Abhängig vom Ergebnis der Risikoabwägung muss die Datenpanne dann entweder „nur” der zuständigen Aufsichtsbehörde oder auch noch den davon betroffenen Personen gemeldet werden.
Praxistipp:
Deutschland hat nicht, wie andere EU-Staaten, nur eine Datenschutzaufsichtsbehörde, sondern gleich 18 Behörden. In jedem Bundesland existiert eine Aufsichtsbehörde, in Bayern sogar zwei (jeweils eine für den öffentlichen und für den nicht-öffentlichen Bereich). Hinzu kommt noch der Bundesdatenschutzbeauftragte. Sozusagen „außer der Reihe” laufen außerdem die Aufsichtsbehörden für die Katholische und die Evangelische Kirche Deutschlands sowie für die Rundfunkanstalten. Für Sie zuständig ist die Datenschutzaufsichtsbehörde des Bundeslandes, in welchem Sie Ihren (Haupt-)Sitz haben. Wer also, wie der Verf. dieses Beitrags, seinen Kanzleisitz z.B. in der Städteregion Aachen hat, für den ist die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LfDI NRW, www.ldi.nrw.de) zuständig. Eine Auflistung mit allen Aufsichtsbehörden Deutschlands und in anderen europäischen Staaten findet sich auf der Website des Bundesdatenschutzbeauftragten ( www.bfdi.bund.de/DE/Service/Anschriften/anschriften_table.html ).
1. Meldung an die Aufsichtsbehörde (Art. 33 DSGVO)
In Art. 33 Abs. 1 DSGVO heißt es:
Zitat
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der [...] zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.”
Für die Beantwortung der Frage, ob ein Risiko für die Betroffenen vorliegt oder ob ein solches ausgeschlossen werden kann, muss die Identifizierung von möglichen Risiken, die Ermittlung der Höhe der erkannten Risiken anhand der vorgenannten Formel (s.o. unter III.) sowie deren Einordnung in die Risikomatrix (s.o. unter III.) erfolgen.
Praxistipp:
Die Formulierung der Vorschrift deutet darauf hin, dass der Gesetzgeber davon ausgeht, dass im Regelfall von einem Risiko für die Betroffenen auszugehen ist („es sei denn...”). Wenn Sie ausnahmsweise kein Risiko erkennen können, müssen Sie entsprechend gute Argumente vortragen und im Zweifel auch nachweisen können.
Wenn ein Risko nicht ausgeschlossen werden kann, sollte im Zweifel eine Meldung an die zuständige Aufsichtsbehörde erfolgen. Diese Meldung muss unverzüglich, spätestens aber binnen 72 Stunden nach Bekanntwerden der Datenpanne erfolgen (Art. 33 Abs. 1 S. 1 DSGVO). Nach allgemeiner Auffassung werden Samstag und Sonntag hier wie normale Werktage behandelt, sodass die Frist auch über das Wochenende läuft. Leider ist es häufig so, dass Datenpannen nicht dann passieren, wenn alle im Büro sind und genügend Zeit haben. Sie treten erfahrungsgemäß leider eher freitagabends oder sonntagmorgens auf bzw. werden an einem Wochenende erkannt.
Ihre Meldung muss nach Maßgabe von Art. 33 Abs. 3 DSGVO mind. folgende Pflichtangaben enthalten:
- eine Beschreibung der Art der Datenpanne, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen (für die Betroffenen) der Datenpanne;
- eine Beschreibung der von Ihnen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenpanne und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Praxistipp:
Inzwischen stellen alle Aufsichtsbehörden Meldeformulare über ihre Internetseiten bereit, über die Sie online bzw. per ausgefüllter PDF-Datei eine Datenpannenmeldung einreichen können. Das hat den Vorteil, dass alle erforderlichen Angaben abgefragt werden und dass Ihre Meldung auf dem schnellsten Weg zum richtigen Ansprechpartner gelangt.
Gemäß dem Nemo-tenetur-Grundsatz verwenden die Aufsichtsbehörden Ihre Angaben in einer solchen Meldung in aller Regel nicht dazu, um gegen Sie ein Ordnungswidrigkeitenverfahren einzuleiten. Wenn Sie allerdings – überspitzt formuliert – jede Woche Datenpannen melden, womöglich noch immer wieder die gleichen Arten von Pannen, dann wird sich die Aufsichtsbehörde sicherlich doch dazu veranlasst sehen, bei Ihnen etwas genauer hinzuschauen.
2. Mitteilung an die Betroffenen (Art. 34 DSGVO)
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich sogar ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung (Art. 34 Abs. 1 DSGVO). Auch hier kommt es somit entscheidend auf Ihre eigene Risikoeinstufung an. Helfen können Ihnen hierbei z.B. wieder Leitlinien der Art.-29-Gruppe, diesmal das Papier (Working Paper 248) zum Thema Datenschutzfolgenabschätzung (DSFA), das ebenfalls kostenfrei ...