Vorbeugen ist besser als Heilen (DSGVO).
EINLEITUNG
Mit der Datenschutz-Grundverordnung (DSGVO) wird die Anforderung eingeführt, dass Verletzungen des Schutzes personenbezogener Daten (im Folgenden „Datenschutzverletzungen“) an die Aufsichtsbehörde (bzw. im Falle grenzüberschreitender Datenschutzverletzungen an die federführende Behörde) gemeldet werden müssen und dass in bestimmten Fällen die Personen, deren personenbezogene Daten von der Datenschutzverletzung betroffen sind, von der Datenschutzverletzung benachrichtigt werden müssen.
Nach Ansicht der Artikel-29-Datenschutzgruppe ist die neue Meldepflicht in mehrfacher Hinsicht von Vorteil. Bei der Meldung an die Aufsichtsbehörde können sich die Verantwortlichen darüber beraten lassen, ob die betroffenen Personen informiert werden müssen. Die Aufsichtsbehörde kann den Verantwortlichen sogar anweisen, die Betroffenen über die Datenschutzverletzung zu unterrichten. Im Rahmen der Benachrichtigung kann der Verantwortliche die betroffenen Personen über die durch die Datenschutzverletzung entstandenen Risiken informieren und ihnen mitteilen, wie sie sich selbst vor den möglichen Folgen der Verletzung schützen können. Das Hauptaugenmerk eines Reaktionsplans zur Bewältigung von Datenschutzverletzungen sollte auf dem Schutz natürlicher Personen und ihrer personenbezogenen Daten liegen. Dementsprechend sollte die Meldung von Datenschutzverletzungen als Instrument betrachtet werden, das die Einhaltung der Vorschriften zum Schutz personenbezogener Daten erleichtert. Gleichzeitig ist zu beachten, dass die Nichtmeldung einer Datenschutzverletzung gegenüber einer betroffenen Person oder einer Aufsichtsbehörde unter Umständen eine mögliche Sanktion nach Artikel 83 gegen den Verantwortlichen begründen kann.
Die Verantwortlichen und Auftragsverarbeiter sollten daher vorausschauend planen und Verfahren einführen, die es ihnen ermöglichen, Datenschutzverletzungen zu erkennen und zügig einzudämmen, das Risiko für die betroffenen Personen zu bewerten und anschließend festzustellen, ob die zuständige Aufsichtsbehörde informiert werden muss, und die Betroffenen gegebenenfalls von der Datenschutzverletzung zu benachrichtigen. Die Meldung an die Aufsichtsbehörde sollte Bestandteil eines solchen Vorfallreaktionsplans sein.
Die DSGVO enthält Vorschriften darüber, wann und an wen eine Datenschutzverletzung gemeldet werden muss und welche Angaben in der Meldung gemacht werden müssen. Die für die Meldung erforderlichen Informationen können schrittweise übermittelt werden, doch sollten die Verantwortlichen in jedem Fall zügig auf eine Datenschutzverletzung reagieren.In den vorliegenden Leitlinien werden die verbindlichen Melde- und Benachrichtigungsanforderungen der DSGVO erläutert und einige Maßnahmen vorgestellt, die die Verantwortlichen und Auftragsverarbeiter zur Erfüllung dieser neuen Verpflichtungen ergreifen können. Außerdem werden Beispiele für verschiedene Arten von Datenschutzverletzungen beschrieben, um anhand unterschiedlicher Szenarien zu erläutern, wer jeweils unterrichtet werden muss.
I. Meldung von Verletzungen des Schutzes personenbezogener Daten nach der DSGVO
A. Grundlegende Überlegungen zum Thema Sicherheit
Eine der Anforderungen der DSGVO lautet, dass personenbezogene Daten mithilfe geeigneter technischer und organisatorischer Maßnahmen in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
Folglich müssen die Verantwortlichen und die Auftragsverarbeiter nach Maßgabe der DSGVO über geeignete technische und organisatorische Maßnahmen verfügen, die ein Sicherheitsniveau gewährleisten, das den für die verarbeiteten personenbezogenen Daten bestehenden Risiken angemessen ist. Sie sollten den Stand der Technik, die Implementierungskosten und die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigen. Darüber hinaus müssen nach der DSGVO alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen werden, um sofort feststellen zu können, ob eine Datenschutzverletzung aufgetreten ist, woraus sich dann ableitet, ob die Meldepflicht zum Tragen kommt.
Eines der zentralen Komponenten jedes Datensicherheitskonzepts ist somit die Fähigkeit, Datenschutzverletzungen soweit möglich zu verhindern und, sollte eine Datenschutzverletzung dennoch auftreten, zügig darauf zu reagieren.
