Cyber-Angriffe, kritische Sicherheitslücken oder falsche Empfänger: Trotz aller Sicherheitsvorkehrungen lassen sich Datenpannen nicht immer vermeiden. Im Ernstfall gilt es, schnell zu handeln. Sowohl die zuständige Aufsichtsbehörde als auch die von der Datenpanne Betroffenen müssen informiert werden. Während die Landesdatenschutzbeauftragten das Meldeverfahren von Datenpannen durch Meldeformulare erleichtern, ist die ordnungsgemäße Benachrichtigung von Betroffenen komplizierter. Was hierbei zu beachten ist, zeigt unser Beitrag.
Was ist eine Datenpanne?
Die DSGVO umschreibt die Datenpanne als die „Verletzung des Schutzes personenbezogener Daten“. Neben der unbefugten Offenlegung von Daten und dem unbefugten Zugang zu personenbezogenen Daten beinhaltet dies auch jede Verletzung der Sicherheit, die unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust oder zur Veränderung von Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (vgl. Art. 4 Nr. 12 DSGVO). Der Begriff der Datenpanne ist damit sehr weitgehend. Umfasst sind etwa der Verlust von Datenträgern, die Datenweitergabe an Unbefugte oder der Angriff auf das eigene IT-System, bei dem Daten abgegriffen werden. Aber auch die versehentlich fehlgeleitete E-Mail stellt eine Datenpanne dar.
Meldung der Datenpanne
Ist es im Einzelfall zu einer Datenpanne gekommen ist, gilt es schnell zu handeln: Nach Bekanntwerden der Datenpanne muss die Aufsichtsbehörde unverzüglich, möglichst aber innerhalb von 72 Stunden, von der Datenschutzverletzung in Kenntnis gesetzt werden. Bei einer späteren Meldung muss die Verzögerung begründet werden. Es empfiehlt sich daher, entsprechende Verhaltensregeln und Zuständigkeiten vorab in Verhaltensregeln festzulegen (vgl. den Beitrag von Beitrag von Dr. Jessica Jacobi vom 16. August 2017). Dann kann im Ernstfall auf ein standardisiertes Verfahren zurückgegriffen werden.
Landesdatenschutzbehörden stellen Meldeformulare zur Verfügung
Zwischenzeitlich haben einige Landesdatenschutzbeauftragte ein (Online-)Formular zur Meldung von Datenpannen zur Verfügung gestellt. Hierin werden die benötigten Informationen checklistenartig abgehandelt. Dies macht es für Arbeitgeber deutlich einfacher, die maßgeblichen Informationen der Aufsichtsbehörde vollständig und richtig mitzuteilen. Ein solches Service-Angebot ist auf den Internetauftritten der Datenschutzbeauftragten folgender Länder zu finden:
- Baden-Württemberg
- Bayern
- Berlin
- Hessen
- Mecklenburg-Vorpommern
- Niedersachsen
- Nordrhein-Westfalen
- Rheinland-Pfalz
- Sachsen-Anhalt
- Schleswig-Holstein
- Thüringen
In den übrigen Bundesländern muss zunächst eine eigenverantwortlich gestaltete Meldung abgegeben werden. Hierbei empfiehlt es sich jedoch, die bereits verfügbaren Formulare zur Orientierung zu verwenden. Die Datenschutzbeauftragten von Hamburg und Sachsen haben bereits angekündigt, demnächst ebenfalls einen entsprechenden Service anbieten zu wollen.
Benachrichtigung der Betroffenen
Mit der Meldung der Datenpanne an die Aufsichtsbehörde hat der Arbeitgeber jedoch nur die Hälfte seiner Pflicht erfüllt: Nach Art. 34 DSGVO ist der Arbeitgeber außerdem dazu verpflichtet, die von der Datenpanne betroffenen Personen über die Datenschutzverletzung zu benachrichtigen, wenn die Verletzung „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Anders als bei der Meldepflicht gegenüber der Aufsichtsbehörde, die bei jeder Datenschutzverletzung eingreift, kommt es für die Benachrichtigung der Betroffenen darauf an, ob mit der Datenschutzverletzung aller Voraussicht ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden ist. Der Arbeitgeber muss daher nicht nur Maßnahmen ergreifen, um die Auswirkungen einer Datenpanne einzudämmen, sondern auch eine Risikobewertung vornehmen. Dies ist jedoch nicht immer einfach.
Für die Vornahme einer Risikobewertung hat die Artikel-29-Datenschutzgruppe Leitlinien herausgegeben, die der Europäische Datenschutzausschuss bestätigt hat und daher zur Orientierung herangezogen werden können. Danach besteht voraussichtlich ein „hohes Risiko für die persönlichen Rechte und Freiheiten“, wenn die Datenschutzverletzung zu physischen, materiellen oder immateriellen Schäden für die Personen führen kann, deren Daten verletzt wurden. Beispiele für solche Schäden sind Diskriminierung, Identitätsdiebstahl oder Betrug, finanzielle Verluste und Reputationsschäden. Dabei sind im Rahmen der Risikobewertung unter anderem die Art der Datenschutzverletzung, die Sensibilität und der Umfang der betroffenen Daten zu berücksichtigen. Je sensibler die Daten und je größer die betroffenen Datenmengen sind, desto höher ist in der Regel das mit der Datenschutzverletzung verbundene Risiko zu bewerten.
Umfang der Benachrichtigungspflicht
Besteht voraussichtlich ein solch hohes Risiko für die Rechte und Freiheiten von Personen, muss der Arbeitgeber die Betroffenen über die Art der Datenschutzverletzung, die wahrscheinlichen Folgen und die von ihm ergriffenen und geplanten Maßnahmen benachrichtigen. Ebenso muss er den Namen und die Kontaktdaten des Datenschutzbeauftragten mitteilen oder eine sonstige Anlaufstelle benennen. Auch hier bleibt dem Arbeitgeber wenig Zeit: die Benachrichtigung muss „unverzüglich“ erfolgen, also so schnell wie möglich. Die Betroffenen sollen dadurch in die Lage versetzt werden, ihrerseits geeignete Maßnahmen zur Schadensminimierung zu ergreifen.
Fazit
Im Falle einer Datenpanne ist schnelles Handeln des Arbeitgebers geboten. Vor diesem Hintergrund ist es zu begrüßen, dass die Aufsichtsbehörden der Länder Formulare für die Meldung von Datenpannen bereitstellen und dadurch das Verfahren erleichtern. Umso schwieriger ist es jedoch, eine zutreffende Risikobewertung durchzuführen. Da im Falle eines pflichtwidrigen Unterlassens von Benachrichtigungen Schadensersatzforderungen der Betroffenen und Bußgelder der Aufsichtsbehörden drohen, empfiehlt es sich grundsätzlich, die Betroffenen zu benachrichtigen.