Dr. Stefan Drewes, Sebastian Wilfling
Rz. 80
Die DSGVO geht grundsätzlich von einer Meldepflicht gegenüber der Aufsichtsbehörde beim Vorliegen einer Verletzung des Schutzes personenbezogener Daten aus. Die Meldung gegenüber der Aufsichtsbehörde ist dann nicht erforderlich, sofern der Eintritt eines Schadens für die betroffene natürliche Person nicht wahrscheinlich ist bzw. der Schaden nur geringfügige negative Auswirkungen auf den Betroffenen haben würde. Das Risiko, das Bestehen einer Meldepflicht falsch einzuordnen, trifft den Verantwortlichen. Im Zweifelsfall ist daher eine Meldepflicht empfehlenswert.
Rz. 81
Zur Ermittlung der Auswirkungen der Datenpanne auf den Betroffenen muss eine Risikoanalyse durchgeführt werden. Im Rahmen dieser Risikoanalyse muss die Eintrittswahrscheinlichkeit des Schadens wie auch dessen Schwere beurteilt werden. Aus der Eintrittswahrscheinlichkeit und der Höhe des möglichen Schadens ergibt sich dann die Risikostufe. Aufgrund dieser Risikostufe ist zu entscheiden, ob eine Meldung an die Aufsichtsbehörde erfolgt. Der Prozess der Risikoanalyse wird von den Datenschutzaufsichtsbehörden im Kurzpapier Nr. 18 erläutert, was eine hilfreiche Leitlinie gibt.
Rz. 82
Da es keine risikolose Datenverarbeitung gibt, sind die für die Risikobeurteilung relevanten Abstufungen die Kriterien "geringes Risiko", "Risiko" und "hohes Risiko". Sofern der Verantwortliche zu dem Ergebnis kommt, dass nur ein geringes Risiko vorliegt, ist keine Meldung erforderlich.
Rz. 83
Die vom Verantwortlichen vorzunehmende Risikobewertung ist unternehmensintern zu dokumentieren, um gegenüber der Aufsichtsbehörde den Nachweis führen zu können, dass und aus welchen Gründen der Verantwortliche nicht von einer Meldepflicht ausgegangen ist.
Rz. 84
Im Rahmen der Risikobewertung können auch gewisse Konfliktsituationen auftreten. Dies wäre etwa der Fall, wenn ein potenzieller Schaden besonders hoch, die Eintrittswahrscheinlichkeit aber als gering bewertet wird. Umgekehrt dazu kann auch die Eintrittswahrscheinlichkeit hoch sein, ein möglicher Schaden aber als gering eingeordnet werden. Dies veranschaulicht folgendes Beispiel: Einem Fachanwalt für Arztrecht wird der Laptop gestohlen. Auf diesem Laptop mit verschlüsselter Festplatte finden sich Mandantenakten in elektronischer Form. Eine Kenntnisnahme dieser Daten durch Dritte – eine Offenbarung im Sinne der DSGVO – würde für den Betroffenen einen hohen Schaden darstellen, da hier zusätzlich zu Mandantendaten auch Gesundheitsdaten betroffen sind. Aufgrund der vorhandenen sicheren Verschlüsselung der Daten auf dem Laptop des Anwalts ist die Eintrittswahrscheinlichkeit eines Schadens höchst unwahrscheinlich. Vor diesem Hintergrund kann der Verantwortliche davon absehen, diesen Fall der Aufsichtsbehörde zu melden. Gleichwohl ist eine interne Dokumentation dieses Datenschutzvorfalls erforderlich.