Kommt es zu Datenpannen, die den Schutz personenbezogener Daten verletzen, müssen diese spätestens 72 Stunden nach Bekanntwerden den zuständigen Datenschutzbehörden und u. U. auch den Betroffenen mitgeteilt werden. Doch ob  und wie diese Meldepflichten greifen, ist in der Praxis häufig unklar. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat deshalb einen Leitfaden dazu veröffentlicht.

Mit dem Inkrafttreten der DSGVO gibt es seit dem Mai dieses Jahres auch verschärfte Meldepflichten, die im Art. 33 DSGVO geregelt werden. Demnach müssen die Verantwortlichen bei Verletzung des Schutzes personenbezogener Daten spätestens 72 Stunden nach dem Bekanntwerden eines solchen „Data Breaches“ diesen Vorfall der zuständigen Aufsichtsbehörde melden.

Eine Ausnahme hiervon gibt es nur, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. 

DSGVO brachte verschärfte Meldepflichten bei Datenpannen

Der Artikel 33 enthält zwar darüber hinaus einige konkrete inhaltliche und formale Vorgaben für die Meldungen, jedoch zeigt sich in der Praxis immer wieder, dass bei den Verantwortlichen eine große Unsicherheit darüber herrscht,

  • welche Datenschutzvorfälle nun tatsächlich meldepflichtig sind,
  • und welche nicht gemeldet werden müssen, weil sie dem oben zitierten Ausnahmetatbestand erfüllen
  • Denn die Einschätzung darüber, ob durch die Datenpanne ein Risiko für die Rechte und Freiheiten der Betroffenen besteht oder nicht, müssen die Verantwortlichen selbst vornehmen.
  •  Ebenso müssen sie auch entscheiden, ob eine Datenpanne zusätzlich auch noch eine Information aller Betroffenen nach Art. 34 DSGVO erforderlich macht.

HmbBfDI-Leitfaden erleichtert Einschätzung der Meldepflichten bei Datenpannen

Die Verantwortlichen müssen nach dem Bekanntwerden einer Datenpanne unter Zeitdruck entscheiden, ob der Vorfall an die Behörden gemeldet werden muss und eventuell auch alle Betroffenen informiert werden müssen. Allein schon aus dem Grunde, dass durch ein DSGVO-konformes Verhalten die potentiellen Haftungs- und Schadensersatzrisiken minimiert werden, könnten Verantwortliche daher dazu neigen, Pannen im Zweifel eher zu oft zu melden.

Erläuterungen der Begrifflichkeiten

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit will den Verantwortlichen nun mit dem sechsseitigen Leitfaden Data-Breach-Meldungen nach Art. 33 DSGVO eine praxistaugliche Hilfestellung bei der Entscheidungsfindung geben.

Zu Beginn gibt es zunächst eine umfangreiche Erläuterung und Definitionen der im Text der Verordnung verwendeten wesentlichen Begriffe. So wird etwa klargestellt,

  • dass nicht jede Sicherheitsverletzung zu melden ist,
  • sondern es sich um einen Vorfall handeln muss, „bei dem Daten unrechtmäßig Dritten offenbart werden
  • oder infolge eines Sicherheitsbruchs gelöscht oder zeitweise unzugänglich gemacht werden“.

Beispiele für Meldefälle nach DSGVO

Als konkrete Beispiele nennt der Leitfaden etwa:

  • Hacking
  • Datendiebstahl
  • SQL-Lücken
  • Webserver-Bugs
  • Verlorengegangene USB-Sticks oder Rechner
  • Unrechtmäßige Datenübermittlung
  • Einbruch in Serverräume, die mit Verlust oder Zerstörung von Hardware oder dem Auslesen von Datenträgern einhergehen.

Daneben wird der Begriff des Risikos hier näher erläutert.

Wann sind neben den Behörden auch Betroffene zu informieren?

Der Leitfaden beschreibt außerdem Situationen und gibt Fallbeispiele, bei denen die Betroffenen gem. Art. 34 Abs. 1 DSGVO zu informieren sind, weil voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht.Für Praktiker besonders hilfreich dürfte die Auflistung von Fallbeispielen zur Melde- und Informationspflicht von Datenpannen sein. Insgesamt zehn solcher Praxisfälle sind dazu in einer Tabelle zusammengestellt.