B. Was ist eine Verletzung des Schutzes personenbezogener Daten?
1. Begriffsbestimmung
Um gegen eine Datenschutzverletzung vorgehen zu können, müssen die Verantwortlichen zunächst in der Lage sein, eine Datenschutzverletzung zu erkennen. Der Begriff „Verletzung des Schutzes personenbezogener Daten“ wird in Artikel 4 Absatz 12 der DSGVO definiert als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Es dürfte klar sein, dass es sich bei einer Datenschutzverletzung um eine Art von Sicherheitsvorfall handelt. Wie aus Artikel 4 Absatz 12 hervorgeht, ist die DSGVO jedoch nur bei Verletzungen des Schutzes personenbezogener Daten anwendbar. Die Folge einer solchen Datenschutzverletzung ist, dass der Verantwortliche die Einhaltung der in Artikel 5 der DSGVO dargelegten Grundsätze im Zusammenhang mit der Verarbeitung personenbezogener Daten nicht mehr gewährleisten kann. An dieser Stelle wird der Unterschied zwischen einem Sicherheitsvorfall und einer Verletzung des Schutzes personenbezogener Daten deutlich: Im Wesentlichen ist eine Verletzung des Schutzes personenbezogener Daten immer auch ein Sicherheitsvorfall, während es sich bei einem Sicherheitsvorfall nicht notwendigerweise um eine Verletzung des Schutzes personenbezogener Daten handelt.
Die möglichen negativen Folgen einer Datenschutzverletzung für die betroffenen Personen werden weiter unten erörtert.
2. Formen der Verletzung des Schutzes personenbezogener Daten
Wie die Artikel-29-Datenschutzgruppe in ihrer Stellungnahme 03/2014 über die Meldung von Verletzungen des Schutzes personenbezogener Daten dargelegt hat, lassen sich Datenschutzverletzungen nach den folgenden drei bekannten Grundsätzen der Informationssicherheit unterteilen:
- „Verletzung der Vertraulichkeit“ – die unbefugte oder unbeabsichtigte Preisgabe von oder Einsichtnahme in personenbezogene Daten
- „Verletzung der Integrität“ – die unbefugte oder unbeabsichtigte Änderung personenbezogener Daten
- „Verletzung der Verfügbarkeit“ – der unbefugte oder unbeabsichtigte Verlust des Zugangs zu personenbezogenen Daten oder die unbeabsichtigte oder unrechtmäßige Vernichtung personenbezogener Daten
Zu beachten ist auch, dass eine Datenschutzverletzung je nach den Umständen die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zugleich oder eine beliebige Kombination aller Grundsätze betreffen kann.
Während sich eine Verletzung der Datenvertraulichkeit oder -integrität relativ eindeutig feststellen lässt, ist eine Verletzung der Datenverfügbarkeit unter Umständen weniger offensichtlich. Eine Datenschutzverletzung gilt immer als Verletzung der Datenverfügbarkeit, wenn personenbezogene Daten dauerhaft verloren gegangen sind oder vernichtet wurden.
3. Mögliche Folgen von Verletzungen des Schutzes personenbezogener Daten
Datenschutzverletzungen können zahlreiche nachteilige Auswirkungen für die betroffenen Personen haben und einen physischen, materiellen oder immateriellen Schaden nach sich ziehen. Wie in der DSGVO erläutert, können hierzu der Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung und Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten gehören. den betroffenen Personen können auch andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile entstehen.
Daher verlangt die DSGVO von den Verantwortlichen, Datenschutzverletzungen an die zuständige Aufsichtsbehörde zu melden, es sei denn, dass die Datenschutzverletzung voraussichtlich nicht zu dem Risiko eines Eintritts solcher nachteiligen Auswirkungen führt. Besteht ein hohes Risiko, dass diese nachteiligen Auswirkungen eintreten, muss der Verantwortliche nach den Bestimmungen der DSGVO die betroffenen Personen so rasch wie nach allgemeinem Ermessen möglich von der Datenschutzverletzung benachrichtigen.
