“Die Prüf­schrit­te wer­den durch ver­ständ­li­che und knap­pe Bei­spie­le greif­bar und die kla­re sprach­li­che Dar­stel­lung doku­men­tiert eine bewuss­te Aus­rich­tung auf das Ver­ständ­nis beim Leser statt auf eine kom­ple­xe juris­ti­sche Dik­ti­on.” – Mat­thi­as Herkert

Dass die Beur­tei­lung und Mel­dung von Daten­pan­nen hohe Anfor­de­run­gen an Ver­ant­wort­li­che stellt ist auch den Auf­sichts­be­hör­den bewusst (mehr zu den Prüf‑, Dokumentations- und Mel­de­an­for­de­run­gen auch in die­sem Blog-Beitrag). Die hohe Rele­vanz des The­mas wird zudem offen­sicht­lich, wenn der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz in sei­ner Ori­en­tie­rungs­hil­fe „Mel­de­pflicht und Benach­rich­ti­gungs­pflicht des Ver­ant­wort­li­chen“ bereits im Vor­wort anführt, dass er „von baye­ri­schen öffent­li­chen Stel­len nahe­zu täg­lich Mel­dun­gen nach Art. 33 DSGVO“ erhalte.

Obwohl sich die nun vor­ge­leg­te Ori­en­tie­rungs­hil­fe kon­kret an baye­ri­sche öffent­li­che Stel­len wen­det, kön­nen die Prü­fungs­schrit­te zur Beur­tei­lung einer mög­li­chen Melde- oder Benach­rich­ti­gungs­pflicht im Rah­men einer Ver­let­zungs­hand­lung ohne viel Phan­ta­sie auch auf nicht-öffentliche Stel­len ange­wandt werden.

Auf­bau der Orientierungshilfe

Begin­nend bei den Merk­ma­len von Daten­schutz­ver­let­zun­gen als Anknüp­fungs­punkt mög­li­cher Mel­de­pflich­ten gegen­über den Auf­sichts­be­hör­den gemäß Arti­kel 33 DSGVO und Benach­rich­ti­gungs­pflich­ten gegen­über den Betrof­fe­nen gemäß Arti­kel 34 DSGVO, über die Risi­ko­be­ur­tei­lung bei Vor­lie­gen einer Daten­schutz­ver­let­zung, der Mel­dung und Benach­rich­ti­gung sel­ber bis hin zum Auf­bau der gesetz­lich gefor­der­ten Doku­men­ta­ti­on beleuch­tet die Ori­en­tie­rungs­hil­fe auf immer­hin 64 Sei­ten einen gro­ßen Teil der für die Pra­xis rele­van­ten Fra­gen und Probleme.

Ver­let­zungs­ver­hal­ten und Verletzungserfolg 

Wäh­rend in zahl­rei­chen Hand­rei­chun­gen und Arbeits­hil­fen bis­lang ins­be­son­de­re auf Zeit­punkt, Art, Inhalt und Umfang der Mel­dung sowie auf mög­li­che Sank­tio­nen fokus­siert wird, räumt Tho­mas Petri, der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz, der Prü­fung des Ver­let­zungs­ver­hal­tens sel­ber und der Beur­tei­lung des Ver­let­zungs­er­fol­ges als „Vor­aus­set­zung“ einer mög­li­chen Daten­si­cher­heits­ver­let­zung Raum ein. Der aus­drück­li­che Hin­weis dar­auf, dass nicht in jedem Ver­stoß gegen daten­schutz­recht­li­che Vor­schrif­ten eine „Ver­let­zung“ i.S.d. Arti­kel 4 Nr. 12 DSGVO gege­ben ist, son­dern dass hier (nur und aus­schließ­lich) Ver­let­zun­gen der Sicher­heit (!) per­so­nen­be­zo­ge­ner Daten ange­spro­chen sind, wird in der Ori­en­tie­rungs­hil­fe sehr deut­lich herausgearbeitet.