Kein Meldefall:

So kann man diesen Beispielen etwa entnehmen, dass der Diebstahl eines USB-Sticks mit wirksam verschlüsselten Daten weder eine Meldepflicht an die Behörden noch eine Mitteilungspflicht an die Betroffenen auslöst.

Meldefall:

Erbeuten Hacker dagegen Nutzernamen, Passwörter oder auch weitere Daten von Kunden eines Online-Shops, muss dies sowohl den Behörden gemeldet, als auch den Betroffenen mitgeteilt werden.

Meldefall:

Auch schon beim Versenden von Werbe-Mails mit offen einsehbarem Mailverteiler (z.B. durch Versenden mit cc statt bcc) kann unter Umständen eine Melde- und Informationspflicht bestehen, wenn es etwa eine große Zahl Betroffener gibt und sensible Inhalte übermittelt wurden.

Schon bei diesen Beispielen wird allerdings deutlich, dass eine Entscheidung in den meisten Fällen nur von den jeweiligen Details des konkreten Einzelfalls abhängig ist, und auch die aufgeführten Beispiele nur Anhaltspunkte für die Beurteilung liefern können.

Wann ist die Meldung einer Datenpanne rechtzeitig?

Abschließend wird im Leitfaden noch auf den Begriff der Rechtzeitigkeit eingegangen.

So beginnt die Frist beispielsweise erst dann zu laufen, wenn der Verantwortliche mit einem „angemessenen Grad an Sicherheit davon auszugehen hat, dass ein Data Breach vorliegt“.

Andererseits darf mit der Meldung einer Panne aber auch nicht gewartet werden, bis alle zu meldenden Informationen (z.B. Datenkategorie, Anzahl der Betroffenen) vollständig vorhanden sind, sondern gegebenenfalls hat die Meldung schrittweise zu erfolgen und die fehlenden Informationen sind dann später nachzureichen.

Hier kann der Leitfaden heruntergeladen werden.

Weitere News:

Erstes Bußgeld nach DSGVO

IT-Sicherheitspflichten für Freiberufler seit Geltung der DSGVO

DSGVO auf einen Blick

Hintergrund

Das Ausspähen von Passwörtern und Firmeninterna oder der Klau von Kundendaten, die Manipulation von Finanz- und Kontodaten ist kein Ausnahmsfall mehr. Jedes dritte größere Unternehmen war bereits einmal Opfer von Cyber-Crime. Wird in einer solchen Situation die Meldepflicht gem. DSGVO ignoriert, kann dies scharfe Sanktionen nach sich ziehen.

Hohe Haftungsrisiken bei Sicherheitslücken

Außerdem kann jedes Unternehmen, das Opfer einer Cyber-Attacke wird, kann u. U. für entstandene Schäden selbst in die Haftung genommen werden. Dies gilt jedenfalls dann, wenn das Unternehmen kein nachhaltiges Compliance-Management zur Verhinderung von solchen Attacken eingerichtet hat.

Die Verantwortung kann den Compliance-Officer auch persönlich treffen, wenn er es pflichtwidrig unterlässt, geeignete Maßnahmen zur Verhinderung von Cyber-Crime zu implantieren.

Haftungsgrundlagen bei Compliance-Verantwortlichen

Insoweit treffen den Compliance-Officer, gegebenenfalls aber auch den Vorstand und das sonstige Leitungspersonal sowohl

  • eine strafrechtliche Garantenpflicht gemäß § 13 Abs. 1 StGB,
  • eine bußgeldrechtliche Verantwortlichkeit gemäß §§ 9, 30, 130 OWIG
  • eine zivilrechtliche, schadensrechtliche Verantwortlichkeit aus den im Anstellungsvertrag postulierten Pflichten zum Schutz des Unternehmens vor Rechtsverstößen
  • sowie die Haftung aus unerlaubter Handlung durch Unterlassen gemäß §§ 823 ff BGB.
  • Auch aus weiteren Vorschriften wie beispielsweise §§ 76, 91,93 AktG, 43 GmbHG lässt sich die organisatorische Verpflichtung der Unternehmensleitung zur Implementierung eines Frühwarnsystems zur Erkennung und Kontrolle von Risiken im Zusammenhang mit Cyberkriminalität ableiten.