In Erwägungsgrund 87 der DSGVO wird betont, wie wichtig es ist, eine Datenschutzverletzung feststellen, das Risiko für die betroffenen Personen einschätzen und die Datenschutzverletzung daraufhin gegebenenfalls melden zu können:
In Erwägungsgrund 87 der DSGVO wird betont, wie wichtig es ist, eine Datenschutzverletzung feststellen, das Risiko für die betroffenen Personen einschätzen und die Datenschutzverletzung daraufhin gegebenenfalls melden zu können:
„Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können. Bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, sollten die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person berücksichtigt werden. Die entsprechende Meldung kann zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen.“
II. Artikel 33 – Meldung an die Aufsichtsbehörde
A. Wann muss eine Meldung erfolgen?
1. Anforderungen nach Artikel 33
Artikel 33 Absatz 1 sieht Folgendes vor:
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“
Erwägungsgrund 87 lautet wie folgt:
„Es sollte festgestellt werden, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden, um sofort feststellen zu können, ob eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist, und um die Aufsichtsbehörde und die betroffene Person umgehend unterrichten zu können. Bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, sollten die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person berücksichtigt werden. Die entsprechende Meldung kann zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen.“
2. Wann wird dem Verantwortlichen eine Datenschutzverletzung „bekannt“?
Wie bereits erläutert, verlangt die DSGVO, dass der Verantwortliche eine Datenschutzverletzung unverzüglich und, falls möglich, binnen höchstens 72 Stunden meldet, nachdem ihm die Verletzung bekannt wurde. Hier könnte sich die Frage stellen, wann davon auszugehen ist, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde. Nach Auffassung der Artikel-29-Datenschutzgruppe ist anzunehmen, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde, wenn der betreffende Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat.
Die DSGVO sieht jedoch wie bereits angemerkt vor, dass die Verantwortlichen alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen treffen, um sofort feststellen zu können, ob eine Datenschutzverletzung aufgetreten ist, und um die Aufsichtsbehörde und die betroffenen Personen umgehend unterrichten zu können. Ferner wird erklärt, dass bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, die Art und Schwere der Datenschutzverletzung sowie deren Folgen und nachteiligen Auswirkungen für die betroffene Person berücksichtigt werden sollten. Daher obliegt es den Verantwortlichen sicherzustellen, dass ihnen etwaige Datenschutzverletzungen rechtzeitig „bekannt“ werden, um angemessene Maßnahmen ergreifen zu können.
Wann genau davon auszugehen ist, dass einem Verantwortlichen eine bestimmte Datenschutzverletzung „bekannt“ wurde, hängt von den konkreten Umständen der Datenschutzverletzung ab. In einigen Fällen dürfte von Anfang an klar sein, dass eine Datenschutzverletzung vorliegt, in anderen hingegen kann womöglich erst nach einer gewissen Zeit festgestellt werden, ob personenbezogene Daten beeinträchtigt wurden. Der Schwerpunkt sollte jedoch auf sofortigen Maßnahmen zur Untersuchung des Vorfalls liegen, damit festgestellt wird, ob der Schutz personenbezogener Daten tatsächlich verletzt wurde, und um Abhilfemaßnahmen zu ergreifen und die Datenschutzverletzung gegebenenfalls zu melden, falls sich diese bestätigt.
3. Gemeinsam für die Verarbeitung Verantwortliche
Artikel 26 befasst sich mit gemeinsam für die Verarbeitung Verantwortlichen und sieht vor, dass gemeinsam für die Verarbeitung Verantwortliche festlegen, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt. Dabei muss auch die für die Einhaltung der Verpflichtungen aus den Artikeln 33 und 34 verantwortliche Partei benannt werden. Die Artikel-29-Datenschutzgruppe empfiehlt, in den vertraglichen Vereinbarungen zwischen gemeinsam für die Verarbeitung Verantwortlichen ausdrücklich zu regeln, welcher Verantwortliche in Bezug auf die Einhaltung der Pflicht zur Meldung von Datenschutzverletzungen die führende Rolle übernimmt bzw. die Verantwortung trägt.
4. Pflichten des Auftragsverarbeiters
Der Verantwortliche trägt zwar stets die Gesamtverantwortung für den Schutz personenbezogener Daten, doch der Auftragsverarbeiter hat insofern eine wichtige Rolle, als er den Verantwortlichen dabei unterstützt, seinen Verpflichtungen nachzukommen – dazu gehört auch die Meldung von Datenschutzverletzungen. In Artikel 28 Absatz 3 ist festgelegt, dass die Verarbeitung durch einen Auftragsverarbeiter auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments zu erfolgen hat. Nach Artikel 28 Absatz 3 Buchstabe f muss ein solcher Vertrag bzw. ein solch anderes Rechtsinstrument vorsehen, dass der Auftragsverarbeiter „unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten unterstützt“.
