Rz. 11
Das vorliegende Muster hat den Anwendungsfall einer Meldung von Verletzungen des Schutzes personenbezogener Daten (im deutschsprachigen Raum oft auch "Data Breach" genannt) an die zuständige Aufsichtsbehörde vor Augen. Der Verantwortliche hat einen solchen Data Breach nach Art. 33 DSGVO unverzüglich, spätestens binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden, es sei denn, die Bewertung der Dokumentation führt zu dem Ergebnis, dass der Data Breach voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt.
Die Vorschrift steht neben der gedanklich immer gleichzeitig zu prüfenden Vorschrift des Art. 34 DSGVO, wonach bei Data Breaches, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge haben, auch eine Benachrichtigung an alle Betroffenen zu erfolgen hat, wenn nicht einer der engen Ausnahmetatbestände des Art. 34 Abs. 3 DSGVO einschlägig ist. Unabhängig davon, ob eine Meldung an die Aufsichtsbehörde und die Betroffenen zu erfolgen hat, müssen Data Breaches immer intern dokumentiert werden (Art. 33 Abs. 5 DSGVO). Die nachfolgende Matrix veranschaulicht die erforderlichen Maßnahmen ausgehend von der getroffenen Risikoanalyse:
|
Interne Dokumentation? Art. 33 Abs. 5 DSGVO |
Meldung an die Aufsichtsbehörde? Art. 33 Abs. 1 DSGVO |
Benachrichtigung der Betroffenen? Art. 34 DSGVO |
Risiko voraussichtlich allenfalls gering |
Ja |
Nein |
Nein |
Risiko voraussichtlich mehr als gering, aber nicht hoch |
Ja |
Ja |
Nein |
Risiko voraussichtlich hoch |
Ja |
Ja |
Ja |
Das dargestellte Muster kann den Mandanten wegen der Vielschichtigkeit der Prüfung nicht abschließend informieren, es ist jedoch aus anwaltlicher Sicht wichtig, mit deutlichen Worten auf die Eiligkeit hinzuweisen und die Mandantschaft auf die bevorstehenden Aufgaben vorzubereiten. Für den beratenden Anwalt sei in erster Linie die (nur auf englisch verfügbare) "Guidelines 9/2022 on personal data breach notification under GDPR", aktuell in Version 2.0 vom 28.3.2023 als Lektüre empfohlen, die online auf der Website des Europäischen Datenschutzausschusses (https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_de) abgerufen werden kann. Je nachdem, ob die Mandantschaft Kenntnis von den möglichen Folgen eines Data Breaches (insbesondere Bußgelder bei mangelhaften technischen und organisatorischen Maßnahmen) hat, wird man es mit mehr oder minder aufgeregten und/oder ängstlichen Mandanten zu tun haben, die – verständlicherweise – schnelle und umfassende Beratung erwarten.
Rz. 12
Ein Data Breach kann ausweislich der sperrigen Legaldefinition in Art. 4 Nr. 12 DSGVO in vielen Erscheinungsformen auftreten. Die oben genannte Guideline enthält auf S. 31 ff. zahlreiche, auch durchaus praxisrelevante Beispiele, wann nach Ansicht der EDSA eine Meldepflicht ausgelöst wird und wann nicht. Bei einem häufigen Fall der Rundmail (z.B. Newsletter), bei denen alle Empfänger im "TO" oder "CC"-Feld statt im "BCC"-Feld aufgelistet und daher für jeden Empfänger ersichtlich sind, stellt der EDSA auf die Zahl der Empfänger und die Sensitivität der Begleitumstände (handelt es sich z.B. um die Mailingliste eines Arztes, der über Ferienzeiten informiert?) ab. Der beratende Praktiker wird nach Lektüre der Beispiele ein Gespür dafür entwickeln, wie niedrig die Schwelle eines meldepflichtigen Datenschutzverstoßes ist und welche (vorher vorhandenen) Sicherheitsmechanismen implementiert sein müssen, um zur Bewertung eines voraussichtlich nur geringen Risikos zu gelangen (z.B. wenn ein abhandengekommener Datenträger mit Kundendaten nach dem aktuellen Stand der Technik hochverschlüsselt ist und nicht davon auszugehen ist, dass dieser ohne Kenntnis des Passworts entschlüsselt werden kann).
Der beratende Anwalt sollte auch aus Haftungsgründen vermeiden, Erfüllungsgehilfe bei der Beschaffung der Fakten zu werden, sondern auch durch die Kommunikation gegenüber dem Mandanten deutlich machen, dass und welche Informationen er benötigt, dass er (nur) für die rechtliche Bewertung der Faktenbasis zuständig ist und dass er schon mangels der regelmäßig nicht vorhandenen Kenntnis der Interna des beratenden Unternehmens und des konkreten Vorfalls keinerlei Hilfestellungen bei der Faktenbeschaffung geben kann. Der optionale Textbaustein mit dem Verweis auf externe IT-Forensiker kann daher in geeigneten Fällen hinzugefügt werden.
Soweit ersichtlich bieten aktuell alle 16 Landesdatenschutzbehörden Online-Meldeformulare für Data Breaches an, die genutzt werden können, aber nicht müssen. Dies empfiehlt sich jedoch, weil daraus ersichtlich wird, welche Informationen die jeweilige Behörde haben möchte. Falls die Meldung anderweitig abgegeben werden soll (die Datenschutzbehörden sind regelmäßig auch über das beA/beBPO erreichbar), empfiehlt es sich, die Struktur der Formulare zu übernehmen. Der beratende Anwalt sollte sich daher parallel das Meldeformular des betreffenden...