Jansen, SGB X § 83a Benachrichtigung bei einer Verletzun ... / 2.2.1 Eintritt der Meldepflicht

Rz. 5

Nach Art. 33 Abs. 1 DSGVO besteht eine Meldepflicht für den Verantwortlichen (Abs. 1) immer dann, wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist und die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Nach Art. 33 Abs. 2 DSGVO besteht diese Meldepflicht auch für den Auftragsverarbeiter. Dieser meldet jedoch nicht der Aufsichtsbehörde, sondern dem Verantwortlichen.

Rz. 6

Eine "Verletzung des Schutzes personenbezogener Daten" ist nach Art. 4 Nr. 12 DSGVO "eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden" (vgl. ergänzend zu den Begriffsbestimmungen die Komm. zu § 67).

Die Anforderungen an zu treffenden technischen und organisatorischen Maßnahmen, um die Sicherheit der Verarbeitung zu gewährleisten, ergeben sich unmittelbar aus Art. 32 DSGVO (Näheres in der Komm. zu § 35 SGB I).

Rz. 7

Art. 33 Abs. 1 DSGVO erfordert eine Meldung, "es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt".

Auch EG 85 DSGVO bekräftigt, dass von der Meldung abgesehen werden kann, "kann der Verantwortliche im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt".

Nach EG 75 DSGVO können die Risiken für die Rechte und Freiheiten natürlicher Personen aus einer Verarbeitung personenbezogener Daten hervorgehen,

• die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu

  • einer Diskriminierung,
  • einem Identitätsdiebstahl oder -betrug,
  • einem finanziellen Verlust,
  • einer Rufschädigung,
  • einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten,
  • der unbefugten Aufhebung der Pseudonymisierung oder
  • anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann,
• wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren,
• wenn personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgehen, und genetische Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffende Daten verarbeitet werden,
• wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen.

Rz. 8

Der Verantwortliche hat nach Art. 24 DSGVO bereits beim Einsatz der zu treffenden technischen und organisatorische Maßnahmen zur Sicherstellung einer ordnungsgemäßen Datenverarbeitung eine Risikobewertung vorzunehmen und Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung zu bestimmen. Das Risiko sollte anhand einer objektiven Bewertung beurteilt werden, bei der festgestellt wird, ob die Datenverarbeitung ein Risiko oder ein hohes Risiko birgt (vgl. die Komm. zu § 35 SGB I). Diese Risikobewertung kann auch die Basis für die Prüfung der Risiken bei der Verletzung des Schutzes personenbezogener Daten bieten (Rz. 7).

Rz. 9

"Ein solches Risiko kann z. B. durch eine geeignete Verschlüsselung personenbezogener Daten ausgeschlossen werden, die etwa beim Verlust eines Datenträgers die Kenntnisnahme der Daten durch Dritte verhindert" (BfDI-Info Nr. 6).

Rz. 10

Diese Risikobewertung für die Rechte und Freiheiten natürlicher Personen dürfte eine große Herausforderung für die Stellen nach § 35 SGB I darstellen, da bei den meisten Vorfällen nicht auszuschließen ist, dass ein solches Risiko besteht. Es bleibt abzuwarten, ob die Aufsichtsbehörden sich hierzu näher abstimmen, damit verständlich wird, nach welchen Kriterien eine Risikobewertung stattfindet und wann konkret eine Meldung erforderlich wird.

Sobald die Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit einer der vorstehenden Risiken verbunden ist, hat eine Meldung an die Aufsichtsbehörden (Rz. 16) zu erfolgen.