Dokumentationspflichten bei „Nicht -Meldung“ von Datenpannen

Jede Verletzung des Schutzes personenbezogener Daten ist bei der zuständigen Aufsichtsbehörde zu melden. Diese Pflicht ist in Art. 33 DSGVO festgelegt. Darüber hinaus besteht gegebenenfalls auch eine Benachrichtigungspflicht gegenüber den betroffenen Personen. Eine Ausnahme von der Meldepflicht besteht dann, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.

Auf die Fragestellung wann eine Datenschutzpanne an die Datenschutzaufsicht gemeldet werden muss, möchten wir in diesem Beitrag nicht näher eingehen, da wir hierzu bereits zu einem früheren Zeitpunkt hier einen Artikel veröffentlicht haben. Stattdessen möchten wir uns in diesem Artikel auf ein Thema konzentrieren, welches häufig außer Acht gelassen wird. Dieses betrifft die Dokumentationspflichten, die auch für den Fall gelten, dass entschieden wird, eine Datenschutzverletzung nicht an die Aufsicht zu melden, da mutmaßlich kein Risiko für die betroffenen Personen besteht.

Keine Meldung, aber trotzdem Pflichten

Sofern ein Unternehmen nach Bewertung der Datenpanne entscheidet, dass kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht kann gem. Art. 33 Abs. 1 Satz 1 DSGVO die Meldung an die Aufsicht entfallen. Häufig endet der Prozess an dieser Stelle mit einer gewissen Erleichterung, weil man sich nicht „selbst anzeigen“ muss. Und bei aller Erleichterung wird dann meist übersehen, dass Art. 33 Abs. 5 bedingungslos, vor allem unabhängig von der Meldung an die Aufsicht, die Dokumentation des Vorfalls fordert:

Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

Das bedeutet: Auch wenn keine Meldung erfolgt, muss eine vollständige Dokumentation erfolgen, welche neben der eigentlichen Datenpanne auch die Entscheidung des Verzichts auf die Meldung nachvollziehbar darstellt. Diese Regelung wäre unseres Erachtens so explizit gar nicht notwendig, da sowohl Verantwortliche als auch Auftragsverarbeiter der Rechenschaftspflicht (Art 5 Abs. 2 DSGVO) unterliegen.

Es ist offensichtlich, dass eine einfache Stellungnahme mit dem Ergebnis „Es wird nicht gemeldet, da kein hohes Risiko für die Freiheit und Rechte natürlicher Personen besteht“ nicht ausreichen wird. Bevor wir auf die Details der Dokumentation eingehen noch ein paar Worte zum Umgang mit Datenpannen:

Um für den Fall einer Datenpanne vorbereitet zu sein, muss ein Reaktionsplan existieren, sodass mit Blick auf die zeitlich einzuhaltenden Pflichten (wir erinnern uns: Die Meldefrist beträgt 72 Stunde nach Erkennen der Datenpanne) auch angemessen reagiert werden kann. Sofern ein Unternehmen im Ernstfall nicht auf bereits existierende Abläufe und Prozesse, Verantwortlichkeiten und Dokumentationsvorlagen zugreifen kann, wird es kaum möglich sein, die datenschutzrechtlichen Anforderungen umzusetzen.

Für die Bewertung einer Datenschutzpanne ist der für die Verarbeitung Verantwortliche zuständig. Darüber hinaus empfehlen wir unbedingt, zusätzlich auch den Datenschutzbeauftragten einzubeziehen. Jeder Vorfall muss zu einer eigenständigen Prüfung und einer individuellen Betrachtung führen.

Dass tatsächlich keine Meldung erfolgen muss, ist eine Entscheidung, zu der man auch etwas Mut benötigt. Wir möchten Ihnen zwei Beispiele liefern, bei denen gegebenenfalls keine Meldepflicht bestehen könnte (bitte bedenken Sie, dass jede Panne individuell zu betrachten ist und diese Beispiele nicht unter allen Rahmenbedingungen passen müssen):

  • Verlust eines verschlüsselten (nach heutigem Stand der Technik) mobilen Datenträgers, wie zum Beispiel ein Laptop oder ein Smartphone;
  • Stromausfall in einem Call-Center, sodass Telefonisten für einen kurzen Zeitraum nicht auf die für den Kunden benötigten Daten zugreifen können.

Bevor ein Fall bewertet werden kann und sich für oder gegen eine Meldung an die Aufsicht entschieden wird, müssen zu jedem Zeitpunkt die Mitarbeiter im Unternehmen so sensibilisiert sein, dass auch eine rasche Kenntnisnahme einer Verletzung gesichert werden kann. Ohne ein gut geschultes Team mit offenen Ohren und Augen werden solche Vorfälle oft nicht mit der gebotenen Sorgfalt behandelt.