Artikel 33 Absatz 2 besagt eindeutig, dass der vom Verantwortlichen eingesetzte Auftragsverarbeiter eine ihm bekannt gewordene Verletzung des Schutzes der personenbezogenen Daten, die er im Auftrag des Verantwortlichen verarbeitetet, „unverzüglich“ an den Verantwortlichen melden muss. Der Auftragsverarbeiter ist dabei nicht verpflichtet, die Wahrscheinlichkeit eines mit einer Datenschutzverletzung verbundenen Risikos vor der Meldung an den Verantwortlichen zu prüfen; es ist Sache des Verantwortlichen, dies zu prüfen, sobald ihm die Datenschutzverletzung bekannt wird. Der Auftragsverarbeiter muss lediglich feststellen, ob eine Datenschutzverletzung aufgetreten ist, und diese dann an den Verantwortlichen melden. Der Verantwortliche nutzt den Auftragsverarbeiter, um seine Ziele zu erreichen; deshalb gilt grundsätzlich, dass dem Verantwortlichen die Datenschutzverletzung „bekannt“ wurde, sobald ihn der Auftragsverarbeiter davon in Kenntnis gesetzt hat. Die Pflicht des Auftragsverarbeiters zur Meldung an den Verantwortlichen versetzt den Verantwortlichen in die Lage, die Verletzung zu beheben und festzustellen, ob eine Meldung an die Aufsichtsbehörde gemäß Artikel 33 Absatz 1 und eine Benachrichtigung der betroffenen Personen gemäß Artikel 34 Absatz 1 erfolgen muss. Gegebenenfalls möchte der Verantwortliche die Datenschutzverletzung auch untersuchen, weil der Auftragsverarbeiter unter Umständen nicht über alle einschlägigen Fakten informiert ist und beispielsweise nicht wissen kann, ob der Verantwortliche eine Kopie oder Sicherung der vom Auftragsverarbeiter vernichteten oder verlorenen personenbezogenen Daten hat. Davon kann wiederum abhängen, ob der Verantwortliche den Vorfall melden muss.
B. Übermittlung von Informationen an die Aufsichtsbehörde
1. Bereitzustellende Informationen
Bei der Meldung einer Datenschutzverletzung an die Aufsichtsbehörde muss der Verantwortliche nach Maßgabe von Artikel 33 Absatz 3 zumindest folgende Informationen übermitteln:
a.) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
b.) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c.) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d.) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
In der DSGVO werden keine Kategorien von betroffenen Personen oder personenbezogenen Datensätzen definiert. Die Artikel-29-Datenschutzgruppe schlägt jedoch vor, dass die Kategorien von betroffenen Personen auf die verschiedenen Arten von Personen Bezug nehmen, deren personenbezogene Daten durch eine Datenschutzverletzung beeinträchtigt wurden. Je nach verwendeten Deskriptoren könnten dazu unter anderem Kinder und andere schutzbedürftige Gruppen, Menschen mit Behinderungen, Beschäftige oder Kunden gehören. In ähnlicher Weise können sich die Kategorien personenbezogener Datensätze auf die unterschiedlichen Arten von Datensätzen beziehen, die ein Verantwortlicher besitzt, zum Beispiel Gesundheitsdaten, Ausbildungsunterlagen, Informationen zur Sozialfürsorge, Finanzdaten, Kontonummern, Reisepassnummern usw.
Das Fehlen genauer Informationen (z. B. die genaue Zahl der betroffenen Personen) sollte kein Hindernis für die frühzeitige Meldung einer Datenschutzverletzung sein. Nach der DSGVO dürfen ungefähre Zahlen der betroffenen Personen und der betroffenen personenbezogenen Datensätze angegeben werden. Der Fokus sollte auf der Behebung der nachteiligen Auswirkungen der Datenschutzverletzung liegen und weniger auf genauen Zahlenangaben. Daher kann, wenn eine Datenschutzverletzung eindeutig festgestellt wurde, deren genaues Ausmaß aber noch nicht bekannt ist, die Meldung schrittweise erfolgen (siehe unten), um der Meldepflicht dennoch ordnungsgemäß nachzukommen.
2. Schrittweise Meldung
Je nach Art einer Datenschutzverletzung muss der Verantwortliche zur Ermittlung aller für einen Vorfall relevanten Fakten eventuell zusätzliche Untersuchungen durchführen. In Artikel 33 Absatz 4 ist daher Folgendes festgelegt:
„Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.“
Durch die Meldepflicht sollen die Verantwortlichen insbesondere dazu angehalten werden, bei Datenschutzverletzungen umgehend tätig zu werden und sie einzudämmen, die beeinträchtigten personenbezogenen Daten nach Möglichkeit wiederherzustellen und sich von der Aufsichtsbehörde beraten zu lassen. Wenn der Verantwortliche die Aufsichtsbehörde innerhalb der ersten 72 Stunden benachrichtigt, kann er sicherstellen, dass er im Hinblick auf die Benachrichtigung der betroffenen Personen korrekt entscheidet.
