Alexander C. Blankenstein
9.1 Datenpannen
Datenpannen führen nicht nur zu Meldepflichten, sie können auch Schadensersatzansprüche und die Verhängung von Bußgeldern nach sich ziehen. Die Generalklausel stellt insoweit Art. 4 Nr. 12 DSGVO dar. Hiernach liegt eine Verletzung des Schutzes personenbezogener Daten dann vor, wenn die unbeabsichtigte oder unrechtmäßige Verletzung der Datensicherheit
- zur Vernichtung,
- zum Verlust,
- zur Veränderung oder
- zur unbefugten Offenlegung von beziehungsweise
- zum unbefugten Zugang zu personenbezogenen Daten
führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Praxisrelevante Beispiele wären insbesondere
- der Verlust eines Datenträgers (z. B. USB-Stick),
- ein Hackerangriff bzw. allgemein ein unbefugter Zugang zu Daten oder
- das Versenden von E-Mails mit offenem Verteiler.
Erhält der Verantwortliche Kenntnis von einer Verletzung des Schutzes personenbezogener Daten, muss er dies nach Art. 33 DSGVO innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden. Abgestellt wird insoweit auf den Zeitpunkt der Kenntnisnahme.
Unbefugte Veröffentlichung
Ein Mitarbeiter stellt die Jahreseinzelabrechnungen aller Wohnungseigentümer im ungeschützten Bereich der Homepage des Verwaltungsunternehmens ein. Der Verwalter bemerkt dies erst nach Ablauf einer Woche.
Die Meldung hat mit der tatsächlichen Kenntnisnahme des Verwalters nach Ablauf der Woche seit dem Datenschutzverstoß binnen 72 Stunden zu erfolgen.
Die Meldung muss nach Art. 33 Abs. 3 DSGVO folgende Informationen enthalten:
- Die Art der Verletzung des Schutzes der personenbezogenen Daten ist zu beschreiben und dabei ist nach Möglichkeit die Zahl der von der Datenpanne betroffenen Personen anzugeben.
- Zu benennen sind Name und Kontaktdaten des Datenschutzbeauftragen oder einer sonstigen Anlaufstelle – also die im Verwaltungsunternehmen für den Datenschutz zuständige Person – für weitere Informationen.
- Weiter sind die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten vorzunehmen.
- Ist die 72-Stunden-Frist nicht gewahrt, ist zu begründen, warum diese Frist nicht eingehalten werden konnte.
- Abschließend ist eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen erforderlich.
Konkret kann die Meldung über die Online-Portale der Aufsichtsbehörden der jeweiligen Bundesländer erfolgen.
Führt die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko natürlicher Personen, bedarf es keiner Meldung bei der zuständigen Aufsichtsbehörde. Dies kann insbesondere in den Fällen des Verlusts eines Datenträgers der Fall sein, der ausreichend verschlüsselt ist.
Im Übrigen aber ist die Meldepflicht ernst zu nehmen, will der Verwalter kein Bußgeld riskieren. In diesem Zusammenhang ist zu beachten, dass Datenschutzverstöße durch jede Person den Datenschutzbehörden gemeldet werden können.
Die Eigentümerliste
Der Ausdruck einer Eigentümerliste wird seitens eines Mitarbeiters in den Papierkorb geworfen und dort von einer Reinigungskraft gefunden.
Die Reinigungskraft kann den Vorfall der Datenschutzbehörde melden. Selbst wenn der Verwalter von der Datenpanne selbst keine Kenntnis hatte, riskiert er ein Bußgeld, weil er keine ausreichenden Maßnahmen zur Vernichtung bzw. Löschung personenbezogener Daten getroffen hat. Nach Art. 34 DSGVO ist auch die betroffene Person von der Datenschutzverletzung zu informieren, wenn die Datenschutzverletzung mit einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen verbunden ist. Dies ist insbesondere im Fall des Verlusts oder eines unbefugten Zugriffs auf personenbezogene Daten oder auch der versehentlichen Veröffentlichung solcher Daten der Fall.
9.2 Konsequenzen
9.2.1 Bußgeld
Bei Verstößen gegen die DSGVO können die Aufsichtsbehörden nach Art. 83 Abs. 1 DSGVO Bußgelder verhängen. Der Höhe nach müssen sie "verhältnismäßig und abschreckend" sein, weshalb das Bußgeld im Einzelfall eine empfindliche Höhe erreichen kann. Die Höhe der jeweiligen Geldbuße hängt von den Maßgaben des konkreten Einzelfalls ab. Nach Art. 83 Abs. 2 DSGVO sind u. a. folgende Kriterien zu berücksichtigen:
- Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
- Maßnahmen des Verantwortlichen zur Minderung des den betroffenen Personen entstandenen Schadens;
- etwaige einschlägige frühere Verstöße des Verantwortlichen.
Adressat des Bußgeldbescheids
Adressat eines Bußgeldbescheids ist in erster Linie der Verwalter als Verantwortlicher na...