]
Maßnahmen
Tritt tatsächlich ein Zwischenfall ein, der den Schutz der personenbezogenen Daten verletzt, so hat der Verantwortliche über die Meldung des Zwischenfalls hinausgehende Maßnahmen zu treffen. Empfehlenswert ist die Einrichtung interner Prozesse, um Datenpannen rechtzeitig erkennen und – wenn möglich – beheben zu können.[22] Für die Praxis wird empfohlen, eigene Teams einzusetzen, die mögliche Vorfälle rascher feststellen und im besten Fall beheben können. Der Verantwortliche hat darüber hinaus dafür zu sorgen, dass die Verletzung des Schutzes personenbezogener Daten behoben wird. Wird im Zuge der Untersuchung festgestellt, dass eine Verletzung tatsächlich erfolgt ist, so hat der Verantwortliche die Aufsichtsbehörde darüber zu informieren und gegebenenfalls auch die betroffenen Personen.
Mindestinhalt der Meldung und Dokumentation
Art 33 Abs. 3 DSGVO schreibt den Mindestinhalt vor, den eine Meldung über die Verletzung des Schutzes personenbezogener Daten zu enthalten hat. So hat der Verantwortliche die Art der Verletzung anzugeben, ebenso wie die ungefähre Zahl der betroffenen Personen und Datensätze sowie die betroffene(n) Kategorie(n) von Daten. Des Weiteren hat er Name und Kontaktdaten des Datenschutzbeauftragten anzugeben und eine Beschreibung der voraussichtlichen Folgen der Verletzung des Schutzes (soweit erkenn- bzw. absehbar). Außerdem hat er die von ihm ergriffenen (oder vorgeschlagenen) Maßnahmen anzuführen, die der Verletzung des Schutzes entgegenwirken sollen. Da in Abs. 3 ausdrücklich lediglich die Mindestinformationen normiert werden, liegt es im Ermessen des Verantwortlichen weitere Informationen zur Verfügung zu stellen.[23] Aus der DSGVO ergibt sich keine Formvorschrift, jedoch empfiehlt es sich, die Meldung in schriftlicher oder elektronische Form abzugeben.[24]
Der Verantwortliche hat sämtliche Verstöße bzw. Verletzungen zu dokumentieren; dies gilt unabhängig von einer etwaigen Meldepflicht.[25]
Benachrichtigung der betroffenen Personen
Allgemein und Zweck
Kommt der Verantwortliche im Rahmen der Risikobewertung zu dem Schluss, dass das Risiko für die Rechte und Freiheiten einer natürlichen Person ein hohes ist (was nach der Artikel-29-Datenschutzgruppe gegeben ist, wenn der Eintritt des Schadens für diese als wahrscheinlich gilt), so ist er dazu verpflichtet, die betroffenen Personen von der Verletzung des Schutzes der personenbezogenen Daten in Kenntnis zu setzen.[26]
Im Gegenzug zur Frist in Art 33 Abs. 1 DSGVO hat die Benachrichtigung der Betroffenen unverzüglich zu erfolgen.[27] Unverzüglich bedeutet, dass die Benachrichtigung grundsätzlich „ohne unangemessene Verzögerung“ („without undue delay“) zu erfolgen hat, also so schnell wie möglich.[28] Dies bedeutet gleichzeitig auch, dass der Verantwortliche bei der Benachrichtigung nicht an die 72-Stundenfrist gebunden ist, sondern, dass die Benachrichtigung unter Umständen später erfolgen kann, wenn notwendig, auch erst nach 72 Stunden.[29] Unverzüglichkeit bedeutet in diesem Fall also, dass zusätzliche Bestimmungskriterien einzubeziehen sind.[30] ErwGr 86 und ErwGr 88 der DSGVO rechtfertigen eine solche spätere Benachrichtigung beispielsweise, wenn eine Strafverfolgungsbehörde Untersuchungen durchführt und eine frühere Benachrichtigung diese Untersuchungen gefährden könnte. ErwGr 86 stellt jedoch auch klar, dass der Betroffene grundsätzlich sofort zu benachrichtigen ist und eine verzögerte Benachrichtigung nur in Ausnahmefällen erfolgen soll, um möglicherweise eintretende Schäden so gering wie möglich zu halten.[31]
Hinsichtlich des Inhalts der Benachrichtigung verweist Art 34 Abs. 2 DSGVO im Wesentlichen auf Art 33 Abs. 3 DSGVO. Die Benachrichtigung muss somit Name und Kontaktdaten des Datenschutzbeauftragten enthalten, ebenso wie die voraussichtlichen Folgen und die vom Verantwortlichen ergriffenen Maßnahmen zur Wiederherstellung des vorigen Zustandes.[32]
Ausnahmetatbestände
In Art 34 Abs. 3 DSGVO werden Ausnahmetatbestände normiert, die den Verantwortlichen von der Benachrichtigungspflicht befreien. Der Verantwortliche ist demnach befreit, wenn er geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen Daten angewendet wurden. Diese Sicherheitsvorkehrungen werden in Art 32 Abs. 1 DSGVO normiert und konkretisieren bzw. verschärfen die Pflichten des Verantwortlichen in jener Hinsicht, dass er geeignete technische und organisatorische Maßnahmen – unter Berücksichtigung der Implementierungskosten, des Standes der Technik, der Eintrittswahrscheinlichkeit sowie der Schwere des Risikos als auch der Rechte und Freiheiten natürlicher Personen – zu treffen hat, um den Schutz der personenbezogenen Daten zu gewährleisten.[33] Des Weiteren muss er die Betroffenen nicht benachrichtigen, wenn durch die getroffenen Maßnahmen sichergestellt werden kann, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen nach aller Wahrscheinlichkeit nicht mehr besteht. Wäre die Benachrichtigung mit einem unverhältnismäßig hohen Aufwand verbunden, so kann die Benachrichtigung ebenso unterbleiben, allerdings müssen die betroffenen Personen stattdessen durch eine öffentliche Bekanntmachung oder ähnliche Maßnahme informiert werden.[34]