3. Verzögerte Meldung
Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist nach Artikel 33 Absatz 1 eine Begründung für die Verzögerung beizufügen. Mit dieser Vorgabe sowie mit dem Konzept der schrittweisen Meldung wird zugestanden, dass die Verantwortlichen möglicherweise nicht immer in der Lage sind, eine Datenschutzverletzung innerhalb dieses Zeitraums zu melden, und dass eine verzögerte Meldung zulässig sein kann.
Ein solches Szenario wäre beispielsweise denkbar, wenn bei einem Verantwortlichen in einem kurzen Zeitraum mehrere vergleichbare Verletzungen der Datenvertraulichkeit auftreten, von denen sehr viele Personen in gleicher Weise betroffen sind. Einem Verantwortlichen könnte eine Datenschutzverletzung bekannt werden, und zu Beginn seiner Untersuchungen sowie vor der Meldung könnte er feststellen, dass weitere ähnliche Verletzungen mit unterschiedlichen Ursachen aufgetreten sind. Je nach den Umständen kann der Verantwortliche das Ausmaß der Datenschutzverletzungen vielleicht erst nach einer gewissen Zeit feststellen; anstatt jede Verletzung einzeln zu melden, erstellt er eine aussagekräftige Meldung, in der mehrere sehr ähnlich gelagerte Verletzungen mit verschiedenen möglichen Ursachen wiedergegeben werden. Dadurch könnte sich die Meldung an die Aufsichtsbehörde um mehr als 72 Stunden, nachdem dem Verantwortlichen die Datenschutzverletzungen bekannt wurden, verzögern.
III. Artikel 34 – Benachrichtigung der betroffenen Person
A. Unterrichtung der betroffenen Personen
In bestimmten Fällen muss der Verantwortliche zusätzlich zur Meldung an die Aufsichtsbehörde auch die betroffenen Personen von der Datenschutzverletzung benachrichtigen.
In Artikel 34 Absatz 1 ist Folgendes festgelegt:
„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“
Die Verantwortlichen sollten daran denken, dass die Meldung an die Aufsichtsbehörde obligatorisch ist, es sei denn, dass die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt. Darüber hinaus müssen auch die betroffenen Personen benachrichtigt werden, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Für die Benachrichtigung der betroffenen Personen gilt demnach eine höhere Schwelle als für die Meldung an die Aufsichtsbehörden – die betroffenen Personen müssen also nicht in allen Fällen von Datenschutzverletzungen benachrichtigt werden, damit sie nicht mit unnötigen Benachrichtigungen überfrachtet werden.
Nach der DSGVO müssen die betroffenen Personen „unverzüglich“, das heißt so schnell wie möglich, von einer Datenschutzverletzung benachrichtigt werden. Wichtigstes Ziel der Benachrichtigung ist es, dass die betroffenen Personen gezielt über Vorkehrungen informiert werden, die sie zu ihrem eigenen Schutz treffen können. Wie bereits angemerkt, hilft eine frühzeitige Benachrichtigung den betroffenen Personen je nach Art der Datenschutzverletzung und der damit verbundenen Risiken, die nötigen Schritte einzuleiten, um sich selbst vor den negativen Folgen der Verletzung zu schützen.
B. Bereitzustellende Informationen
In Bezug auf die Benachrichtigung betroffener Personen sieht Artikel 34 Absatz 2 Folgendes vor:
„Die in Absatz 1 genannte Benachrichtigung der betroffenen Person beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält zumindest die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Maßnahmen.“
Nach dieser Vorschrift sollten die Verantwortlichen zumindest die folgenden Informationen bereitstellen:
- eine Beschreibung der Art der Datenschutzverletzung;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;
- eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung; und
- eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung, gegebenenfalls einschließlich der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Der Verantwortliche könnte als Beispiel für die Maßnahmen, die er zur Behebung der Datenschutzverletzung und zur Abmilderung ihrer möglichen nachteiligen Auswirkungen ergriffen hat, anführen, dass er von der zuständigen Aufsichtsbehörde nach Meldung der Datenschutzverletzung über den Umgang mit dem Vorfall und die Abmilderung seiner Auswirkungen beraten wurde. Er könnte den betroffenen Personen gegebenenfalls auch besondere Maßnahmen empfehlen, die sie zu ihrem eigenen Schutz vor möglichen nachteiligen Auswirkungen der Datenschutzverletzung treffen können, wie etwa das Zurücksetzen der Passwörter im Falle der Beeinträchtigung von Zugangsdaten. Auch hier steht es den Verantwortlichen frei, über die genannten Anforderungen hinaus weitere Informationen bereitzustellen.
