Handreichung des HmbBfDI zum Umgang mit Datenpannen
Das Thema „Verletzungen des Schutzes personenbezogener Daten“ (kurz: Datenpannen) ist ein Thema zu dem wir sehr viele Beratungsanfragen haben. Schnell ist eine E-Mail an den falschen Empfänger*innenkreis verschickt oder ein Laptop gestohlen oder liegengelassen. In solchen Fällen ist ein transparenter Umgang entscheidend, um größeren Schaden zu vermeiden. Betroffene Personen sollten informiert werden, damit sie beispielsweise auf nicht autorisierte Abbuchungen von ihrem Bankkonto oder auf Phishing-E-Mails in ihrem Posteingang achten können. Die Datenschutzbehörde muss in der Lage sein, den betroffenen Personen gezielt zu helfen und datenverarbeitende Stelle auf den richtigen Weg zu bringen. Zu diesem Zweck sehen Art. 33 und 34 DSGVO Melde- und Informationspflichten bei derartigen Datenschutzverletzungen vor.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat zu diesem Thema eine Handreichung herausgegeben um für mehr Rechtssicherheit bei diesem heiklen Thema zu sorgen.
Wann liegt ein Datenschutzvorfall vor?
Eine Verletzung des Schutzes personenbezogener Daten wird in Art. 4 Nr. 12 DSGVO definiert als eine „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Kurz zusammengefasst, liegt also immer dann eine Verletzung des Schutzes personenbezogener Daten vor, wenn die Daten entweder unwiederbringlich weg sind, oder ein Unbefugter diese sehen oder verändern konnte. Darüber hinaus liegt eine solche Verletzung bereits vor, wenn nicht ausgeschlossen werden kann, dass etwas passiert ist, beispielsweise weil Berechtigungen falsch gesetzt wurden oder keine wirksamen Schutzmaßnahmen ergriffen wurden. Selbst wenn das eigentliche Problem bereits beseitigt ist – es reicht, dass es theoretisch möglich gewesen wäre. Und dass nichts passiert ist, wäre auch erst einmal nachzuweisen…
Die Handreichung
Die Handreichung des HmbBfDI führt auf, in welchen Fällen einer Meldepflicht gegenüber der Datenschutzaufsichtsbehörde besteht und wann die betroffenen Personen gegebenenfalls zu benachrichtigen sind. Sie zeigt auf, welche Fristen einzuhalten sind und gibt anhand von Beispielen eine Orientierungshilfe. Die Beispiele werden übersichtlich in einer Tabelle dargestellt.
Beginn der Meldefrist
Immer wieder taucht die Frage auf, ab wann die 72-Stunden-Frist für die Meldung an die Aufsichtsbehörde beginnt. Hierzu stellt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) klar, dass die Frist ab dem Zeitpunkt beginnt, an dem die erheblichen Tatsachen bekannt werden. Dabei genügt es, wenn diese Kenntnis an irgendeiner Stelle im Unternehmen erlangt wird. Ist eine Meldung nach „allgemeinem Ermessen“ früher möglich, sollte sie entsprechend früher erfolgen. Wird die Frist von 72 Stunden nicht eingehalten, muss der Verantwortliche dies gemäß Art. 33 Abs. 1 Satz 2 DSGVO begründen. Dabei sind außergewöhnliche Umstände darzulegen, beispielsweise wenn innerhalb kurzer Zeit viele Hackerangriffe erfolgen und es wichtig ist, dies abzuwehren und Beweise zu sichern.
Die Kenntnis gilt als erlangt, wenn der Verantwortliche über einen angemessenen Grad an Sicherheit erlangt hat, dass eine Datenpanne vorliegt. Die Meldepflicht tritt daher nicht ein, wenn zunächst nur vage Anhaltspunkte vorliegen. In diesen Fällen muss der Verantwortliche unverzüglich Ermittlungen einleiten und verfügt während der Ermittlungen noch nicht über den notwendigen Grad an Sicherheit. Die Meldung hat zu erfolgen, sobald dieser Grad erreicht ist, auch wenn der Sachverhalt noch nicht vollständig aufgeklärt ist. Dies kann beispielsweise der Fall sein, wenn zwar bekannt ist, dass ein USB-Stick verloren gegangen ist, auch wenn (noch) nicht festgestellt werden kann, ob Dritte auch tatsächlich auf die Daten zugegriffen haben. Genauso ist die Kenntnis in ausreichendem Maß vorhanden, wenn der Verantwortliche einen Hinweis mit Beweisen erhält. Keine Kenntnis hat er jedoch, wenn der Hinweis noch unbestätigt ist und weitere Untersuchungen erforderlich sind. Wenn zum Beispiel jemand eine Phishing-Mail weiterleitet, die Kundendaten des Unternehmens des Verantwortlichen enthält, muss der Verantwortliche nicht sofort eine Meldung durchführen. Vielmehr wäre zunächst das IT-System auf unberechtigte Zugriffe zu überprüfen und die ausreichende Kenntnis würde erst dann als ausreichend erlangt gelten, wenn solche Zugriffe entdeckt werden. Der Umfang der Meldung richtet sich nach Art. 33 Abs. 3 DSGVO.
