Dr. Stefan Drewes, Sebastian Wilfling
Rz. 76
Mit der DSGVO hat der Gesetzgeber die Verpflichtung eingeführt, Verletzungen des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde unverzüglich, möglichst aber binnen 72 Stunden zu melden. Darüber hinaus müssen Unternehmen eine solche Datenpanne den Betroffenen umgehend melden, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt.
Rz. 77
Sofern von einer Verletzung des Schutzes personenbezogener Daten voraussichtlich kein bzw. nur ein geringes Risiko für die Rechte und Freiheiten natürlicher Personen ausgeht, besteht für diese keine Meldepflicht gegenüber der Aufsichtsbehörde. Unabhängig von der Meldepflicht muss ein Unternehmen eine solche Verletzung des Schutzes personenbezogener Daten in einer internen Übersicht dokumentieren.
a) Wann liegt eine Verletzung des Schutzes personenbezogener Daten vor?
Rz. 78
Nach Art. 4 Nr. 12 DSGVO umfasst der Begriff Verletzung des Schutzes personenbezogener Daten die unbefugte Offenlegung von oder den unbefugten Zugang zu personenbezogenen Daten. Zudem ist auch die unbefugte Vernichtung, der Verlust oder die unbefugte Veränderung personenbezogener Daten als eine Verletzung des Schutzes personenbezogener Daten anzusehen. Regelmäßig wird diese Verletzung des Schutzes personenbezogener Daten auch als Datenpanne bezeichnet.
Rz. 79
In der Praxis tritt der Fall einer Datenpanne in einem Unternehmen gar nicht so selten auf. So ist jeder Verlust eines Laptops oder Smartphones ein Fall, bei dem eine Verletzung des Schutzes personenbezogener Daten vorliegen kann, und insofern zu prüfen. Auch der Fehlversand von Schreiben oder von E-Mails stellt grundsätzlich eine Verletzung des Schutzes personenbezogener Daten dar.
b) Wann kann die Meldung an die Aufsichtsbehörde unterbleiben?
Rz. 80
Die DSGVO geht grundsätzlich von einer Meldepflicht gegenüber der Aufsichtsbehörde beim Vorliegen einer Verletzung des Schutzes personenbezogener Daten aus. Die Meldung gegenüber der Aufsichtsbehörde ist dann nicht erforderlich, sofern der Eintritt eines Schadens für die betroffene natürliche Person nicht wahrscheinlich ist bzw. der Schaden nur geringfügige negative Auswirkungen auf den Betroffenen haben würde. Das Risiko, das Bestehen einer Meldepflicht falsch einzuordnen, trifft den Verantwortlichen. Im Zweifelsfall ist daher eine Meldepflicht empfehlenswert.
Rz. 81
Zur Ermittlung der Auswirkungen der Datenpanne auf den Betroffenen muss eine Risikoanalyse durchgeführt werden. Im Rahmen dieser Risikoanalyse muss die Eintrittswahrscheinlichkeit des Schadens wie auch dessen Schwere beurteilt werden. Aus der Eintrittswahrscheinlichkeit und der Höhe des möglichen Schadens ergibt sich dann die Risikostufe. Aufgrund dieser Risikostufe ist zu entscheiden, ob eine Meldung an die Aufsichtsbehörde erfolgt. Der Prozess der Risikoanalyse wird von den Datenschutzaufsichtsbehörden im Kurzpapier Nr. 18 erläutert, was eine hilfreiche Leitlinie gibt.
Rz. 82
Da es keine risikolose Datenverarbeitung gibt, sind die für die Risikobeurteilung relevanten Abstufungen die Kriterien "geringes Risiko", "Risiko" und "hohes Risiko". Sofern der Verantwortliche zu dem Ergebnis kommt, dass nur ein geringes Risiko vorliegt, ist keine Meldung erforderlich.
Rz. 83
Die vom Verantwortlichen vorzunehmende Risikobewertung ist unternehmensintern zu dokumentieren, um gegenüber der Aufsichtsbehörde den Nachweis führen zu können, dass und aus welchen Gründen der Verantwortliche nicht von einer Meldepflicht ausgegangen ist.
Rz. 84
Im Rahmen der Risikobewertung können auch gewisse Konfliktsituationen auftreten. Dies wäre etwa der Fall, wenn ein potenzieller Schaden besonders hoch, die Eintrittswahrscheinlichkeit aber als gering bewertet wird. Umgekehrt dazu kann auch die Eintrittswahrscheinlichkeit hoch sein, ein möglicher Schaden aber als gering eingeordnet werden. Dies veranschaulicht folgendes Beispiel: Einem Fachanwalt für Arztrecht wird der Laptop gestohlen. Auf diesem Laptop mit verschlüsselter Festplatte finden sich Mandantenakten in elektronischer Form. Eine Kenntnisnahme dieser Daten durch Dritte – eine Offenbarung im Sinne der DSGVO – würde für den Betroffenen einen hohen Schaden darstellen, da hier zusätzlich zu Mandantendaten auch Gesundheitsdaten betroffen sind. Aufgrund der vorhandenen sicheren Verschlüsselung der Daten auf dem Laptop des Anwalts ist die Eintrittswahrscheinlichkeit eines Schadens höchst unwahrscheinlich. Vor diesem Hintergrund kann der Verantwortliche davon absehen, diesen Fall der Aufsichtsbehörde zu melden. Gleichwohl ist eine interne Dokumentation dieses Datenschutzvorfalls erforderlich.
c) 72-Stunden-Frist
Rz. 85
Die Frist für die Meldung bei der Aufsichtsbehörde beträgt 72 Stunden nach Bekanntwerden der Verletzung. Nach Ansicht der Aufsichtsbehörden ist dem Verantwortlichen ein Vorfall bekannt, sofern eine hinreichende Gewissheit darüber besteht, dass ei...