Was ist zu dokumentieren?

Zurück zur Dokumentationspflicht: Um für einen Dritten (die Aufsichtsbehörde) die getroffenen Entscheidungen nachvollziehbar zu dokumentieren und zu begründen, ist es unseres Erachtens empfehlenswert alle Fragestellungen, welche auch bei einer Meldung berücksichtigt werden müssen, zu beantworten. Dies sind die folgenden:

  1. Zeitlicher Ablauf der Datenpanne
  2. Beschreibung der Datenpanne
  3. Ausmaß der Datenpanne
  4. Folgen für betroffene Personen
  5. Maßnahmen zur Minimierung des Schadens
  6. Risikoanalyse

Darüber hinaus wäre dann noch die Entscheidung, über den Entfall der Meldepflicht inklusive einer ausführlichen Begründung zu dokumentieren. Aus den Informationen bezüglich Ausmaß, Folgen und Risikoanalyse muss zwingend hervorgehen, weshalb es sich nur um ein geringes Risiko für die betroffenen Personen handelt.

Angenehmer Nebeneffekt: Eine Benachrichtigungspflicht gegenüber den betroffenen Personen besteht nur bei einem voraussichtlich hohen Risiko für diese. Sofern nicht an die Aufsicht gemeldet wird, brauchen die betroffenen Personen nicht benachrichtigt zu werden. Ansonsten (bei Meldung an Aufsicht) muss das Risiko überprüft werden. In diesem Falle fordert Art. 34 DSGVO interessanterweise keine entsprechende Dokumentation der Entscheidung. Wie aber oben bereits geschrieben sehen wir auch hier aufgrund der Rechenschaftspflicht die Notwendigkeit einer entsprechenden Dokumentation der Risikobeurteilung und der Entscheidung, nicht zu informieren.

Zusammenfassend kann festgehalten werden, dass auch jede Nicht-Meldung einer Datenschutzpanne mit nicht zu unterschätzendem Aufwand in Bezug auf die Dokumentationspflichten verbunden sein wird. Aufgrund der zu erfüllenden zeitlichen Komponente (72 Stunden) sind die Rahmenbedingungen sowie der Ablaufplan frühzeitig im Unternehmen festzulegen und zu kommunizieren.

Im Zweifel melden?

Zum Schluss noch ein Hinweis: Die §§ 42 Abs. 4 und 43 Abs. 4 BDSG, enthalten jeweils eine sehr interessante Regelung. Dort wird nämlich das sog. Selbstbezichtigungsverbot umgesetzt, siehe §§ 136 Abs. 1 Satz 2 StPO und 55 Abs. 1 StPO. Die Regelungen des BDSG sind sehr ähnlich ausgestaltet, weshalb wir hier der Einfachheit halber nur § 43 Abs. 5 BDSG zitieren:

Eine Meldung nach Artikel 33 der Verordnung (EU) 679/2016 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 679/2016 darf in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.

Sofern der Meldende also nicht zustimmt, darf ihm aufgrund der Meldung einer Datenpanne kein Bußgeld auferlegt werden. Das heißt jedoch nicht, dass der gemeldete Datenschutzverstoß nicht doch mit einem Bußgeld geahndet werden kann. Lediglich aufgrund der Meldung des Verantwortlichen darf kein Bußgeld verhängt werden. Erfährt die Behörde beispielsweise aufgrund einer Beschwerde einer betroffenen Person zusätzlich auf anderem Wege von dem Verstoß oder werden im Zusammenhang mit den Ermittlungen weitere (nicht gemeldete) Verfehlungen entdeckt (zum Beispiel ein schlecht geführtes Verzeichnis von Verarbeitungen oder fehlende oder schlechte Verträge zur Auftragsverarbeitung, oder… oder… oder…) dann droht weiterhin ein Bußgeld.

Die häufig gehörte Argumentation, einfach alles zu melden um damit vor der Verhängung eines Bußgelds geschützt zu sein, ist leider nicht zielführend. Sie ist insbesondere eine riskante Strategie, wenn man seiner Rechenschaftspflicht nicht garantiert zu 100% nachkommen kann.

Sofern bei Ihnen noch Unsicherheit bezüglich der Dokumentation bei Datenpannen (nicht nur bei den nicht gemeldeten Verstößen) besteht, melden Sie sich gerne bei uns. Wir unterstützen Sie dabei!

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über Ihren Beitrag!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.