Gehen Daten verloren und werden sie insbesondere Dritten zugänglich, so sieht die DSGVO schon in einfachen Fällen scharfe Meldepflichten innerhalb kürzester Zeit vor. Ein verlorener USB-Stick kann schon reichen. Drohen Kunden oder Mitarbeitern dadurch erhebliche Nachteile, müssen auch sie sofort informiert werden.
Fragt man die Aufsichtsbehörden, was dort im Jahr 2019 neben den unzähligen Beschwerden für die meiste Arbeit gesorgt hat, wird das Gespräch schnell auf die enorme Anzahl von Meldungen nach Art. 33 DSGVO kommen. Die DSGVO sieht vor, dass Verletzungen des Schutzes personenbezogener Daten bereits dann zu melden sind, wenn diese zu „einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führen. Damit beschränken sich die Anforderungen also nicht auf besonders schwere Datenlecks, sondern umfassen nahezu jeden Verlust persönlicher Informationen.
Die Aufsichtsbehörden fassen die Anwendbarkeit weit, wenn auch nicht immer einheitlich. So kann bereits eine falsch verschickte E-Mail oder ein falsch adressierter Brief ausreichen. Umstritten ist, ob der Verlust eines USB-Sticks mit Kundendaten eine Meldepflicht nach sich zieht. Man kann aber wohl inzwischen davon ausgehen, dass dies zumindest dann nicht der Fall ist, wenn die Informationen nach dem Stand der Technik verschlüsselt sind. Nicht umstritten ist die Verpflichtung, umfangreiche Datenpannen oder Malware-Angriffe weiterzugeben.
Eile ist geboten
Die Meldung muss unverzüglich und „möglichst binnen 72 Stunden“ ab Kenntnis des Vorfalls erfolgen. Diese extrem kurze Frist lässt dem Betroffenen kaum Zeit für eine Aufarbeitung der Geschehnisse. Wird eine Überschreitung dieser Frist nötig, sollte der Verantwortliche hierfür gute Argumente haben. Welche Inhalte die zu übermittelnde Meldung aufweisen muss, regelt Art. 33 Abs. 3 der DSGVO. Danach sind folgende Informationen Pflicht:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- der Name und die Kontaktdaten des Datenschutzbeauftragten (…);
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Damit nicht genug müssen die Datenschutzverletzungen „einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen“ von dem Verantwortlichen dokumentiert werden. In der Praxis bedeutet dies, dass ein umfangreiches Protokoll der Geschehnisse sowie der ergriffenen Maßnahmen anzufertigen ist. Ziel ist es, der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen von Art. 33 zu ermöglich.
Meldepflichten: Nachricht an Kunden und Mitarbeiter
Doch die Verpflichtungen des Verantwortlichen können sogar noch weiter gehen. Hat die Datenpanne „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ zur Folge, ist die betroffene Person unverzüglich von der Verletzung zu benachrichtigen. Da hier ein „hohes Risiko“ erforderlich ist, liegen die Anforderungen höher als bei einer Meldung an die Behörden.
Die Benachrichtigung betroffener Personen muss stets „unverzüglich“, also so rasch wie möglich erfolgen. Umso wichtiger ist es, sich auf solche Notfälle angemessen vorzubereiten. Hierzu gehört es insbesondere, ein interdisziplinäres Team auch aus externen Profis ins Leben zu rufen, dass kurzfristig verfügbar ist und schnell reagieren kann.
Autor: Joerg Heidrich, Fachanwalt für IT-Recht, Kanzlei Heidrich Rechtsanwälte in Hannover, www.recht-im-internet.de