Datenschutzvorfälle – was das ist und wie gehandelt werden muss

Datenschutzvorfälle – was das ist und wie gehandelt werden muss

Es ist schnell passiert. Die Autovervollständigung im E-Mail-Programm vervollständigt eine E-Mail-Adresse, Sie klicken auf „Senden“ und schon erreicht die E-Mail den falschen Empfänger. Ist dies schon ein Datenschutzverstoß? Muss er gemeldet werden? An wen? Was gehört in die Meldung? Diese Fragen müssen Sie zügig beantworten, denn die Frist für die Meldung eines meldepflichtigen Datenschutzverstoßes beträgt nur 72 Stunden.

Art. 33 und Art. 34 DSGVO sehen Meldepflichten für so genannte Datenschutzvorfälle oder Datenpannen vor. In Art 33 Abs. 1 S. 1 DSGVO heißt es: „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der … zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Art 34 DSGVO verpflichtet den Verantwortlichen darüber hinaus, die betroffene Person unverzüglich zu benachrichtigen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat.

Zwei Begriffe fallen hier auf: „Verletzung des Schutzes personenbezogener Daten“ und „Risiko“.

Was ist ein Datenschutzvorfall?

Nach Art. 4 Ziffer 12 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung, die zur Vernichtung, zum Verlust oder zur Veränderung oder zur unbefugten Offenlegung von Daten führt.

Dies ist alles sehr abstrakt. Einige Beispiele sollen verdeutlichen, wann Datenschutzvorfälle gegeben sind:

  • Verletzung der Vertraulichkeit: Gab es in Ihrem Unternehmen bereits einen Hackerangriff? Haben in Ihrem Räumen unbefugte Personen Akten oder Dokumente gesehen oder gelesen? Haben Sie Bilder Ihrer Mitarbeiter auf Ihrer Homepage oder auf anderen Portalen hochgeladen und fehlt dazu die freiwillige Einwilligung? Haben Sie versehentlich E-Mails an falsche Adressen versandt oder viele E-Mail-Adressen in das „cc“-Feld eingetragen?
  • Verletzung der Verfügbarkeit: Haben Sie oder hat einer Ihrer Mitarbeiter schon einmal ein Mobiltelefon oder auch nur einen USB-Stick verloren? Sind die Daten darauf verschlüsselt? Sind Ihre Datenbanken oder Ihre EDV über mehrere Stunden oder Tage ausgefallen?
  • Verletzung der Integrität: Haben Sie versehentlich Daten, z.B. Ablesedaten bei der Heizung oder die Lage der Wohnung geändert?

Wenn etwas derartiges in Bezug auf personenbezogene Daten passiert, liegt eine Verletzung des Schutzes dieser Daten liegt vor. Aus dieser Verletzung folgt grundsätzlich eine Meldepflicht. Das Gesetz unterscheidet zwischen der Meldung an die Aufsichtsbehörde und der Meldung an die betroffene Person.

An die Aufsichtsbehörde muss jeder Datenschutzvorfall gemeldet werden, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten des Betroffenen führt. An die betroffene Person muss ein Datenschutzvorfall gemeldet werden, wenn ein hohes Risiko besteht.

Was ist ein „Risiko“? Wie wird es bewertet?

Nach dem Kurzpapier Nr. 18 der Datenschutzkonferenz ist ein Risiko das Bestehen der Möglichkeit des Eintritts eines Schadens oder eines Ereignisses, das zu einem Schaden führen kann. Dieser Schaden kann materiell, immateriell oder physisch sein. Bei der Abschätzung, ob ein Risiko vorliegt, sind folgende Phasen zu durchlaufen:

  1. Risikoidentifikation

Welche Schäden können für die natürlichen Personen auf der Grundlage der zu verarbeitenden Daten bewirkt werden? Durch welche Ereignisse kann es zum Schaden kommen? Durch welche Handlungen und Umstände kann es zum Eintritt dieser Ereignisse kommen?

  1. Abschätzung von Eintrittswahrscheinlichkeit und Schwere möglicher Schäden

Als Stufen für die Differenzierung der Eintrittswahrscheinlichkeit und der Schwere der Schäden schlägt die Datenschutzkonferenz „geringfügig“, „überschaubar“, „substanziell“ und „groß“ vor. Die Einordnung ist zu begründen. Die Art der betroffenen Daten ist dabei zu berücksichtigen. Verletzungen von Daten nach Art. 9 DSGVO, wie Gesundheitsdaten, biometrischen Daten (z.B. Fotos), dürften dabei zu schwereren, also substanziellen oder großen Schäden führen.