C. Kontaktaufnahme mit den betroffenen Personen
Grundsätzlich sollten die betroffenen Personen direkt über eine Datenschutzverletzung benachrichtigt werden, sofern dies nicht mit einem unverhältnismäßig hohen Aufwand verbunden ist. In dem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden (Artikel 34 Absatz 3 Buchstabe c).
Die betroffenen Personen sollten durch eine eigens für den Zweck erstellte Mitteilung von der Datenschutzverletzung benachrichtigt werden. Die Mitteilung sollte nicht zusammen mit anderen Informationen, etwa mit regelmäßigen Updates, Newslettern oder Standardmitteilungen, verschickt werden. Dies trägt zur Klarheit und Transparenz der Benachrichtigung bei.
Transparente Benachrichtigungsmethoden sind zum Beispiel die direkte Kommunikation per E-Mail, SMS oder Instant-Messaging-Dienste, an herausragender Stelle platzierte Banner oder Meldungen auf der Website, postalische Mitteilungen und aufmerksamkeitsstarke Anzeigen in den Printmedien. Die ausschließliche Benachrichtigung durch eine Pressemitteilung oder in einem Unternehmensblog wäre kein wirksames Mittel, um die betroffenen Personen von einer Datenschutzverletzung in Kenntnis zu setzen. Die Artikel-29-Datenschutzgruppe empfiehlt den Verantwortlichen, Kommunikationsmittel zu wählen, die eine optimale Vermittlung der Informationen an alle betroffenen Personen gewährleisten. Dazu muss der Verantwortliche den Umständen entsprechend möglicherweise mehrere Kommunikationswege statt nur eines Kontaktkanals nutzen.
D. Bedingungen, unter denen keine Benachrichtigung erforderlich ist
In Artikel 34 Absatz 3 werden die folgenden drei Bedingungen genannt, unter denen die betroffenen Personen nicht von einer Datenschutzverletzung benachrichtigt werden müssen:
- Der Verantwortliche hat vor der Datenschutzverletzung geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten umgesetzt, insbesondere solche Maßnahmen, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden. Dazu könnte zum Beispiel der Schutz personenbezogener Daten durch eine dem Stand der Technik entsprechende Verschlüsselung oder durch Tokenisierung gehören.
- Der Verantwortliche hat unmittelbar nach einer Datenschutzverletzung durch Maßnahmen dafür gesorgt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht. Je nach Sachlage wäre dies beispielsweise der Fall, wenn der Verantwortliche die Person, die Zugang zu den personenbezogenen Daten hatte, sofort ermittelt und Maßnahmen gegen sie getroffen hat, bevor sie die Daten in irgendeiner Weise verwenden konnte. Trotzdem müssen – auch hier abhängig von der Art der betroffenen Daten – die möglichen Folgen einer etwaigen Beeinträchtigung der Datenvertraulichkeit gebührend berücksichtigt werden.
- Die Kontaktaufnahme mit den betroffenen Personen würde einen unverhältnismäßigen Aufwand verursachen, etwa wenn deren Kontaktdaten aufgrund der Datenschutzverletzung verloren gegangen sind oder wenn diese schon vorher nicht bekannt waren. Ein solcher Fall würde beispielsweise eintreten, wenn das Lager eines statistischen Amtes überflutet wurde und die Dokumente mit den personenbezogenen Daten nur in Papierform gelagert wurden. Der Verantwortliche muss stattdessen eine öffentliche Mitteilung machen oder mit ähnlichen Maßnahmen dafür sorgen, dass die betroffenen Personen vergleichbar wirksam informiert werden. Im Falle eines unverhältnismäßigen Aufwands könnten die Informationen über die Datenschutzverletzung unter Umständen auch mithilfe technischer Lösungen auf Anfrage abrufbar gemacht werden. Das wäre auch für betroffene Personen hilfreich, die der Verantwortliche anderweitig nicht kontaktieren kann.
Im Einklang mit dem Grundsatz der Rechenschaftspflicht sollten die Verantwortlichen gegenüber der Aufsichtsbehörde nachweisen können, dass mindestens eine dieser Bedingungen erfüllt ist. Dabei gilt es zu beachten, dass auch, wenn zunächst auf die Meldung verzichtet werden kann, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, sich die Umstände mit der Zeit ändern können, sodass das Risiko erneut bewertet werden muss.
