Datenpannen – Meldepflicht und typische Fallkonstellationen

Der für eine Datenverarbeitung Verantwortliche muss eine Vielzahl von Regelungen zum Schutz der verarbeiteten personenbezogenen Daten einhalten. Darüber hinaus müssen bestimmte Datenschutzverletzungen umgehend der Aufsichtsbehörde gemeldet werden. Diese Meldungen
haben mit Geltung der Datenschutz-Grundverordnung (DS-GVO) in meiner Behörde immens zugenommen.

Schon das alte Datenschutzrecht kannte eine Pflicht zur Meldung bestimmter Datenschutzverstöße. Nach § 42a Bundesdatenschutzgesetz (BDSG) alter Fassung war diese Meldepflicht allerdings beschränkt auf besonders sensible Kategorien wie Gesundheitsdaten, Daten zu Straftaten oder Daten zu Bank- oder Kreditkartenkonten. Auch wurde die Meldepflicht nur durch eine unrechtmäßige Übermittlung oder sonstige unrechtmäßige Kenntnisnahme durch Dritte ausgelöst. Schließlich war sie an die Prognose gekoppelt, dass wegen der Kenntnisnahme durch Dritte schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen mussten. Die DS-GVO geht mit ihrer Regelung zur Meldepflicht bei Datenschutzverstößen nach Art. 33 deutlich weiter.

Voraussetzungen der neuen Meldepflicht

Jede Art einer Verletzung des Schutzes personenbezogener Daten löst die Meldepflicht gegenüber der Aufsichtsbehörde aus. Dies umfasst auch unbeabsichtigte Datenverluste oder Daten-Offenlegungen; ein Verschulden des Verantwortlichen ist nicht erforderlich, sogar zufällige Ereignisse können eine Datenschutzverletzung im Sinne des Art. 33 DS-GVO darstellen. Zudem ist nun jede Kategorie von betroffenen personenbezogenen Daten relevant – die
Meldepflicht ist nicht wie früher auf bestimmte, besonders risikobehaftete Datenkategorien beschränkt.

Zusätzlich verpflichtet die DS-GVO nun auch Behörden zur Beachtung der Meldepflicht bei Datenschutzverletzungen. Gemeldet werden muss unverzüglich und möglichst innerhalb von 72 Stunden ab Kenntnis der Datenschutzverletzung.

Die Meldepflicht entfällt nur dann ausnahmsweise, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Anders als im früheren Recht besteht die Pflicht damit nicht erst bei einer drohenden schwerwiegenden Beeinträchtigung der Rechte der Betroffenen. Besteht voraussichtlich sogar ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen, muss der Verantwortliche die Betroffenen zusätzlich unverzüglich benachrichtigen.

Da es vollständig risikolose Verarbeitungen jedoch nicht geben kann, legt die Datenschutzkonferenz (DSK) die Formulierung „nicht zu einem Risiko“ so aus, dass sie „nur zu einem geringen Risiko“ führen darf. Sie hat sich auch in ihrem Erfahrungsbericht zur DS-GVO dafür ausgesprochen, die Meldepflicht nach Art. 33 DS-GVO auf Fälle zu beschränken, die voraussichtlich zu einem mehr als nur geringen Risiko für die Rechte und Freiheiten natürlicher Personen führen.

Risikoprognose

Der für die Datenverarbeitung Verantwortliche muss also bei einer Datenschutzverletzung zunächst das Risiko bewerten: Besteht überhaupt ein Risiko für die Rechte und Freiheiten natürlicher Personen bzw. sogar ein hohes? In der Praxis ist diese Bewertung mitunter schwierig. Da aber auch das Unterlassen einer verpflichtenden Meldung bußgeldbewehrt ist, melden Verantwortliche Datenschutzverletzungen teilweise vorsorglich, ohne selbst eine ausreichende Prüfung des Risikos durchgeführt zu haben.

Die Leitlinien aus dem Working Paper 250 der Art. 29-Datenschutzgruppe zur Meldung von Datenschutzverletzungen geben wertvolle Hinweise zur Bewertung des Risikos und nennen Beispiele für typische meldepflichtige Datenschutzverletzungen. Hierunter fallen etwa Cyberangriffe, bei denen personenbezogene Daten abgeschöpft oder offen ins Internet gestellt werden, oder die Versendung von Unterlagen an falsche Empfänger (https://t1p.de/LeitlinienzuArt33-Meldungen).

