HMDATA Datenschutz-Newsletter 12/23

Datenpanne melden oder nicht?

HMDATA Datenschutz-Newsletter 12/2023, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Eine Datenpanne an sich ist ärgerlich genug. Der innerbetriebliche Umgang sollte zwischenzeitlich klar geregelt und kommuniziert sein.
Was Datenpannen nach Art. 4 Abs. 12 DSGVO sind, sollte auch mittlerweile klar sein, hauptsächlich betrifft es alle Tatbestände die zu einer Exfiltration oder Nichtverfügbarkeit führen können.

Soweit alles klar, aber was in der Folge immer wieder Anlass zu Sorgen gibt ist die Fragestellung, ob denn nun die Datenpanne auch nach extern an die zuständige Landesdatenschutzbehörde gemeldet werden soll oder nicht.

Ein Blick in die DSGVO ergibt unter Art. 33 Abs. 1:

"Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, ..."
Also: sehr kurze Meldefrist, die Prozesse müssen stimmen.

Ausnahme wäre im zweiten Halbsatz des Art. 33 Abs. 1 geregelt:

"... es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt."
Dieser einzige Ausnahmetatbestand kann also eine Nichtmeldung rechtfertigen.

Wie kommt man aber zu der Einschätzung, ob ein wie auch immer abstrakt formuliertes Risiko für Rechte oder Freiheiten natürlicher Personen vorliegt, das eine Meldepflicht auslösen würde und wer muss diese Einschätzung überhaupt in welcher Form treffen?
Der zweite Teil der Frage ist leicht: immer der Verantwortliche, also Geschäftsführung oder Vorstand.
Der erste Teil ist in der Praxis nicht so leicht zu beantworten da - wie so oft - seitens der DSGVO eine Risikoabwägung stattfinden muss.

Bei der Beantwortung der Frage des Risikos ist äußerst nützlich, die Kunden- bzw. Betroffenensicht einzunehmen:

"Wie schlimm kann es wirklich für den Betroffenen werden?"
Es ist also hilfreich, ein wenig hypothetische Katastrophenmaximierung durchzuspielen, um eine "Schadenhöhe" für das Risikomanagement zu definieren.

Auf Grund der Rechenschaftspflicht nach Art. 5 Abs. 3 DSGVO ist es zudem sinnvoll, systematisch und vor allem dokumentiert die Risikoeinschätzung vorzunehmen und die Ergebnisse der Fragestellung nachweisbar vorzunehmen.

Aus diesem Grunde ist im folgenden eine Hilfestellung für die wichtigsten Parameter einer systematischen Einschätzung des Risikos für Rechte und Freiheiten dargestellt:

  • Anzahl der Betroffenen
  • Art der Betroffenen
  • Art der Daten
  • Umfang der Daten
  • Art der Datenpanne
  • Identifizierbarkeit Betroffener
  • Folgen für Betroffene
  • Empfänger der Offenlegung
  • Möglichkeiten zur Eindämmung
  • Wirkung von Sofortmaßnahmen
  • Präventionsmöglichkeiten
Die Risiken der Einzelparameter erlauben dann eine Gesamteinschätzung, die dann für den Verantwortlichen als Grundlage zum Urteil der Meldung oder Nichtmeldung dienen kann.

Noch vier Hinweise:

  • Die Meldung einer Datenpanne führt nicht zwangsläufig zu einem Bußgeld. Das obliegt der behördlichen Einschätzung im weiteren Verlauf, der Eindämmungsmöglichkeiten, der Abstellbarkeit der Ursache, des Umganges und der Kooperation.
  • Eine Meldung kann auch vorab innerhalb der Meldefrist präventiv ohne Beurteilung durchgeführt werden. Dies kann nachgemeldet werden, wenn im Verlaufe der Untersuchung weitere Informationen zum Hergang und Verlauf verfügbar werden.
  • Eine meldepflichtige Datenpanne, die nicht fristgerecht gemeldet wurde, ist glaubhaft behördlich zu begründen. Andererseits führt dies zu einem Bußgeld auf Grund Nichtmeldung.
  • Sollte sich eine nicht gemeldete Datenpanne nachträglich als meldepflichtig herausstellen, so hilft o.a. Risikoeinschätzung enorm bei der Begründung der Nichtmeldung (s. Art. 33 Abs. 1 Saz 2 DSGVO: "Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.")

Fazit

Ein funktionierendes Incident-Management ist nicht nur gesetzlich erforderlich, sondern bewährt sich auch in der Praxis enorm. Insb. wenn die Prozesse bei akut auftretenden Datenpannen schon eingespielt sind, stellt die 72-Stunden Meldefrist keine Herausforderung dar. Neben genauer Ermittlung des Herganges, der Eindämmungsmaßnahmen und der Prävention ist die Einschätzung der Meldepflicht von zentraler Bedeutung.

Auch beachtenswert: ohne geschulte und sensibilisierte Mitarbeiter in einer offenen Unternehmensfehlerkultur wird die Behandlung von Datenpannen innerbetrieblich nicht funktionieren.

©2024 by Harald Müller-Delius. Dieser Text ist urheberrechtlich geschützt. Das Verwenden - auch in Auszügen - ist nur nach ausdrücklicher schriftlicher Genehmigung durch den Autor gestattet. Jede widerrechtliche Nutzung ist untersagt. Für diesen Text können Nutzungsrechte erworben werden, Anfragen zur Nutzung per E-Mail an hmd@hmdata.de