IV. Bewertung eines Risikos und eines hohen Risikos
A. Das Risiko als Auslöser für die Meldung
Obwohl mit der DSGVO die Pflicht zur Meldung von Datenschutzverletzungen eingeführt wird, muss eine Datenschutzverletzung nicht unter allen Umständen gemeldet werden:
- Die Meldung an die Aufsichtsbehörde ist erforderlich, es sei denn, dass die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
- Die Pflicht zur Benachrichtigung der betroffenen Personen wird nur ausgelöst, wenn die Datenschutzverletzung voraussichtlich zu einem hohen Risiko für ihre Rechte und Freiheiten führt.
Deshalb ist es entscheidend, dass sich der Verantwortliche unmittelbar nachdem ihm eine Datenschutzverletzung bekannt wird nicht nur um die Eindämmung des Vorfalls bemüht, sondern auch prüft, welches Risiko damit verbunden sein könnte. Hierfür gibt es zwei wichtige Gründe: Erstens kann der Verantwortliche leichter wirksame Maßnahmen zur Eindämmung und Behebung der Datenschutzverletzung ergreifen, wenn ihm die Eintrittswahrscheinlichkeit und mögliche Schwere der Folgen für die betroffenen Personen bekannt sind; zweitens kann er so besser beurteilen, ob die Meldung an die Aufsichtsbehörde erforderlich ist und ob die betroffenen Personen gegebenenfalls von der Datenschutzverletzung benachrichtigt werden müssen.
B. Im Rahmen der Risikobewertung zu berücksichtigende Faktoren
Aus den Erwägungsgründen 75 und 76 der DSGVO geht hervor, dass bei der Bewertung des Risikos grundsätzlich sowohl der Eintrittswahrscheinlichkeit als auch der Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen Rechnung zu tragen ist. Darüber hinaus sollte das Risiko anhand einer objektiven Bewertung beurteilt werden.
Es wird darauf hingewiesen, dass die Bewertung des mit einer Datenschutzverletzung verbundenen Risikos für die Rechte und Freiheiten von Menschen einen anderen Schwerpunkt hat als die Risikobewertung, die im Rahmen einer Datenschutz-Folgeabschätzung (DSFA) durchgeführt wird. Bei der DSFA werden sowohl die mit der planmäßig durchgeführten Datenverarbeitung verbundenen Risiken als auch die Risiken im Falle einer Datenschutzverletzung bewertet. Bei Betrachtung einer möglichen Datenschutzverletzung werden die generelle Eintrittswahrscheinlichkeit einer solchen Verletzung sowie der potenziell daraus folgende Schaden für die betroffene Person geprüft; mit anderen Worten, es wird ein hypothetisches Ereignis bewertet. Bei einer tatsächlich eingetretenen Datenschutzverletzung hat sich der Vorfall bereits ereignet, sodass der Fokus ausschließlich auf dem Risiko der Folgen liegt, die die Datenschutzverletzung für die betroffenen Personen hat.
Dementsprechend sollte der Verantwortliche bei der Bewertung des mit der Datenschutzverletzung verbundenen Risikos für die betroffenen Personen den spezifischen Umständen der Datenschutzverletzung Rechnung tragen, einschließlich der Schwere der potenziellen Folgen und der Wahrscheinlichkeit, dass diese Folgen eintreten. Daher empfiehlt die Artikel-29-Datenschutzgruppe, folgende Kriterien in die Bewertung einzubeziehen:
- Art der Datenschutzverletzung
- Art, Sensibilität und Umfang personenbezogener Daten
- Identifizierbarkeit betroffener Personen
- Schwere der Folgen für die betroffenen Personen
- Besondere Eigenschaften der betroffenen Person
- Besondere Eigenschaften des Verantwortlichen
- Die Zahl der betroffenen Personen
- Allgemeine Aspekte
V. Rechenschaftspflicht und Aufzeichnung
A. Dokumentation von Datenschutzverletzungen
Die Verantwortlichen sind verpflichtet, alle Datenschutzverletzungen zu dokumentieren, und zwar unabhängig davon, ob der Aufsichtsbehörde eine Verletzung gemeldet werden muss oder nicht. Artikel 33 Absatz 5 lautet dazu wie folgt:
„Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.“
Dies steht in Zusammenhang mit dem in Artikel 5 Absatz 2 der DSGVO verankerten Grundsatz der Rechenschaftspflicht. Mit der Protokollierung sowohl nicht meldepflichtiger als auch meldepflichtiger Datenschutzverletzungen kommen die Verantwortlichen auch ihren Verpflichtungen gemäß Artikel 24 nach, und die Aufsichtsbehörde kann Einsicht in die entsprechenden Aufzeichnungen verlangen. Daher sollten die Verantwortlichen nach Möglichkeit ein internes Verzeichnis für Datenschutzverletzungen anlegen, unabhängig davon, ob diese meldepflichtig sind oder nicht.
