(MoB) Nach den Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) sind Unternehmen unter bestimmten Umständen dazu verpflichtet Datenschutzverletzungen an die jeweilig zuständige Aufsichtsbehörde zu melden. In diesem Zusammenhang stehen die Verantwortlichen oft vor der Frage, wann genau ein Vorfall meldepflichtig ist und wann die Betroffenen informiert werden müssen.

(Nähere Informationen zu Datenschutzverletzungen und entsprechenden Meldepflichten im audatis-Artikel “Der richtige Umgang mit Datenschutzverletzungen”)

Bereits 2017 veröffentlichte die ehemalige Artikel-29-Datenschutzgruppe eine allgemeine Leitlinie zur Meldung von Datenschutzverletzungen. Im Jahr 2018 ersetzte der Europäische Datenschutzausschuss (EDSA) dann die Artikel-29-Datenschutzgruppe und bestätigte die Leitlinie. Da diese Leitlinie jedoch keine praktischen Beispiele enthielt, veröffentlichte der EDSA 2021 eine fallorientierte Leitlinie mit dem Titel „Guidelines 01/2021 on Examples regarding Data Breach Notification„, die Beispiele dafür enthält, wann eine Datenschutzverletzung der Aufsichtsbehörde und den betroffenen Personen gemeldet werden muss.

Im Oktober 2022 veröffentlichte der EDSA erneut eine Leitlinie mit dem Titel „Guidelines 9/2022 on personal Data Breach Notification under GDPR„. Dabei handelt es sich um eine überarbeitete Version der bereits 2017 veröffentlichten Leitlinie zur Meldung von Datenschutzverletzungen.

Leitlinien des EDSA

Die neue Leitlinie übernimmt – weitestgehend unverändert – die Erläuterungen der bisherigen Leitlinien. Eine Klarstellung erfolgt jedoch in Bezug auf die Meldung einer Datenschutzverletzung von nicht in der EU niedergelassenen Unternehmen.

Nach Ansicht des EDSA löst das bloße Vorhandensein eines Vertreters in der EU im Sinne von Art. 27 DS-GVO nämlich nicht die Vorteile des sogenannten „One-Stop-Shop“-Prinzips aus. Für Unternehmen mit grenzüberschreitenden Datenverarbeitungsvorgängen, die nicht in der EU ansässig sind, aber einen Vertreter in der EU haben, bedeutet dies, dass im Falle einer Datenschutzverletzung, die mehrere Personen in verschiedenen Mitgliedstaaten betrifft, der Vorfall allen Aufsichtsbehörden in den verschiedenen Mitgliedstaaten gemeldet werden muss. In der Praxis kann dies für die Unternehmen einen hohen Arbeitsaufwand zur Folge haben. 

Unter Anwendung des „One-Stop-Shop“-Prinzips würde dagegen eine Meldung an die federführende Aufsichtsbehörde ausreichend sein.

Beispiele zur Meldung von Datenschutzverletzungen  

Die folgenden Beispiele sind der Leitlinie „Guidelines 01/2021 on Examples regarding Data Breach Notification“ entnommen und verdeutlichen, welche Vorfälle melde- und benachrichtigungspflichtig sind und welche nicht.

Keine Melde- oder Benachrichtigungspflicht

Beispiel: Eine Teilnehmerliste für einen Kurs wird versehentlich an 15 ehemalige Teilnehmenden des Kurses und nicht an das Hotel, in dem der Kurs stattfindet, geschickt. Die Liste enthält Namen, E-Mail-Adressen und Ernährungsgewohnheiten der 15 Teilnehmenden. Nur zwei Teilnehmende haben Angaben zu ihren Ernährungsgewohnheiten gemacht und angegeben, dass sie laktoseintolerant seien. Der Verantwortliche entdeckt den Fehler unmittelbar nach dem Versand der Liste und informiert die Empfangenden über den Fehler und fordert sie auf, die Liste zu löschen.

Obwohl es sich bei den Informationen über Laktoseintoleranz um Gesundheitsdaten handelt, ist das Risiko einer nachteiligen Verwendung dieser Daten gering. In diesem Fall verursacht die Datenschutzverletzung keinen physischen, materiellen oder immateriellen Schaden für die betroffenen Personen. Der Hinweis auf eine Laktoseintoleranz kann zudem im Gegensatz zu anderen Ernährungsgewohnheiten nicht mit religiösen oder weltanschaulichen Überzeugungen in Verbindung gebracht werden. Außerdem ist die Zahl der betroffenen Personen sehr gering. Die Datenverletzung muss daher weder der Aufsichtsbehörde noch den betroffenen Personen gemeldet werden.

Meldepflicht aber keine Benachrichtigungspflicht

Beispiel: Während seiner Kündigungsfrist kopiert ein Arbeitnehmer Kundendaten aus der Datenbank des Unternehmens, auf die er zur Erfüllung seiner Aufgaben Zugriff hat. Nach seiner Kündigung nutzt er die so gewonnenen Daten, um die Kunden des Unternehmens zu kontaktieren und sie von seinem neuen Geschäft zu überzeugen.

In diesem Fall handelt es sich um eine Verletzung der Vertraulichkeit, da die Daten aus der Datenbank von dem ehemaligen Mitarbeiter „böswillig“ kopiert wurden. Der Verantwortliche kann hier die Absichten des Mitarbeiters nicht konkret einschätzen, sodass grundsätzlich ein Risiko für die Betroffenen vorhanden ist. Dieses ist aber nicht als hoch einzuschätzen, weshalb eine Meldung an die Aufsichtsbehörde ausreichend ist.

Melde- und Benachrichtigungspflicht

Beispiel: Auf dem gestohlenen Notebook einer Mitarbeiterin befinden sich die Namen, Vornamen, das Geschlecht, die Adressen sowie Geburtsdaten von mehr als 10.000 Kunden. Der Zugriff auf die Festplatte ist nicht durch ein Passwort geschützt. 

Da der Verantwortliche keinerlei Sicherheitsvorkehrungen getroffen hat, sind die gespeicherten personenbezogenen Daten für alle leicht zugänglich. Die Identifizierbarkeit der Betroffenen sowie die Anzahl der betroffenen Personen stellen bereits ein erhöhtes Risiko dar. Aufgrund des hohen Risikos müssen in diesem Fall die Aufsichtsbehörde und die betroffenen Personen über die Verletzung des Datenschutzes informiert werden.

Praxistipp

Im Falle einer Datenschutzverletzung muss jedes Unternehmen, das personenbezogene Daten verarbeitet, unverzüglich eine Risikobewertung der Folgen der Verletzung für die betroffenen Personen durchführen und entscheiden, ob die Datenschutzverletzung gemeldet werden muss. Zu diesem Zweck ist es ratsam, einen entsprechenden Prozess im Unternehmen zu etablieren. Dies setzt zunächst voraus, dass die Mitarbeitenden eine Datenschutzverletzung auch erkennen. Erforderlich sind somit Sensibilisierungsmaßnahmen aller relevanten Mitarbeitenden. Außerdem müssen die Verantwortlichkeiten klar definiert werden. Klare Zuständigkeiten helfen, eine Datenschutzverletzung so schnell wie möglich zu melden, um die von der DS-GVO vorgegebene Meldefrist von 72 Stunden nicht zu überschreiten. Die Leitlinien des EDSA können eine Orientierungshilfe für die Einrichtung des Prozesses im Unternehmen sein. Aufgrund der potenziellen Geldstrafen, die eine nicht gemeldete Datenschutzverletzung nach sich ziehen kann, sollte die Meldung von Datenschutzverletzungen im Unternehmen sehr ernst genommen werden.