Datenpannen bewältigen: So gehen Sie bei Schutzverletzun ... / 5.1 Meldung an die Aufsichtsbehörde

[1] Art. 33 DSGVO.

5.1.1 Inhalt der Meldung

Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen:

• Beschreibung der Art der Verletzung (z. B. Datenverlust)
• Kategorien von Betroffenen (z. B. Mitarbeiter, Kunden, Lieferanten)
• (Ungefähre) Anzahl der Betroffenen, Kategorien von Datensätzen und ungefähre Anzahl der betroffenen Datensätze (z. B. Datensätze von 351 Kunden und 26 Mitarbeitern betroffen, darunter Anzahl x besonders schützenswerte Daten)
• Name und Kontaktdaten des Datenschutzbeauftragten (DSB) oder sonstiger Anlaufstelle (z. B. Qualitätsmanager)
• Beschreibung der wahrscheinlichen Folgen der Schutzverletzung (z. B. finanzielle Nachteile durch unbefugte Offenlegung von Bank- und Kreditkartendaten)
• Beschreibung ergriffener und vorgeschlagener Maßnahmen, um die Schutzverletzung zu "beheben" und um mögliche Folgen abzumildern
• Welche Maßnahmen wurden bereits ergriffen zur Reduzierung welchen Risikos und welcher Schutzverletzung? Beispiel: Zur Reduzierung physischer Schäden durch den nicht avisierten Datenverlust der Patientenakten wurde ein Datenwiederherstellungsverfahren angewandt, wodurch die Daten zu X Prozent wiederhergestellt werden konnten.
• Welche Maßnahmen wurden – etwa aus zeitlichen Gründen – noch nicht ergriffen, können aber das Risiko weiter reduzieren?

Es ist jedoch nicht erforderlich, dass alle Informationen, die in der Meldung an die Aufsichtsbehörde enthalten sein müssen, gleich nach Feststellung der Schutzverletzung vorliegen. Die Meldung muss nämlich nicht zwingend als Ganzes in einem Paket erfolgen. Art. 33 Abs. 4 DSGVO gestattet ein stufenweises Vorgehen. Das ist praxisgerecht, da nur in seltenen Fällen gleich zu Beginn alle relevanten Informationen über die Schutzverletzung vorliegen dürften. So kann etwa das Schadensausmaß eines IT-Angriffs häufig erst sukzessive ermittelt werden.

Nach Art einer "Erstmeldung" kann es erforderlich sein, weitere Meldungen an die Aufsichtsbehörde zu schicken. Immer dann, wenn neue Informationen bekannt werden, sind diese in einer Folgemeldung weiterzugeben, die einen Verweis auf vorausgehende Meldungen enthält.

Die kumulative Meldung zieht sozusagen eine "Ermittlungspflicht" des Verantwortlichen nach sich, bis alle Informationen zusammengetragen sind, die die Aufsichtsbehörde benötigt, um den Vorfall zu prüfen.^[1]

[1] Art. 33 Abs. 3 Buchst. a–d DSGVO.

5.1.2 Form der Meldung

Eine besondere Form ist nicht vorgesehen. Gerade in dringenden Fällen bietet sich aber vorab eine telefonische Kontaktaufnahme mit der Aufsichtsbehörde an. Eine ausführliche Meldung, z. B. per Brief oder per Fax, folgt dann dem Gespräch. Überdies bieten die jeweiligen Aufsichtsbehörden auch Online-Meldeformulare mit Ausfüllhinweisen an, was die Pflichterfüllung entsprechend erleichtert.

5.1.3 Meldefrist

Die (Erst-)Meldung an die Aufsichtsbehörde muss unverzüglich, aber grundsätzlich innerhalb von 72 Stunden erfolgen. Diese Frist beginnt mit der Feststellung. Dabei ist ein etwaiges "Kennen-Müssen" zu beachten. Das bedeutet, dass auch wenn keinerlei Maßnahmen zum Erkennen von Schutzverletzungen implementiert wurden, man ein "Kennen-Müssen" in manchen Fällen gegen sich gelten lassen muss. Hier ist ein Untätigbleiben besonders risikoreich. Die zeitliche Frist gilt auch für Folgemeldungen, wenn neue Informationen bekannt geworden sind.

Überschreitet ein Verantwortlicher die 72 Stunden, muss er das begründen. Dabei helfen z. B. besondere Umstände des Einzelfalls, etwa ein professioneller Hackerangriff. Je länger die Frist überschritten ist, desto ausführlicher sollte die Begründung sein. Insofern geht Schnelligkeit vor Vollständigkeit und Richtigkeit, zumindest im allerersten Melde-Schritt.