Während die Verantwortlichen selbst über Verfahren und Struktur der Dokumentation von Datenschutzverletzungen entscheiden, sollten inhaltlich in jedem Fall bestimmte wichtige Elemente erfasst werden. Nach Artikel 33 Absatz 5 muss der Verantwortliche Details zur Datenschutzverletzung dokumentieren und sollte dabei unter anderem die Ursachen und Vorkommnisse beschreiben und angeben, welche personenbezogenen Daten beeinträchtigt wurden. Außerdem sollten die Auswirkungen und Konsequenzen der Datenschutzverletzung sowie die vom Verantwortlichen getroffenen Abhilfemaßnahmen dokumentiert werden.
Im Hinblick auf die Einhaltung von Artikel 33 und 34 wäre es für die Verantwortlichen und Auftragsverarbeiter von Vorteil, ein dokumentiertes Meldeverfahren einzurichten, in dem festgelegt wird, welche Schritte nach Feststellung einer Datenschutzverletzung zu befolgen sind, wie Vorfälle eingedämmt, gesteuert und behoben werden und wie bei der Risikobewertung und der Meldung der Datenschutzverletzung vorzugehen ist. In diesem Zusammenhang wäre es als Nachweis der Einhaltung der DSGVO eventuell hilfreich zu zeigen, dass die Beschäftigten über die Existenz solcher Verfahren und Mechanismen informiert wurden und wissen, wie sie auf Datenschutzverletzungen reagieren müssen.
Zu beachten ist, dass Versäumnisse bei der ordnungsgemäßen Dokumentation einer Datenschutzverletzung zur Folge haben können, dass die Aufsichtsbehörde ihre Befugnisse gemäß Artikel 58 ausübt bzw. eine Geldbuße gemäß Artikel 83 verhängt.
B. Die Rolle des Datenschutzbeauftragten
Die Verantwortlichen oder Auftragsverarbeiter können entweder gemäß Artikel 37 oder freiwillig als bewährtes Verfahren einen Datenschutzbeauftragten (DSB) benennen. In Artikel 39 der DSGVO ist eine Reihe von obligatorischen Aufgaben des Datenschutzbeauftragten festgelegt, wobei es dem Verantwortlichen freisteht, dem Datenschutzbeauftragten gegebenenfalls weitere Aufgaben zu übertragen.
Der DSB hat verschiedene für die Meldung von Datenschutzverletzungen besonders relevante obligatorische Aufgaben. Er muss unter anderem den Verantwortlichen bzw. den Auftragsverarbeiter in Datenschutzfragen beraten und informieren, die Einhaltung der DSGVO überwachen und im Zusammenhang mit DSFA Beratungsarbeit leisten. Ferner muss der DSB mit der Aufsichtsbehörde zusammenarbeiten und als Ansprechpartner für die Aufsichtsbehörde sowie für die betroffenen Personen fungieren. Zu beachten ist auch, dass der Verantwortliche bei der Meldung einer Datenschutzverletzung an die Aufsichtsbehörde gemäß Artikel 33 Absatz 3 Buchstabe b verpflichtet ist, den Namen und die Kontaktdaten seines DSB oder eines anderen Ansprechpartners mitzuteilen.
Im Zusammenhang mit der Dokumentation von Datenschutzverletzungen könnten die Verantwortlichen und Auftragsverarbeiter den DSB bei Fragen zur Struktur, zur Einrichtung und zur Verwaltung dieser Dokumentation hinzuzuziehen. Der DSB könnte zusätzlich auch mit der Führung dieser Unterlagen betraut werden.
Diese Punkte bedeuten, dass der DSB durch seine Beratungs- und Überwachungsfunktion bei der Vermeidung von und der Vorbereitung auf Datenschutzverletzungen, während einer Datenschutzverletzung (d. h. bei der Meldung an die Aufsichtsbehörde) sowie bei allen anschließenden Ermittlungen der Aufsichtsbehörde eine zentrale Rolle spielen sollte. Vor diesem Hintergrund empfiehlt die Artikel-29-Datenschutzgruppe, dass der DSB unverzüglich über Datenschutzverletzungen in Kenntnis gesetzt wird und in den gesamten Prozess der Bearbeitung und Meldung von Datenschutzverletzungen einbezogen wird.
ec.europa.eu; Autoren, bow, Zugriff 25.09.2018
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052