Meldepflicht bei Verletzung des Schutzes personenbezogener Daten (Datenverlust)
1. Grundsatz
Voraussetzung der Meldepflicht ist eine eingetretene und als solche erkannte Verletzung des Schutzes personenbezogener Daten.
Verletzung des Schutzes personenbezogener Daten ist gegeben:
wenn eine Verletzung der Sicherheit, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
1.1. Erläuterungen
Nicht erfasst ist damit nach wohl herrschender Auffassung die rechtswidrige Verarbeitung unter Verstoß gegen Rechtsgrundlagen oder gar ohne Rechtsgrundlage.
1.2. Verpflichtung zur Meldung binnen 72 h
Wegen der möglichen Schäden durch die Verletzung muss der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten.
Es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt.
Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müssen, und die Informationen können schrittweise ohne unangemessene weitere Verzögerung bereitgestellt werden.
1.3. Auf die Form des Verlustes kommt es nicht an.
Gleich, ob Vorsatz, Fahrlässigkeit, gezieltes Handeln, aber auch Nebeneffekte anderer Handlungen oder Versäumnisse können gleichermaßen ursächlich sein. Die Definition umfasst ausdrücklich sowohl unbeabsichtigtes (z.B. Fahrlässigkeit eigener Mitarbeiter durch das Liegenlassen von Datenträgern oder das nicht ordnungsgemäße Entsorgen von Unterlagen), wie auch gezieltes Handeln (z.B. vorsätzliche Weitergabe an Unbefugte oder Einbrüche in eigene Datensysteme im Wege des Hacking oder Phishing). Beides führt zu einer Verletzung des Schutzes personenbezogener Daten.
2. Meldepflicht
Vorab die dringende Empfehlung, allerspätestens an dieser Stelle sofort den Datenschutzbeauftragten zu konsultieren!
Die Meldepflicht greift demnach bei jeder Verletzung des Schutzes personenbezogener Daten. Es genügt eine objektive Schutzverletzung, auf ein Verschulden des Verantwortlichen kommt es danach nicht an, sondern nur auf den eingetretenen Verletzungserfolg.
Der Verantwortliche muss nicht nur eigene, sondern auch Verletzungen des Auftragsverarbeiters oder Dritter der Aufsichtsbehörde melden.
Ob der Verantwortliche die Datenschutzverletzung als solche erkennt und einstuft, ist i.d.R. ebenfalls unbeachtlich. Logischerweise wird er seiner Pflicht erst gewahr, wenn er die Schutzverletzung als solche erkennt; die Meldepflicht setzt allerdings bereits mit dem Eintritt der objektiven Schutzverletzung ein. Lediglich die Meldefrist knüpft an den Zeitpunkt der Kenntnisnahme des Verantwortlichen an. Ein fahrlässiges Übersehen einer Schutzverletzung durch den Verantwortlichen ist ggf. bei der Verhängung einer Sanktion zu berücksichtigen.
Wegen des Umfangs der Meldepflicht ist jedem Verantwortlichen allerdings anzuraten, die gebotene Mitteilung schriftlich an die Aufsichtsbehörde zu richten.
2.1. Ausnahmen von der Meldepflicht
Die Meldepflicht entfällt, wenn „die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Der Verantwortlichen soll nur dann den Aufwand der Meldung tragen, wenn ein Schadenseintritt beim Betroffenen möglich erscheint.
Zunächst ist das Risiko einer erhöhten Eintrittswahrscheinlichkeit eines drohenden Schadensereignisses zu werten.
Ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, wenn ihnen Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile drohen.
Das Ausmaß des Schadens ist nicht relevant. Ein besonders hoher Schaden muss allerdings im Zusammenhang mit der Frage berücksichtigt werden, ob eine hinreichende Eintrittswahrscheinlichkeit anzunehmen ist. Je höher der anzunehmende Schaden, desto geringere Anforderungen sind an die Wahrscheinlichkeit des Schadenseintritts zu stellen. Die erforderliche Prognose stellt der Betroffene selbst, ist jedoch durch die Aufsichtsbehörde überprüfbar.