Pflichten des Auftragsverarbeiters

Wenn ein Auftragsverarbeiter eine Datenschutzverletzung im eigenen Tätigkeitsbereich feststellt, muss er diese unverzüglich an seinen Auftraggeber melden. Eine genau festgelegte Frist besteht dazu nicht. Der Auftraggeber muss die Datenschutzverletzung auch dann dem Verantwortlichen melden, wenn er selbst ein Risiko für die Rechte und Freiheiten natürlicher Personen für ausgeschlossen hält. Die Bewertung des Risikos obliegt allein dem Auftraggeber als Gesamtverantwortlichen für die Datenverarbeitung. Die Datenschutzverletzung gilt dem Verantwortlichen als „bekannt“, sobald dieser von seinem Auftragsverarbeiter in Kenntnis gesetzt wurde (so die Leitlinien zur Meldung von Datenschutzverletzungen der Art. 29-Gruppe). Die Kenntnis des Auftragsverarbeiters wird also nicht dem Verantwortlichen zugerechnet.

Die DS-GVO nennt allerdings keine konkrete Frist, innerhalb der der Auftragsverarbeiter den Verantwortlichen informieren muss. Sie sieht nur vor, dass die Benachrichtigung „unverzüglich“ zu erfolgen hat (Art. 33 Abs. 2 DS-GVO). Hier wird man im Regelfall eine sehr zeitnahe Meldung erwarten müssen. Deshalb empfehle ich, im Auftragsverarbeitungsvertrag organisatorische Maßnahmen vorzusehen, durch die der Verantwortliche die Meldung nach Art. 33 Abs. 2 DS-GVO so rechtzeitig erhält, dass er seinerseits die Meldung an die Aufsichtsbehörde innerhalb der 72-Stunden-Frist realisieren kann. Eine regelmäßige Höchstfrist von 72 Stunden besteht für den Auftragsverarbeiter jedenfalls nicht, schließlich könnte das im Extremfall zu einer Verdoppelung oder – bei Ketten-Auftragsverarbeitungsverträgen – zu einer weiteren Vervielfachung der Frist führen.

Bisweilen wird im Hinblick auf die europäische Fristenverordnung die Ansicht vertreten, die 72-
Stunden-Frist müsste mindestens zwei volle Arbeitstage umfassen und könne sich entsprechend verlängern. Diese Auffassung teile ich nicht. Aufgrund der besonderen Dringlichkeit hat der Verordnungsgeber bewusst eine Stundenfrist vorgesehen, die etwa auch an einem Sonn- oder Feiertag enden kann und dementsprechend auch nicht durch das Erfordernis dazwischenliegender Arbeitstage verlängert wird. Überdies hat die Meldung im Ausgangspunkt „unverzüglich“ zu erfolgen; auch das lässt keinen Raum für eine entsprechende Fristverlängerung.

Meldepflicht und Sanktionen

Das Unterlassen einer verpflichtenden Meldung nach Art. 33 DS-GVO ist bußgeldbewehrt (Art.
83 Abs. 4 lit. a DS-GVO). Die Meldung nach Art. 33 DS-GVO selbst darf allerdings gemäß § 43
Abs. 4 BDSG nicht in einem Ordnungswidrigkeitenverfahren wegen der Datenschutzverletzung
verwendet werden. Eine Ausnahme gilt nur, wenn der Meldepflichtige selbst der Verwendung der Meldung in einem Bußgeldverfahren zustimmt. Diese Regelung ist Ausdruck des Grundsatzes der Selbstbelastungsfreiheit bzw. des Verbots der Selbstbezichtigung. Als Konsequenz darf die Aufsichtsbehörde die Informationen aus einer Meldung einer Datenschutzverletzung, welche zum Pflichtinhalt nach Art. 33 Abs. 3 DS-GVO gehören, nicht als Grundlage für ein Ordnungswidrigkeitenverfahren verwenden. Die Gegenansicht, die § 43 Abs. 4 BDSG für europarechtswidrig und damit für nicht anwendbar hält, überzeugt mich nicht.

Allerdings können Erkenntnisse über grundlegende Mängel aus einem weitergehenden Kontrollverfahren, das die Aufsichtsbehörde aufgrund der gemeldeten Datenschutzverletzung durchgeführt hat, verwendet werden. Stellt sich z. B. im Laufe eines aufgrund einer Meldung nach Art. 33 DS-GVO durchgeführten Prüfverfahrens heraus, dass grundlegende technisch-organisatorische Mängel beim Meldepflichtigen bestehen, können diese Gegenstand eines Bußgeldverfahrens sein. Denn die Selbstbelastungsfreiheit bezieht sich nur auf den konkret gemeldeten Datenschutzverstoß.

Durch die verschärfte Pflicht hat die Zahl der Datenschutzverletzungen, die meiner Behörde ge-
meldet werden, stark zugenommen. Im Jahr 2019 erreichten uns 824 Meldungen gemäß Art. 33
DS-GVO, davon mehr als 500 aus dem nicht-öffentlichen Bereich.

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 93ff.