Das deutsche BDSG normiert in § 29 darüber hinaus, dass die Benachrichtigungspflicht für den Verantwortlichen aus Geheimhaltungsgründen entfallen kann. Darunter zu verstehen ist der Fall, in dem durch die Benachrichtigung Informationen offenbart werden würden, die aufgrund des überwiegenden Interesses eines Dritten geheim gehalten werden müssen.[35]
Fazit
Die Umstände, unter denen eine Verletzung des Schutzes der personenbezogenen Daten zu melden ist, können nicht klar und eindeutig definiert werden; eine mögliche Meldepflicht hängt stets von den Umständen des Einzelfalls ab. Empfehlenswert ist die laufende Kontrolle der Verarbeitung der personenbezogenen Daten, um einen Data Breach so früh wie möglich zu erkennen und Maßnahmen zur Minimierung des Risikos ergreifen zu können. Hinsichtlich der Risikobewertung hat der Verantwortliche insofern einen Ermessensspielraum, als dass ihm die Beurteilung überlassen ist, ob durch die Verletzung ein Risiko für die betroffenen Personen entstanden ist oder nicht. Kommt er zu dem Schluss, dass ein solches Risiko nicht vorliegt, so haftet er für den Fall, dass die Aufsichtsbehörde Kenntnis von dem Vorfall erlangt und zu dem Schluss kommt, dass dieser zu melden gewesen wäre.
In Anbetracht dieser Tatsache empfiehlt es sich wohl für die Praxis, Vorfälle, deren Risikogehalt nicht eindeutig ist, „vorsichtshalber“ zu melden, um nicht möglicherweise im Nachhinein bußgeldpflichtig zu werden. Angesichts der hohen Bußgeldandrohung mag sich ein potenzieller Reputationsverlust des Unternehmens dennoch als das geringere Übel erweisen.
[1] Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 85.
[2] Article 29 Data Protection Working Party, Guidelines on Personal data breach notification under Regulation 2016/769, Oktober 2017, 18/EN WP250re.01.
[3] König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 4.
[4] Kleinz, Europa lädt das Update hoch, Zeit Online, Seite 2 (abgerufen am 18.07.2019).
[5] Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO/BDSG, Art 33, Rn 52.
[6] König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 14.
[7] Vgl. Art 33 Abs 2 DSGVO.
[8] Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 85.
[9] König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 18.
[10] Vgl. Art 18 Abs. 1 und Abs. 3 BayDSG; eine vollständige Liste der Datenschutzaufsichtsbehörden des Bundes und der Länder finden Sie hier (abgerufen am 18.07.2019).
[11] Vgl. Art 33 Abs. 1 DSGVO.
[12] Article 29 Data Protection Working Party, Guidelines on Personal data breach notification under Regulation 2016/769, Oktober 2017, 18/EN WP250re.01, 12.
[13] König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 42 f.
[14] Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 87.
[15] Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO/BDSG, Art 33, Rn 44; Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 88; vgl. Art 33 Abs. 1 DS-GVO.
[16] König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 29 f.
[17] Dr. Datenschutz, Risikobeurteilung bei Datenschutzvorfällen, Datenschutzbeauftragter.info, 20.06.2018 (abgerufen am 18.07.2019)
[18] Specht/Mantz, Handbuch europäisches und deutsches Datenschutzrecht, § 3 Vorgaben der Datenschutz-Grundverordnung, Rn 169.
[19] Wlk-Rosenstingl, Datenpanne-Data Breach Notification Duty des Verantwortlichen gemäß DS-GVO aus Sicht der Art. 29-Datenschutzgruppe (Teil III), Dako 2018/47, 84 f.
[20] Article 29 Data Protection Working Party, Guidelines on Personal data breach notification under Regulation 2016/769, Oktober 2017, 18/EN WP250re.01, 21.
[21] König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 38.
[22] König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 45 ff; so auch nachfolgend.
[23] Article 29 Data Protection Working Party, Guidelines on Personal data breach notification under Regulation 2016/769, Oktober 2017, 18/EN WP250re.01, 17 f.
[24] König/Schaupp in Knyrim, DatKomm Art 33 DS-GVO, Rn 27.
[25] Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung (DS-GVO), 89.
[26] Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO/BDSG, Art 34, Rn 3 f.
[27] Vgl. Art 34 Abs. 1 DSGVO.
[28] König/Schaupp in Knyrim, DatKomm Art 34 DS-GVO, Rn 18.
[29] Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO/BDSG, Art 34, Rn 38.
[30] Franck in Schwartmann/Jaspers/Thüsing/Kugelmann (Hrsg.), DS-GVO/BDSG, Art 34, Rn 8.
[31] Vgl. ErwGr 86 und 88 DSGVO.
[32] Vgl. Art 34 Abs. 2 i.V.m Art 33 Abs. 3 DSGVO.
[33] Vgl. Art 32 Abs. 1 DSGVO.
[34] Vgl. Art 34 Abs. 3 DSGVO.
[35] § 29 Abs. 1 BDSG; Voigt/von dem Bussche, EU-Datenschutzgrundverordnung (DS-GVO), 90.