Eine Prognose beruht auf einer in der Regel noch nicht abschließend festgestellten Tatsachengrundlage und hat das Ziel, eine Fortentwicklung des Ist-Zustandes vorherzusagen. Prognosen sind notwendig mit Unsicherheiten verbunden und treten nicht zwingend ein. Geht eine Prognose nachträglich fehl – hat sich also das Risiko einer Datenschutzverletzung tatsächlich nachteilig auf die Rechte und Freiheiten des Betroffenen ausgewirkt, obwohl der Verantwortliche dies nicht vorhergesehen hat – so ist es nicht die Unrichtigkeit der Prognose selbst, welche die Frage nach einer Sanktionierung des Verantwortlichen aufwirft; vielmehr ist zu prüfen, ob die Annahmen des Verantwortlichen über die Tatsachenlage, die hierzu angestellten rechtlichen Überlegungen und die Annahmen zur weiteren Fortentwicklung nachvollziehbar und plausibel waren oder nicht. Hier ist insbesondere zu prüfen, ob der Verantwortliche alle maßgeblichen Umstände nach seinen Fähigkeiten ermittelt, vollständig einbezogen sowie zutreffend und nachvollziehbar bewertet hat.
Anmerkung: Vorstehende Ausführungen basieren im Wesentlichen auf der Kommentierung der Art. 4 Abs. 1 Ziff. 12, Art. 33 DSGVO, BeckOK Datenschutzrecht, Wolff/Brink, 26. Edition
3. Einzelfälle, weitergehende Erläuterungen
3.1. Nur verwirklichte Verletzungen
Relevant sind nur verwirklichte Verletzungen der Sicherheit als Schutzverletzungen ein, die bereits zu einer unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur Offenlegung von oder zum Zugang zu bestimmten personenbezogenen Daten geführt haben.
Beispiel verlorener Datenträger, Mobile Device
Problematisch werden in der Praxis die Fälle sein, in denen der Verantwortliche nicht weiß oder wissen kann, ob tatsächlich eine Schutzverletzung stattgefunden, hat.
So ist z.B. beim Liegenlassen eines mobilen Computers oder Datenträgers in öffentlichen Verkehrsmitteln zunächst nicht sicher, dass die darauf gespeicherten Daten tatsächlich unbefugt offengelegt wurden.
Allerdings ist in solchen Fällen jedenfalls der Verlust eindeutig, wenn das Notebook oder der Datenträger dem Verantwortlichen nicht zurückgegeben werden oder (was gerade bei immer kleiner werdenden Datenträgern wahrscheinlicher wird) schlicht verloren gegangen sind.
Wird das mobile Endgerät oder der Datenträger dem Verantwortlichen zeitnah zurückgegeben, so wird er zu prüfen haben, ob sich Spuren eines unbefugten Zugriffs finden lassen.
4. Nicht jeder Verstoß ist ein meldepflichtiger Vorgang
Eine Schutzverletzung liegt nicht bei jeder unbefugten Offenlegung von oder jedem unbefugten Zugang zu personenbezogenen Daten vor, sondern nur, wenn eine Verletzung der Sicherheit dazu geführt hat. Umgekehrt setzt eine Schutzverletzung nach nicht voraus, dass der Verantwortliche seine Pflichten zur Gewährleistung der Vertraulichkeit und Integrität verletzt hat. Sie kann auch gegeben sein, wenn er die vorgeschriebenen Maßnahmen für eine angemessene Sicherheit der verarbeiteten Daten getroffen hat (z.B. wenn ein Beschäftigter des Verantwortlichen ein mobiles Datenverarbeitungsgerät oder einen Datenträger verliert).
4.1. Datenarten
Selbst „belanglose“ Daten können Gegenstand einer Schutzverletzung sein. Auch verschlüsselte Daten sind unter bestimmten Voraussetzungen als personenbezogen anzusehen. Werden sie einem anderen als dem Verantwortlichen zugänglich gemacht, so liegt darin eine Schutzverletzung.
4.2. Ausnahmen von der Meldepflicht, vertiefend
Zwar löst regelmäßig jede Schutzverletzung eine Meldepflicht des Verantwortlichen aus, diese entfällt jedoch, wenn die Schutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Diese Ausnahme von der Meldepflicht ist so ausgestaltet, dass den Verantwortlichen die Nachweispflicht für den Risikoausschluss trifft.
Der Verantwortliche muss, wenn er die Meldepflicht ausschließen will, eine Risikoprognose vornehmen. Dabei ist nicht erforderlich, dass ein Risiko für die Rechte und Freiheiten natürlicher Personen ausgeschlossen werden kann, es genügt, dass ein solches Risiko voraussichtlich nicht gegeben ist. Allerdings lässt die DSGVO die entscheidende Frage offen, welcher Grad an Unwahrscheinlichkeit erforderlich ist, um eine Meldepflicht auszuschließen.
