Nicht jede Daten­pan­ne ist ver­meid­bar und nicht jeder Feh­ler kann ver­hin­dert wer­den. Kommt es zu einer Daten­pan­ne, ist ein rasches Han­deln und eine gut orga­ni­sier­te Pro­jekt­orga­ni­sa­ti­on not­wen­dig, um emp­find­li­che Geld­bu­ßen zu vermeiden.

Ergibt sich aus den Ana­ly­sen und Beur­tei­lun­gen das Vor­lie­gen einer Mel­de­pflicht, kön­nen die nächs­ten Schrit­te zwi­schen­zeit­lich in allen Bun­des­län­dern digi­tal über die Home­pages der jeweils zustän­di­gen Auf­sichts­be­hör­den erfol­gen.” – Mat­thi­as Herkert

Die Vor­schrif­ten zur Mel­dung von Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten an die Auf­sichts­be­hör­de (Art. 33 DSGVO) dient, gemein­sam mit den Rege­lun­gen zur Benach­rich­ti­gung der von einer Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten betrof­fe­nen Per­son (Art. 34 DSGVO), dem Schutz der Rech­te der von der Daten­ver­ar­bei­tung betrof­fe­nen natür­li­chen Per­so­nen bei Daten­schutz­ver­let­zun­gen. Die Pflicht zur Mel­dung einer Ver­let­zungs­hand­lung soll die Auf­sichts­be­hör­de über eine sol­che Gefahr in Kennt­nis set­zen und gibt ihr so eine Grund­la­ge für die Ent­schei­dung über den Ein­satz ihrer gesetz­li­chen Befug­nis­se. Die Mel­de­pflicht dient also zum einen der Mini­mie­rung der nega­ti­ven Aus­wir­kun­gen von Daten­schutz­ver­let­zun­gen durch Publi­zi­tät, gleich­zei­tig gewährt die Vor­schrift vor­beu­gen­den Schutz des Betrof­fe­nen, indem sie Anrei­ze zur Ver­mei­dung von (zukünf­ti­gen) Ver­let­zun­gen beim Ver­ant­wort­li­chen setzt.

DATENPANNEN KÖNNEN JEDES UNTERNEHMEN TREFFEN

Eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten (sog. Daten­pan­ne) liegt immer dann vor, wenn der daten­ver­ar­bei­ten­den Stel­le bekannt wird, dass per­so­nen­be­zo­ge­ne Daten unrecht­mä­ßig über­mit­telt oder auf sons­ti­ge Wei­se Drit­ten zur Kennt­nis gelangt sind oder gelangt sein könn­ten. Eine unrecht­mä­ßi­ge Kennt­nis­nah­me kann zum Bei­spiel der Ver­lust eines mobi­len Devices (z.B. Note­book, Tablet oder Smart­phone) oder eines Spei­cher­me­di­ums (z.B. USB-Stick, CD-ROM), der Dieb­stahl eines sol­chen Gerä­tes, der Ver­sand einer E‑Mail an einen oder meh­re­re fal­sche Adres­sa­ten oder jeder Angriff aus einem Netz­werk, ins­be­son­de­re aus dem Inter­net, auf ein Com­pu­ter­sys­tem (z.B. auf einen Web­ser­ver oder Appli­ka­ti­ons­ser­ver) sein.

DIE MELDEPFLICHTEN WURDEN UNTER DER DSGVO ERWEITERT

Im Gegen­satz zu den Rege­lun­gen des frü­he­ren BDSG-alt, das eine Mel­de­pflicht nur für eine Ver­let­zung von bestimm­ten Daten­ka­te­go­rien vor­sah, erstreckt sich die Pflicht zur Mel­dung von Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten unter der DSGVO nun auf alle per­so­nen­be­zo­ge­nen Daten. Gemel­det wer­den muss in die­sem Kon­text nun also jede Ver­let­zungs­hand­lung, es sei denn, dass die Daten­pan­ne vor­aus­sicht­lich nicht zu einem Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen führt. Der Ver­ant­wort­li­che muss in einer Risi­ko­be­wer­tung die Ein­tritts­wahr­schein­lich­keit eines dro­hen­den Scha­dens­er­eig­nis­ses pro­gnos­ti­zie­ren und die­se Pro­gno­se für eine mög­li­che spä­te­re Über­prü­fung durch Auf­sichts­be­hör­den oder Gerich­te aus­führ­lich doku­men­tie­ren. Eine Mel­de­pflicht besteht hier­bei bereits bei Bestehen eines grund­sätz­li­chen, über Gering­fü­gig­keit hin­aus­ge­hen­den Risi­kos und nicht erst im Fal­le eines hohen Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen erforderlich.

UNVERZÜGLICHE MELDUNG

Hier­bei ist Eile gebo­ten. Die Mel­dung an die Auf­sichts­be­hör­de (soge­nann­te »Data Breach Noti­fi­ca­ti­on«) hat gemäß Art. 33 Abs.1 S. 1 DSGVO unver­züg­lich, spä­tes­tens jedoch 72 Stun­den nach Bekannt­wer­den zu erfol­gen. Soweit zum Zeit­punkt der ers­ten Mel­dung, was in der Pra­xis sehr wahr­schein­lich ist, noch nicht der gesam­te Umfang der Ver­let­zungs­hand­lung abschlie­ßend beur­teilt wer­den kann, sind Teil­kennt­nis­se schritt­wei­se der Auf­sichts­be­hör­de zu mel­den (Art. 33 Abs. 4 DSGVO).