  1. Zuordnung zu Risikoabstufungen

Wenn Eintrittswahrscheinlichkeit und Schwere der Schäden geschätzt sind, werden diese in Relation zu einander gesetzt, so führt eine geringfügige Eintrittswahrscheinlichkeit mit geringfügigen Schäden zum geringen Risiko, ein substanzieller Schaden auch bei geringfügiger Eintrittswahrscheinlichkeit zu einem Risiko und eine große Eintrittswahrscheinlichkeit eines großen Schadens zu einem hohen Risiko.

Was also ist nach einem Datenschutzvorfall zu tun?

Die erste Herausforderung ist, dass der Verantwortliche in einem Unternehmen von einem derartigen Verstoß erfährt. Der erste Schritt ist also die Information an den Verantwortlichen bzw. an den Datenschutzbeauftragten. Das bedeutet, alle Mitarbeiter eines Unternehmens müssen sensibilisiert werden, dass auch schon vermeintliche Kleinigkeiten, wie Fehler bei E-Mails oder vorübergehende Ausfälle von Soft- oder Hardware Datenschutzverstöße darstellen können. In einem Unternehmen muss jeder dafür sensibilisiert werden, dass es immer besser ist, einen solchen Vorfall zu melden, als ihn zu verschweigen.

Im nächsten Schritt wird der Verantwortliche mit Unterstützung des Datenschutzbeauftragten eine Risikoabschätzung vornehmen und Maßnahmen einleiten, die das identifizierte Risiko eindämmen. Die Risikoabschätzung ist zu dokumentieren.

Wenn kein Risiko für die Rechte und Freiheiten von Betroffenen vorliegen, z.B. wenn der vorübergehende Ausfall der EDV behoben ist und keine weiteren Auswirkungen hat, als dass ein informativer Newsletter verzögert übersandt wurde, ist mit dieser Dokumentation auch schon alles getan.

Wenn aber ein Risiko vorhanden ist, wenn zum Beispiel mehrere Personen im „cc“, statt im „bcc“ einer E-Mail auftauchen und jeder E-Mail-Adressen anderer Personen sehen kann, ist dieser Datenschutzverstoß an die Behörde zu melden.

Die Meldung an die Datenschutzbehörde muss folgende Informationen enthalten:

  • Kurze Beschreibung der Datenschutzverletzung
  • Angaben zu den Datenkategorien, Anzahl der Datensätze, Kategorien und Anzahl der Betroffenen
  • Namen und Kontaktdaten des Datenschutzbeauftragten
  • Beschreibung der wahrscheinlichen Folgen des Datenschutzvorfalls
  • Beschreibung der Maßnahmen der Behebung des Datenschutzvorfalls und der Eindämmung des Risikos
  • Zeitpunkt der Verletzung bzw. Zeitpunkt der Feststellung der Verletzung
  • Angabe, ob und wie Betroffene bereits informiert wurden

Die Meldung an die Behörde muss binnen 72 Stunden erfolgen, nachdem dem Verantwortlichen der Vorfall bekannt wurde. Allerdings muss der Verantwortliche sogenannte TOMs – technische und organisatorische Maßnahmen – getroffen haben, um sofort festzustellen, ob Datenschutzverletzungen aufgetreten sind. Die Frage, wann die Verletzung des Verantwortlichen bekannt wird, ist immer eine Frage des Einzelfalls.

Wenn ein hohes Risiko für einen Schadenseintritt vorhanden ist, muss meist auch der Betroffene informiert werden. Diese Information muss mindestens folgende Angaben enthalten:

  • Namen und Kontaktdaten des Datenschutzbeauftragten
  • Beschreibung der wahrscheinlichen Folgen des Datenschutzvorfalls
  • Beschreibung der Maßnahmen der Behebung des Datenschutzvorfalls und der Eindämmung des Risikos

Ausnahmsweise muss keine Information an den Betroffenen erfolgen, wenn technische und organisatorische Maßnahmen umgesetzt sind, die die Rechte des Betroffenen schützen oder keine Risiken mehr bestehen, weil die Maßnahmen zur Eindämmung erfolgreich waren. Wenn die Benachrichtigung mit einem unverhältnismäßig hohen Aufwand verbunden ist, reicht eine öffentliche Bekanntmachung.

Was ist jetzt zu tun?

Schaffen Sie in Ihrem Unternehmen das Bewusstsein für Datenschutzvorfälle! Schaffen Sie Arbeitsabläufe – mit Checklisten für die Risikobewertung und Mustern für die Meldungen – für das Vorgehen nach einer möglichen Datenschutzverletzung! Ihr Datenschutzbeauftragter wird Sie dabei unterstützen.