Bei der Deutschen Post sind kürzlich aufgrund “menschlichen Versagens” die Daten aus 200.000 Umzugsmitteilungen vorübergehend ungeschützt in das Internet geraten. Ein solches ungewolltes Bekanntwerden von persönlichen Daten gegenüber Unbefugten bezeichnet man als Datenpanne. Weniger spektakuläre aber umso häufigere Fälle von Datenpannen bestehen darin, dass eine E-Mail versehentlich an den falschen Empfänger gesendet wird oder Laptops bzw. USB-Sticks verloren gehen.
Die Zahl der Datenpannen (data breach) steigt seit Jahren. Mit zunehmendem Bekanntwerden der daraus resultierenden gesetzlichen Meldepflicht steigt in Deutschland auch die Zahl der gemeldeten Datenpannen. Während das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bis in das Jahr 2012 nur etwa eine Meldung pro Monat erhalten hat, sind im letzten Berichtsjahr, 2016, 85 Datenpannen gemeldet worden, vgl. Jahresbericht 2015/2016 des BayLDA.
Bereits jetzt gilt im Fall von Datenpannen eine Meldepflicht aufgrund von § 42a Bundesdatenschutzgesetz (BDSG). Diese Meldepflicht wird durch die ab 25. Mai 2018 anwendbare Datenschutz-Grundverordnung (DS-GVO) deutlich erweitert und verschärft werden. Insbesondere wird die Meldung an die zuständigen Behörden sodann in der Regel innerhalb von 72 Stunden zu machen sein. Das ist nicht viel Zeit für ein genaueres Erfassen des Sachverhaltes und eine interne Abstimmung der geeigneten Reaktion inklusive der Formulierung eines Meldeschreibens an die Aufsichtsbehörde, womöglich sogar über ein Wochenende. Erforderlich ist es daher, bereits im Voraus Verhaltensregeln für den Fall einer Datenpanne zu erlassen, Zuständigkeiten zu klären, und den Wortlaut eines Meldeschreibens an die Datenschutzbehörde abzustimmen. Solche Verhaltensregeln sind mitbestimmt. Die hierüber zu führenden Verhandlungen mit dem Betriebsrat sollten bereits jetzt geführt werden, um bis Mai 2018 abgeschlossen zu sein.
Definition einer Datenpanne
Nach bisherigem Recht (§ 42a BDSG) liegt eine meldepflichtige Datenpanne vor, wenn Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Die gesetzliche Meldepflicht knüpft dabei nicht an das Bekanntwerden jeglicher Arten von personenbezogener Daten an, sondern nur an bestimmte, besonders schutzwürdige Kategorien von Daten, wie etwa sog. sensible Daten im Sinne von § 3 Nr. 9 BDSG, Daten, die einem Berufsgeheimnis unterliegen (§ 203 Strafgesetzbuch), Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht zu einem von beiden beziehen, sowie Daten zu Bank- und Kreditkartenkonten.
Die künftige Definition wird deutlich weiter gefasst sein. Datenpannen werden in Art. 33, 34 DS-GVO beschrieben als „Verletzungen des Schutzes personenbezogener Daten“. Ausweislich der gesetzlichen Definition (§ 4 Nr. 12 DS-GVO) umfasst dies nicht nur die unbefugte Offenlegung bzw. den unbefugten Zugang Dritter zu personenbezogenen Daten, sondern jegliche Verletzung der Datensicherheit, die unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust oder zur Veränderung von personenbezogenen Daten führt, welche übermittelt, gespeichert oder sonstige Weise verarbeitet wurden. Damit ist auch das schlichte unbeabsichtigte Löschen von anvertrauten Daten von dem Begriff der Datenpanne erfasst.
Auch die bisher vorgesehene Beschränkung der meldepflichtigen Datenpannen auf die vier soeben genannten Datenkategorien ist nicht länger vorgesehen. Eine Einschränkung der Meldepflicht findet sich in Art. 33 Abs. 1 DS-GVO lediglich für den Fall, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen wird. Die Beweislast für die Richtigkeit dieser Risikoeinschätzung liegt allerdings beim betroffenen Unternehmen.
Formale Anforderungen an die Meldung
In § 33 Abs. 3 und § 32 Abs. 2 DS-GVO sind inhaltliche Mindestanforderungen an die Meldung vorgegeben. Danach ist es unter anderem erforderlich, die Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen zu erläutern sowie eine Beschreibung der von dem Arbeitgeber ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten beizufügen.
