Im Geschäftsalltag werden personenbezogene Daten in vielfältiger Weise verarbeitet. Dabei können jedoch immer wieder Fehler auftreten, die zu einer Datenschutzverletzung führen können. Im Folgenden erfahren Sie, wie eine Datenschutzverletzung im Sinne der Datenschutzgrundverordnung (DS-GVO) definiert ist und wie im Falle einer Datenschutzverletzung zu handeln ist.
Definition: Datenschutzverletzung
Bei einer Datenschutzverletzung handelt es sich um eine Verletzung des Schutzes personenbezogener Daten durch einen Sicherheitsvorfall. Nach Art. 4 Abs. 12 DS-GVO ist dies der Fall, wenn der Sicherheitsvorfall zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegungvon bzw. zum unbefugten Zugangzu personenbezogenen Daten führt, welche übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Im Einzelnen bedeutet dies Folgendes:
- Vernichtung: Die Daten existieren nicht mehr oder nicht mehr in einer Form, die für den Verantwortlichen von Nutzen ist.
- Schaden: Die personenbezogenen Daten wurden verändert oder beschädigt oder sind nicht mehr vollständig.
- Verlust: Die personenbezogenen Daten können zwar noch vorhanden sein, aber der Verantwortliche hat die Kontrolle über die Daten oder den Zugang zu ihnen verloren oder die Daten befinden sich nicht mehr in seinem Besitz.
- Unrechtmäßige oder unbefugte Verarbeitung: Die Weitergabe der personenbezogenen Daten an einen Empfänger, der nicht zum Erhalt der Daten berechtigt ist, und jede andere Form der Verarbeitung, die gegen die DS-GVO verstößt.
Ferner lassen sich Datenschutzverletzungen nach den folgenden drei Grundsätzen der Informationssicherheit unterteilen:
- Verletzung der Vertraulichkeit: Stellt eine unbeabsichtigte Preisgabe von oder Einsichtnahme in personenbezogene Daten dar.
- Verletzung der Integrität: Eine unbefugte oder unbeabsichtigte Änderung der Daten.
- Verletzung der Verfügbarkeit: Der unbefugte oder unbeabsichtigte Verlust des Zugangs zu personenbezogenen Daten oder die unbeabsichtigte oder unrechtmäßige Vernichtung personenbezogener Daten.
Eine Datenschutzverletzung kann weitreichende Folgen für die betroffenen Personen haben. Zu den möglichen Schäden gehören der Verlust der Kontrolle über die personenbezogenen Daten oder die Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder Betrug, finanzielle Verluste, Rufschädigung und der Verlust der Vertraulichkeit von Daten, die dem Berufsgeheimnis unterliegen. Darüber hinaus können enorme wirtschaftliche oder soziale Folgen für die betroffenen Personen entstehen.
Gemäß Erwägungsgrund 87 der DS-GVO sollen Unternehmen daher alle notwendigen technischen und organisatorischen Maßnahmen (TOM) ergreifen, um unverzüglich feststellen zu können, ob eine Datenschutzverletzung vorliegt.
Meldung einer Datenschutzverletzung an die Aufsichtsbehörde und an die betroffenen Personen
Der Verantwortliche muss gemäß Art. 33 Abs. 1 DS-GVO eine Datenschutzverletzung der zuständigen Aufsichtsbehörde unverzüglich und innerhalb von 72 Stunden nach Bekanntwerden dieser melden. Eine Datenschutzverletzung gilt als bekannt, wenn der Verantwortliche hinreichende Gewissheit hat, dass ein Sicherheitsvorfall eingetreten ist, der eine Beeinträchtigung des Schutzes personenbezogener Daten zur Folge haben kann. Tatsächlich hängt es aber immer vom Einzelfall ab, wann eine Datenschutzverletzung als bekannt gilt. In manchen Fällen kann es von Anfang an klar sein, dass eine Datenschutzverletzung vorliegt. In anderen Fällen lässt sich möglicherweise erst nach einer gewissen Zeit feststellen, ob der Schutz personenbezogener Daten tatsächlich verletzt wurde.
Eine Verletzung muss gemäß Art. 33 DS-GVO aber nur gemeldet werden, wenn sie ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
Bei der Beurteilung des Risikos müssen die folgenden Punkte beachtet werden:
- Art der Datenschutzverletzung
- Art, Sensibilität und Umfang personenbezogener Daten
- Identifizierbarkeit betroffener Personen
- Schwere der Folgen für die betroffenen Personen
- Besondere Eigenschafen der Personen
- Besondere Eigenschaften des Verantwortlichen
- Die Zahl der betroffenen Personen
Wird die Verletzung nicht innerhalb von 72 Stunden gemeldet, muss eine Begründung für die Verzögerung der Meldung beigefügt werden. Darüber hinaus stehen der Aufsichtsbehörde im Falle einer Verzögerung Abhilfebefugnisse gemäß Art. 58 Abs. 2 DS-GVO zu. Nach Art. 83 DS-GVO können zudem Geldbußen verhängt werden. Diese können bis zu 20.000.000 Euro bzw. bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens gemäß Art. 83 Abs. 4 lit. a) DS-GVO betragen.