Die vor­ge­schla­ge­ne Beur­tei­lung eines mög­li­chen Ver­let­zungs­ver­hal­tens ent­lang der Fra­gen nach einer Nicht­be­ach­tung nor­ma­ti­ver Vor­ga­ben, der Über­win­dung tech­ni­scher Vor­keh­run­gen oder dem Vor­lie­gen orga­ni­sa­to­ri­schen Fehl­ver­hal­tes gibt ein Prü­fungs­sche­ma vor, dass auch von juris­tisch weni­ger erfah­re­nen Daten­schutz­be­auf­trag­ten sicher ange­wandt wer­den kann.

Risk Assess­ment basiert auf bekann­ten Strukturen

Mit der vor­ge­schla­ge­nen Risi­ko­be­ur­tei­lung bei Mel­de­pflicht und Benach­rich­ti­gungs­pflicht schließt der Baye­ri­sche Lan­des­da­ten­schutz­be­auf­trag­te begriff­lich und sys­te­ma­tisch an die bereits im Kurz­pa­pier XVIII Datenschutz-Folgenabschätzung ent­wi­ckel­te Risi­ko­ma­trix zur Dar­stel­lung des Schutz­ni­veaus für Daten­schutz­ri­si­ken im Rah­men von Datenschutz-Folgenabschätzungen (DSFA) nach Arti­kel 35 DSGVO an, die so auch vom Bun­des­ver­band Infor­ma­ti­ons­wirt­schaft, Tele­kom­mu­ni­ka­ti­on und neue Medi­en e. V. (Bit­kom) unter ande­rem im Leit­fa­den Risk Assess­ment & Datenschutz-Folgenabschätzung ver­tre­ten wird.

Durch die hier­durch erreich­ba­re Wie­der­ho­lung der sys­te­ma­ti­schen Logik bei Risi­ko­be­ur­tei­lun­gen kann in der Pra­xis gera­de bei die­sem zum Teil „theo­re­ti­schen“ und durch­aus kom­ple­xen The­ma eine begrü­ßens­wer­te Rou­ti­ne erreicht wer­den, die allen Betei­lig­ten mehr Anwendungs- und Doku­men­ta­ti­ons­si­cher­heit gibt.

Fazit

Mit sei­ner Ori­en­tie­rungs­hil­fe „Mel­de­pflicht und Benach­rich­ti­gungs­pflicht des Ver­ant­wort­li­chen“ legt der Baye­ri­sche Lan­des­be­auf­trag­te für den Daten­schutz eine pra­xis­na­he Hil­fe vor, die stark durch die Bera­tungs­an­fra­gen und Ver­let­zungs­mel­dun­gen des ers­ten Jah­res unter der DSGVO geprägt scheint. Die Prüf­schrit­te wer­den durch ver­ständ­li­che und knap­pe Bei­spie­le greif­bar und die kla­re sprach­li­che Dar­stel­lung doku­men­tiert eine bewuss­te Aus­rich­tung auf das Ver­ständ­nis beim Leser statt auf eine kom­ple­xe juris­ti­sche Diktion.

„Leich­te Kost“ ist die Ori­en­tie­rungs­hil­fe indes den­noch nicht. Mit einem Umfang von über 60 Sei­ten dient sie sicher­lich eher der sys­te­ma­ti­schen Ent­wick­lung von Prüf- und Mel­de­pro­zes­sen als der schnel­len Hil­fe bei (mög­li­chen) Daten­pan­nen. Wie bereits in frü­he­ren Blog-Beiträgen emp­foh­len, soll­ten die not­wen­di­gen und gesetz­lich gefor­der­ten Abläu­fe und Pro­zes­se früh­zei­tig ent­wi­ckelt wer­den, damit, ver­gleich­bar mit Erste-Hilfe- und Brand­schutz­übun­gen, im „Ernst­fall“ jeder weiß, „wo er hin grei­fen muss“.