Sind noch nicht alle in Art. 33 DSGVO geforderten Informationen bekannt (zum Beispiel Datenkategorien oder Anzahl der betroffenen Personen), ist dies kein Grund, die Meldung aufzuschieben. Die Meldung sollte dann schrittweise erfolgen (Art. 33 Abs. 4 DSGVO), wobei die fehlenden Informationen später nachgereicht werden können.
Interessante Beispiele
Beispiel 1
Angriff auf 100.000 Konten einer Bankwebsite mit Log-ins in ca. 2.000 Kundenkonten aufgrund einer Schwachstelle in der Website.
Hier wird erwartet, dass neben der Meldung an die Aufsichtsbehörde nicht nur die betroffenen Personen der 2.000 erfolgreichen Log-ins Information, sondern alle 100.000 betroffenen Personen informiert werden, obwohl keine Kenntnisnahme der Daten der 98.000 betroffenen Personen erfolgte.
Beispiel 2
Versehentliche Übermittlung von Daten an vertrauenswürdige Dritte (zum Beispiel Anwälte, Behörden etc.). Wenn die Dritten als Berufsgeheimnisträger zur Vertraulichkeit verpflichtet sind, die Löschung bzw. Rückgabe der Daten sichergestellt wurde und keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO Daten betroffen waren, müssen weder die Datenschutzaufsichtsbehörde noch die betroffenen Personen informiert werden.
Zu den Berufsgeheimnisträgern gehören auch Tierärzte, Apotheker, Eheberater oder Sozialarbeiter, an die nach dem Beispiel, nun sämtliche Daten (versehentlich) übermittelt werden könnten, ohne, dass die Aufsichtsbehörde, geschweige denn die betroffenen Personen davon erfahren, sofern die Berufsgeheimnisträger dann die Daten zurücksenden oder löschen.
Beispiel 3
Versand eines (Bank-)Kontoauszugs an den falschen Kunden. Hier ist die Aufsichtsbehörde zu informieren. Die betroffenen Personen werden in der Regel nicht im Einzelfall informiert, sondern nur bei einer Häufung von Fehlleitungen. Unklar ist, ob es sich um Fehlsendungen an verschiedene Empfänger oder an den/die gleichen Empfänger handelt.
Unsere Erfahrung in der täglichen Beratungspraxis ist übrigens, dass die Gefahr besteht, dass die falschen Empfänger*innen die betroffene Person über den Erhalt der Kontoauszüge informieren könnten und diese dann vermutlich eine andere Sichtweise über die Informationspflicht bezüglich des Fehlversands hätte. Bei dieser Einschätzung ließ sich die Behörde vermutlich von dem Grundsatz leiten, dass es nicht auf tatsächliche Zugriffe ankommt, sondern auf die Möglichkeit, dass solche Zugriffe stattgefunden haben könnten.
Fazit
Abgesehen von den aus unserer Sicht zum Teil bemerkenswerten Beispielen bietet der Leitfaden selbst keine großen Überraschungen, sollte aber für die Unternehmen eine gute Hilfestellung sein. Die Beispiele hingegen zeigen deutlich, wie schwierig es häufig ist, die richtige Entscheidung zu treffen, ob eine Meldung an die Aufsichtsbehörde und gegebenenfalls eine Benachrichtigung an die betroffenen Personen erforderlich ist. Unsere Empfehlung lautet daher meist: Wenn Sie unsicher sind, ob Sie melden sollten, tun Sie es. Denn: Eine Meldung zu viel ist genau das: eine Meldung zu viel. Eine Meldung zu wenig stellt jedoch einen bußgeldbewehrten Datenschutzverstoß dar.