Falls ein Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt ist, muss dieser dem Verantwortlichen unverzüglich Meldung erstatten, wenn er bei seiner Verarbeitungstätigkeit eine Datenschutzverletzung feststellt. Es ist ratsam, im Voraus vertraglich zu regeln, wie eine solche Meldung zu erfolgen hat. Der Verantwortliche kann den Auftragsverarbeiter auch bevollmächtigen, den Vorfall unverzüglich der zuständigen Aufsichtsbehörde zu melden. Die rechtliche Verantwortung für die Meldung bleibt jedoch bei dem Verantwortlichen.
Eine Meldung an die Aufsichtsbehörde muss mindestens die folgenden Informationen gemäß Art. 33 Abs. 3 DS-GVO enthalten:
- Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
- Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder eine sonstige Anlaufstelle
- Eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
- Eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung
Bei bestimmten Datenverstößen kann die Angabe weiterer Informationen erforderlich sein.
Nach Erwägungsgrund 85 der DS-GVO sollen Meldungen an die Aufsichtsbehörde vor allem dazu dienen den Schaden für natürliche Personen zu beschränken
Wenn zum Zeitpunkt der Feststellung der Datenschutzverletzung noch genaue Informationen fehlen, ist dies kein Hindernis für eine frühzeitige Meldung einer Datenschutzverletzung. Gemäß Art. 33 Abs. 4 DS-GVO kann der Verantwortliche, wenn und soweit die Informationen nicht sofort zur Verfügung gestellt werden können, diese Informationen ohne unangemessene weitere Verzögerung schrittweise bereitstellen.
Die betroffenen Personen müssen informiert werden, wenn die Datenschutzverletzung nach Art. 34 Abs. 1 DS-GVO ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen darstellt. Ein hohes Risiko ist anzunehmen, wenn von der Datenschutzverletzung besondere Kategorien personenbezogener Daten gem. Art 9 Abs. 1 DS-GVO betroffen sind, wie z.B. Bankverbindungs- und Kreditkartendaten.
Im Zweifelsfall ist aber auch dann ein hohes Risiko anzunehmen, wenn eine der in Erwägungsgrund 85 der DS-GVO konkreten Beeinträchtigungsformen betroffen ist. Also ein Kontrollverlust der betroffenen Person im Hinblick auf ihre personenbezogenen Daten, die Einschränkung der Rechte der betroffenen Person, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung oder Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten vorliegt.
Grundsätzlich sind die betroffenen Personen individuell zu benachrichtigen. Wenn eine individuelle Benachrichtigung aber mit einem unverhältnismäßigen Aufwand verbunden wäre oder wenn die Zahl der betroffenen Personen nicht zuverlässig eingegrenzt werden kann, kann der Verantwortliche die betroffenen Personen auch öffentlich benachrichtigen. Die Benachrichtigung kann dann z. B. über eine Zeitung oder über das Internet erfolgen.
Damit die betroffenen Personen die notwendigen Maßnahmen einleiten können, um sich vor den negativen Folgen des Verstoßes zu schützen, sollte die Benachrichtigung so schnell wie möglich erfolgen. Gemäß Art. 34 DS-GVO muss der Verantwortliche bei der Benachrichtigung der betroffenen Personen mindestens dieselben Informationen bereitstellen wie bei der Benachrichtigung der Aufsichtsbehörde (s.o.).
Dokumentationspflicht
Der Verantwortliche ist verpflichtet, die Datenschutzverletzung im Sinne von Art. 33 Abs. 5 DS-GVO zu dokumentieren, unabhängig davon, ob die Verletzung der Aufsichtsbehörde gemeldet werden muss. Die Dokumentation muss alle Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten, ihre Auswirkungen und die getroffenen Abhilfemaßnahmen enthalten. Die Aufsichtsbehörde kann Einsicht in die Aufzeichnungen verlangen, weshalb der Verantwortliche ein internes Register der Datenschutzverletzungen einrichten sollte. Darüber hinaus empfiehlt der EDSA, die Entscheidungen über die getroffenen Maßnahmen zu dokumentieren.
Handlungsempfehlung
Datenschutzverletzungen bergen für Unternehmen ein hohes Risikopotential, weil sie schwerwiegende Folgen haben können. Eine Datenschutzverletzung kann zu Imageschäden, Sanktionen und Geldstrafen führen. Daher sollten gezielte Maßnahmen ergriffen werden, um Datenschutzverletzungen grundsätzlich zu verhindern. Kommt es doch zu einer Datenschutzverletzung, muss diese gemäß Art. 33 Abs. 1 DS-GVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Es ist dementsprechend ratsam, für den Fall einer Datenschutzverletzung im Vorfeld eine Art Notfallplan zu erstellen, damit im Ernstfall schnell Maßnahmen ergriffen werden können und die Beschäftigten auch wissen, was zu tun ist.Insbesondere müssen alle Mitarbeiter für den Ernstfall geschult werden, um die 72 Stunden Frist nicht durch die Ermittlung der Zuständigkeiten innerhalb des Unternehmens zu überschreiten.
Quellen:
- Guidelines 9/2022 on personal data breach notification under GDPR, EDSA, 10.10.2022
- Infoblatt „Meldung von Datenschutzverstößen“, BfDI, 18.05.2018
