Datenschutz-Verletzungen: Nicht jeder Vorfall ist gleich meldepflichtig

Im Falle einer Datenschutz-Verletzung sieht die DSGVO vor, diese der Aufsichtsbehörde – unter Umständen auch dem Betroffenen (also dem Daten-„Inhaber“) gegenüber – anzuzeigen.

Da stellt sich die Frage, was denn nun relevante DS-Verletzungen im Sinne dieser Vorschrift (Art. 33 DSGVO) sind. Denn in dieser Norm wird auch festgelegt, dass ein Data Breach dann nicht angezeigt werden muss, wenn „die Verletzung (…) voraussichtlich nicht zu einem Risiko führt“.

Dabei kommt es allerdings nicht mehr, wie früher, darauf an, welcher Kategorie diese Daten nun unterfallen, ob sie also besonders schutzbedürftig sind oder nicht – alle Kategorien fallen darunter.

 

Merkmale der Sicherheitsverletzung

Aber es muss eine Sicherheitsverletzung vorliegen, in deren Folge es etwa zur Datenvernichtung, zur Offenbarung von Daten an nicht-berechtigte Personen, oder wodurch die Daten für die Berechtigten unzugänglich gemacht wurden.

Beispiele hierfür wären klassischerweise etwa Hacking, Datendiebstahl (auf welche Weise auch immer), Verlust von Datenträgern (auch USB-Sticks) oder Bugs im Webserver. Natürlich zählt auch ein ganz schnöder Einbruch hierzu, im Zuge dessen Server oder Rechner zerstört oder Daten ausgelesen  wurden.

Es geht also bei der „Verletzung der Sicherheit“ in diesem Kontext nicht um die Frage, ob Datenverarbeitung (durch die verantwortliche Stelle) unzulässig ist oder nicht, sondern um „Pannen“, also etwa versehentlichen Versand an einen anderen als den beabsichtigten Empfänger, um eine Massen-Email als cc- Versand anstatt als bc-.

Ausschlaggebend ist hier, dass unbefugte Dritte Daten zur Kenntnis nehmen (können) die nicht für sie bestimmt sind. Ob dies nun absichtlich oder versehentlich geschieht, ist egal. Im Gegensatz zur früheren Regelung werden unter der DSGVO auch ein Stromausfall oder eine DOS (Denial of service = Unerreichbarkeit der  Website) zu den Data Breaches gezählt.

Zum meldepflichtigen Vorfall wird der „Incident“ aber erst dadurch, dass ein Dritter hierdurch Zugriff oder Kenntnis von Daten erhalten hat, die nicht für ihn bestimmt sind. Ist dies nicht der Fall, gibt es auch kein meldepflichtiges Ereignis.

 

Risiko

Ein weiteres Kriterium bei der Frage der Meldepflichtigkeit ist das Risiko für den Betroffenen, also den Inhaber der Daten. Hierfür werden gemeinhin die Schwere des möglichen Schadens und dessen Eintrittswahrscheinlichkeit bewertet. Dabei gilt: Je höher der theoretische Schaden umso niedriger die Schwelle der Eintrittswahrscheinlichkeit. Dabei sind folgende Umstände entscheidend:

  • Art und Umfang der Daten (nur wenige Positionen oder komplette Datenverzeichnisse?)
  • Identifizierbarkeit (Ist aus den unauthorisiert erlangten Daten ein Bezug auf die Person dahinter ohne weiteres möglich?)
  • Spezielle Umstände bei den Betroffenen (etwa Behinderte, Kinder)
  • Spezielle Umstände bei dem Verantwortlichen (etwa Krankenhaus, besondere Verschwiegenheitspflicht)
  • Zahl der Betroffenen
  • Zu erwartende Konsequenzen. Hierzu zählen etwa:
    • Einschränkung von Rechten
    • Diskriminierung
    • Identitätsdiebstahl und damit zusammenhängende Straftaten (Betrug)
    • Finanzieller Verlust
    • Rufschädigung
    • Verletzung des Berufsgeheimnisses

 

Information der Betroffenen

Gemäß Art 34 Abs. I DSGVO muss in den genannten Fällen zusätzlich zur Aufsichtsbehörde auch der Betroffene informiert werden, wenn es sich um ein „hohes Risiko für die persönlichen Rechte und Freiheiten“ handelt.

Nachfolgend einige Beispiele, welche eine Meldepflicht an die Aufsichtsbehörde/Informationspflicht an den Betroffenen auslösen können:

  • Gestohlener USB-Stick mit wirksam verschlüsseldten Daten: Weder noch.
  • Ransomware-Attacke (Verschlüsselungs-Trojaner wie etwa Locky): Sowohl Behörde wie Betroffener
  • Kontoauszug an falschen Empfänger: Behörde ja, Betroffener im Regelfall nein, es sei denn Häufung
  • Cyber-Attacke auf Krankenhaus, dadurch 30 min kein Zugriff auf Patientendaten: Sowohl Behörde wie Betroffene
  • Versehentlicher Versand von Schülerdaten an eine Mailingliste: Sowohl Behörde wie Betroffene (in der Regel)

 

Rechtzeitigkeit der Meldung

Spätestens 72 Stunden, nachdem der Verantwortliche von dem Data Breach Kenntnis erlangt hat, ist gemäß Art 33 Abs. 1 DSGVO die Aufsichtsbehörde zu informieren. Im Regelfall sollte dies aber umgehend erfolgen und – zumindest bei klaren Fällen – nicht unnötigerweise abgewartet werden. Hält man sich vor Augen, wie schnell Daten „reisen“, sind 72 Stunden ohnehin eine halbe Ewigkeit.

Um aber abzuklären, ob es sich nur um einen harmlosen, nicht-meldepflichtigen Vorfall handelt oder ein ernstes Sicherheitsleck, ist die verantwortliche Stelle gehalten, selbstständig, ggf. mit Unterstützung des Datenschutzbeauftragten, Nachforschungen anzustellen. Dabei tritt noch keine Meldepflicht ein, wenn zunächst nur vage Hinweise vorliegen. Erst wenn mit hoher Sicherheit feststeht, dass es einen Vorfall gab und entsprechende Folgen eingetreten sind, muss eine Meldung erfolgen (etwa wenn klar ist, dass ein USB-Stick gestohlen wurde, aber nicht klar, ob Daten von Dritten ausgelesen wurden)

Im Zweifel sollte allerdings nachgefragt werden, entweder beim Datenschutzbeauftragten oder bei der Datenschutz-Behörde.