Zunächst müssen keine schwerwiegenden Beeinträchtigungen der Rechte natürlicher Personen drohen. Die Formulierung der DSGVO, dass nur dann keine Meldung erfolgen muss, wenn jedes derartige Risiko voraussichtlich ausgeschlossen werden kann, verdeutlicht, dass die Meldeschwelle nach Unionsrecht erheblich niedriger ist als nach bisherigem deutschem Datenschutzrecht.
Andererseits liegt es in der Natur jeder Prognoseentscheidung, dass nicht der sichere Ausschluss jedes Risikos verlangt werden kann. Bei der erforderlichen negativen Risikoprognose nach Art.33 sollte in Anlehnung an das allgemeine Gefahrenabwehrrecht das gefährdete Rechtsgut und die Wahrscheinlichkeit einer tatsächlichen Beeinträchtigung zueinander in Relation gesetzt werden.
Je größer die mögliche Beeinträchtigung der Rechte und Freiheiten natürlicher Personen ist, desto geringere Anforderungen sind an die Eintrittswahrscheinlichkeit zu stellen.
Bezogen auf die negative Prognose nach Abs.1 bedeutet dies, dass die Anforderungen an einen voraussichtlichen Ausschluss des Risikos umso höher sind, je gravierender die Rechtsverletzung im Fall ihrer Realisierung wäre.
5. Mögliche Kriterien der Risikoprognose
Die Art. 29-Gruppe hat ihrerseits Richtlinien beschlossen, die allgemeinere Kriterien für die Beurteilung des Risikos enthalten.
Danach sollen in einer Gesamtschau folgende Punkte berücksichtigt werden:
Art des Datenlecks,
die Art, Sensitivität und der Umfang der betroffenen Daten,
die Möglichkeit der Herstellung eines Personenbezugs durch Dritte,
die Schwere der Konsequenzen für Betroffene,
Besonderheiten der Betroffenen (z.B. Kinder oder andere besonders schutzwürdige Personen)
und der Verantwortlichen (z.B. ein Krankenhaus)
5.1. Kein unbedingter Ausschluss bei Verschlüsselung
Die Tatsache, dass die von der Schutzverletzung betroffenen Daten sicher verschlüsselt sind, rechtfertigt nicht den Verzicht auf eine Meldung bei der Aufsichtsbehörde. Das ergibt sich im Umkehrschluss aus Art.34 Abs.3 lit. a. Zwar hat die Art.-29-Gruppe in ihrer Stellungnahme über die Meldung von Verletzungen des Schutzes personenbezogener Daten nach der ePrivacy-Richtlinie bei bestimmten Formen der Verschlüsselung die Benachrichtigung der betroffenen Person für verzichtbar gehalten.
Eine Meldung gegenüber der Aufsichtsbehörde ist aber nach dieser Richtlinie in jedem, also auch diesem Fall geboten. Auch nach der DSGVO müssen die Aufsichtsbehörden die Möglichkeit haben, die Sicherheit des jeweiligen Verschlüsselungsverfahrens zu überprüfen, was ausgeschlossen wäre, wenn man in solchen Fällen eine Meldung bei ihnen von vornherein für verzichtbar hielte. Auch können die Aufsichtsbehörden nur auf diese Weise die nötigen Meta-Informationen über reale Angriffsszenarien bei Hacking-Attacken wie auch über Fehlverhalten der Verantwortlichen gewinnen.
6. Zu berücksichtigende Risiken
Nur EG 85 nennt Beispiele für solche Beeinträchtigungen, die voraussichtlich ausgeschlossen sein müssen. Es kann sich um physische, materielle oder immaterielle Schäden infolge der Schutzverletzung handeln.
Diese kann aber auch zum Verlust der Kontrolle über ihre personenbezogenen Daten, zu einer Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, zu finanziellen Verlusten, unbefugter Aufhebung der Pseudonymisierung, Rufschädigung, zum Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder zu anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen.
Die vorstehenden Ausführungen beruhen im Wesentlichen auf der Kommentierung Simitis/Hornung/Spiecker Datenschutzrecht, DSGVO Art. 4 Nr. 12 und Art. 33