Benachrichtigungspflicht gegenüber dem Betroffenen
Neben der Meldepflicht gegenüber der Aufsichtsbehörde, für die eine Frist von grundsätzlich 72 Stunden gilt, ist eine Benachrichtigung der betroffenen Personen „unverzüglich“, ohne die Frist von 72 Stunden, durchzuführen, allerdings nur dann, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person besteht. Die Information ist auch u.a. dann nicht mehr erforderlich, wenn das Unternehmen bereits geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und dadurch den Zugriff Unbefugter auf die personenbezogenen Daten unmöglich macht, oder wenn sonstige Maßnahmen zur Schadensbegrenzung ergriffen wurden.
Angesichts der auch hier für den Fall der Verletzung geltenden hohen Bußgelder empfiehlt es sich für ein Unternehmen, im Rahmen der Meldepflicht auf die Aufsichtsbehörde zuzugehen, und zugleich mit der Behörde abzustimmen, inwieweit eine Benachrichtigung der betroffenen Personen im konkreten Fall empfehlenswert oder von der Behörde angeraten ist.
Drohende Bußgelder
Im Falle einer Verletzung der Informationspflicht droht nach jetzigem Recht ein Bußgeld von bis zu 300.000,00 Euro, § 43 Abs. 2 Nr. 7, Abs. 3 BDSG. Nach künftigem Recht droht eine Geldbuße von bis zu 10 Mio. Euro oder bis zu 2 % des weltweiten Umsatzes im Vorjahr, Art. 83 Abs. 4 DS-GVO.
Verhandlungen mit der Betriebsratsseite
Die Inhalte einer Verhaltensregel für den Umgang mit Datenpannen (Data Breach Policy) sind in aller Regel mitbestimmt nach § 87 Abs. 1 Nr. 1 BetrVG (Meldepflicht, Reaktionsweise, sonstige Verhaltensregeln) sowie ggf. nach § 87 Abs. 1 Nr. 6 BetrVG (z.B. bei elektronisch gestützten Meldesystemen). Angesichts der Verantwortlichkeit des Arbeitgebers für die Unternehmensdaten und angesichts der ab Mai 2018 drohenden Bußgelder empfiehlt sich daher für Unternehmen, zeitnah und unter Berücksichtigung der konkreten Verhältnisse im Unternehmen den Entwurf einer Betriebsvereinbarung zum Umgang mit Datenpannen vorzubereiten und mit diesem Vorschlag auf die Betriebsratsseite zuzugehen.
Typische Inhalte einer Betriebsvereinbarung zum Umgang mit Datenpannen
Eine Betriebsvereinbarung für Verhaltensregeln bei Datenpannen („Data Breach Policy“) hat den Zweck, im Voraus und ohne das Eilbedürfnis eines tatsächlich vorliegenden Ernstfalles zu klären, wie im Falle einer Datenpanne zu reagieren ist. Die Einführung der einmal verhandelten Betriebsvereinbarung und die dazu womöglich stattfindenden Schulungen der Mitarbeiter führen dazu, die Belegschaft für Datenpannen zu sensibilisieren. Arbeitgeber und (Konzern/Gesamt-)Betriebsrat sollten sich daher auf den gut lesbaren Wortlaut einer möglichst kurzen Verhaltensregel (Policy) verständigen, die den Mitarbeitern im Intranet oder auf ähnlicher Weise bekannt gemacht werden kann.
Typische Inhalte sind unter anderem:
- Beschreiben von Zweck und Anwendungsbereich der Policy inklusive des weiten Anwendungsbereiches des Begriffes Datenpanne nach dem neuen Recht der DS-GVO
- Veranschaulichen des Begriffes der Datenpanne durch praktische Beispielsfälle
- Meldepflicht für Arbeitnehmer bei Verdacht einer Datenpanne mit Angabe einer hierfür zuständigen Kontaktperson innerhalb des Unternehmens
- Verfahrensregel für die zuständigen Stellen im Unternehmen und für deren weitere Ermittlungen
- möglicherweise Informationspflichten gegenüber weiteren Stellen im Unternehmen, die innerhalb von bestimmten Fristen zu informieren sind (Vorstand/Geschäftsführung, IT-Abteilung, Rechtsabteilung, Compliance, Unternehmenskommunikation)
- Verfahrensregel dazu, welche zuständigen Behörden und sonstigen externen Stellen zu informieren sind, inklusive Regeln für ein möglicherweise mehrstufiges Meldeverfahren während laufender Ermittlungen, die länger als 72 Stunden dauern
- Regelung für die geeigneten Kommunikationswege (E-Mail/Pressemitteilung/Ver-öffentlichung in der Tageszeitung/Websitemeldung)
- Anlagen: abgestimmtes Textmuster für die Meldung an die zuständige Behörde, für die interne Kommunikation bei Arbeitnehmerdaten und für die externe Kommunikation bei sonstigen Betroffenen (Kunden etc.)