PRÜF‑, DOKUMENTATIONS- UND MELDEPROZESSE MÜSSEN IM UNTERNEHMEN EINGEFÜHRT UND GESCHULT WERDEN

Um den gesetz­li­chen Pflich­ten nach­kom­men zu kön­nen, muss der Pro­zess vom Bekannt­wer­den einer (mög­li­chen) Daten­schutz­ver­let­zung über deren Beur­tei­lung bis hin zur Ent­schei­dung über eine Mel­dung an die Auf­sichts­be­hör­den in die Pro­zess­or­ga­ni­sa­ti­on auf­ge­nom­men und inner­be­trieb­lich geschult wer­den. Pro­zess­sei­tig ist Ent­schei­dend, dass die ver­ant­wort­li­chen Ver­tre­ter des Unter­neh­mens und der betrof­fe­nen Fach­ab­tei­lun­gen, gege­be­nen­falls der Daten­schutz­be­auf­trag­te sowie ein ver­ant­wort­li­cher (inter­ner oder exter­ner) IT-Mitarbeiter oder Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ter infor­miert wer­den, um in einem ers­ten Schritt tech­ni­sche und orga­ni­sa­to­ri­sche Sofort­maß­nah­men zur Besei­ti­gung des Vor­falls und zur Ver­hin­de­rung wei­te­rer Schad­ereig­nis­se ein­zu­lei­ten und im Anschluss den Umfang, die Reich­wei­te, die Inten­si­tät sowie mög­li­che Fol­gen der  Ver­let­zungs­hand­lung mög­lichst exakt zu beur­tei­len. Ins­be­son­de­re bei Angrif­fen auf Daten­ver­ar­bei­tungs­an­la­gen in glo­ba­len Netz­wer­ken kön­nen hier­für umfang­rei­che IT-forensische Ana­ly­sen not­wen­dig sein, die in vie­len Fäl­len von den Beschäf­tig­ten des Unter­neh­mens sel­ber nicht erbracht wer­den können.

Erst auf Grund­la­ge der Infor­ma­tio­nen aus die­sen Ana­ly­sen kann der Daten­schutz­be­auf­trag­te das Vor­lie­gen einer Mel­de­pflicht beur­tei­len und eine ent­spre­chen­de Emp­feh­lung an das Manage­ment oder die Geschäfts­lei­tung geben.

Ein wich­ti­ger Fokus soll­te wäh­rend des gesam­ten Pro­zes­ses auf die über Art. 33 Abs. 5 DSGVO gesetz­lich ver­pflich­ten­de Doku­men­ta­ti­on jedes (d.h. auch nicht mel­de­pflich­ti­gen) Vor­falls gelegt wer­den. Min­dest­in­halt der Doku­men­ta­ti­on sind alle mit dem Vor­fall zusam­men­hän­gen­den Fak­ten, die ergrif­fe­nen Maß­nah­men und die Aus­wir­kun­gen der Daten­pan­ne. Die Doku­men­ta­ti­on muss den Auf­sichts­be­hör­den im Zwei­fel die Über­prü­fung der Ein­hal­tung der gesetz­li­chen Bestim­mun­gen des Art. 33 DSGVO ermöglichen.

MELDUNGEN KÖNNEN ELEKTRONISCH VORGENOMMEN WERDEN

Ergibt sich aus den Ana­ly­sen und Beur­tei­lun­gen das Vor­lie­gen einer Mel­de­pflicht, kön­nen die nächs­ten Schrit­te zwi­schen­zeit­lich in allen Bun­des­län­dern digi­tal über die Home­pages der jeweils zustän­di­gen Auf­sichts­be­hör­den erfol­gen. Die Mel­dung sel­ber soll­te hier­bei durch den Daten­schutz­be­auf­trag­ten erfol­gen oder mit die­sem eng abge­stimmt wer­den, da die­ser gemäß Art. 39 abs. 1 lit. e DSGVO ers­te Anlauf­stel­le für die Auf­sichts­be­hör­de in mit der Ver­ar­bei­tung zusam­men­hän­gen­den Fra­gen ist, und bei den nach der Mel­dung zu erwar­ten­den Rück­fra­gen meist direkt ange­spro­chen wird.

FAZIT

Um im Fall einer Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten in der gesetz­lich gebo­te­nen Schnel­lig­keit reagie­ren zu kön­nen und das siche­re Zusam­men­spiel aller benö­tig­ten Per­so­nen, unter ande­rem aus der Geschäfts­füh­rung, der IT-Abteilung, der von der Daten­schutz­ver­let­zung betrof­fe­nen Fach­ab­tei­lung und dem Daten­schutz zu gewähr­leis­ten, soll­ten die not­wen­di­gen Abläu­fe und Pro­zes­se früh­zei­tig ent­wor­fen und  bekannt gemacht wer­den. Ver­gleich­bar mit Erste-Hilfe- und Brand­schutz­übun­gen soll­ten die Abläu­fe geübt wer­den, damit im „Ernst­fall“ jeder weiß, „wo er hin grei­fen muss“.

 

Artikel zum selben Thema:

Autor des Artikels:

Matthias Herkert

Leiter Fachbereich Consulting und externer Datenschutzbeauftragter
MEHR ZUM AUTOR