DSGVO: Meldepflichtige Datenpannen

Nach Artikel 33 der Datenschutz-Grundverordnung (DSGVO) ist im Fall einer Verletzung des Schutzes personenbezogener Daten die Aufsichtsbehörde – also die Landesdatenschutzbehörde – zu informieren. Der für die Daten Verantwortliche muss dies unverzüglich tun – am besten innerhalb von 72 Stunden, nachdem ihm die Datenschutz-Verletzung bekannt geworden ist.

Einzige Ausnahme: Wenn die Datenschutz-Verletzung nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, kann die Meldung unterbleiben. Dies kann jedoch schwer zu beurteilen sein. Erfolgt die Meldung an die Aufsichtsbehörde nicht innerhalb von 72 Stunden, muss ihr eine Begründung für die Verzögerung beigefügt werden. Ein anerkannter Grund kann zum Beispiel sein, dass innerhalb kurzer Zeit viele Hackerangriffe stattgefunden haben.

So bezeichnet man anglisiert einen Datenschutz-Verstoß im Sinne von § 33 DSGVO. Dazu hat die Hamburger Datenschutzbehörde verschiedene hilfreiche Hinweise veröffentlicht. Danach ist ein solcher Data Breach jede “Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt”.

Hier geht es also nicht um jegliche Verletzung der DSGVO-Regeln, sondern nur um einen Sicherheitsbruch, bei dem

- Daten unrechtmäßig Dritten offenbart wurden oder
- Daten infolge einer Sicherheitsverletzung gelöscht oder zeitweise unzugänglich gemacht wurden.

Dabei muss es sich um personenbezogene Daten handeln, wie etwa Kundenanschriften, E-Mail-Adressen oder IP-Adressen. Auch letztere werden datenschutzrechtlich als personenbezogene Daten angesehen.

Eine "unrechtmäßige Offenbarung" von persönlichen Daten liegt vor, wenn Personen, die dies nichts angeht, irgendwie Zugang zu diesen Daten bekommen. Dies kann zum Beispiel der Fall sein, wenn eine E-Mail versehentlich an den falschen Empfänger geht oder wenn in eine Massen-E-Mail die Adressen per cc und nicht per bcc eingefügt werden, sodass sie jeder sehen kann. Oder auch dann, wenn ungeschredderte Patientenakten draußen vor dem Krankenhaus in der offenen Papiermülltonne liegen.

Ein solcher Fall kann vorliegen, wenn Daten gelöscht werden oder für eine längere Zeitdauer nicht zugänglich sind. Der Grund kann zum Beispiel ein Stromausfall sein, aber auch eine Denial of Service-Attacke von außen, bei der das System durch massenhafte automatische Online-Anfragen überlastet wird. Häufig führen solche Angriffe zur Nichterreichbarkeit von Internetangeboten. Es gibt durchaus Hacker, die so etwas gegen Bezahlung anbieten, um einem Konkurrenzunternehmen zu schaden.
Geplante Abschaltungen des Systems etwa zu Wartungszwecken fallen nicht unter diesen Punkt, da es sich dabei um einen kontrollierten Vorgang handelt.

Eine meldepflichtige Datenpanne setzt außerdem voraus, dass die Datenschutz-Verletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen geführt hat. Wie hoch dieses Risiko ist, spielt zunächst bei der Meldepflicht selbst keine Rolle. Wichtig wird es jedoch bei einer weiteren Pflicht: Pannen mit einem hohen Risiko für Schäden müssen nämlich nicht nur der Behörde, sondern nach Art. 34 DSGVO auch den Betroffenen selbst, also den Kunden, gemeldet werden.

Bei der Einschätzung, wie hoch das Risiko ist, ist zum Beispiel die Schwere der Panne zu berücksichtigen und die Wahrscheinlichkeit, dass ein Schaden eintritt.
Eine Faustregel lautet: Je höher der mögliche Schaden, desto geringer muss die Wahrscheinlichkeit für seinen Eintritt sein.

Wichtig ist auch die Art der Panne. Ein zufälliger Datenverlust gilt als weniger schwerwiegend als ein unautorisierter Zugriff. Entscheidend sind auch Art und Umfang der Daten und, ob Unbefugte leicht eine Verbindung zwischen den Daten und echten Personen herstellen können.

Mögliche Schäden können zum Beispiel sein:
- Diskriminierung,
- Identitätsdiebstahl und Online-Betrug,
- finanzielle Verluste,
- Aufhebung der Pseudonymisierung,
- Rufschädigung,
- Verletzung von Berufs- oder Geschäftsgeheimnissen.

Beispiel: Wenn es als wahrscheinlich erscheint, dass Unbefugte durch eine Datenpanne an Postanschriften oder Onlineshop-Zugangsdaten von Kunden gekommen sind, müssen diese Kunden informiert werden. Solche Daten können ohne weiteres von Kriminellen genutzt werden, um auf fremde Rechnung Waren zu bestellen – heute ein vollkommen alltäglicher Vorgang.

Hier einige von der Hamburger Datenschutzbehörde veröffentlichte Beispiele:

- Gestohlener USB-Stick: Meldepflicht besteht, wenn darauf unverschlüsselte Daten sind. Bei gut verschlüsselten Daten nicht.
- Datenzugriff durch Cyber-Angriff: Meldepflicht besteht, Kunden müssen abhängig von Art der Daten informiert werden.
- Stromausfall von mehreren Minuten, System nicht zugänglich: Keine Meldepflicht, nur intern dokumentieren.
- Ransomware-Angriff (Erpressungs-Trojaner verschlüsselt Kundendaten): Meldepflichtig, Kunden müssen informiert werden (Ausnahme beides: Daten können durch Backup schnell wiederhergestellt werden).
- Kontoauszug wurde an falschen Kunden verschickt: Meldepflicht, Information an Kunden in der Regel nur bei gehäuftem Auftreten.
- Hacker stehlen Namen, Zugangsdaten, Kaufhistorie der Kunden eines Onlineshops: Meldepflicht und Informationspflicht an Kunden.
- Programmierfehler führt dazu, dass Kunden fremde Kundendaten im Onlineportal sehen können: Meldepflicht, wenn Daten tatsächlich abgerufen wurden. Info an Kunden abhängig vom Einzelfall.
- Cyberattacke gegen Krankenhaus, Patientendaten 30 Minuten lang nicht abrufbar: Meldepflichtig, Patienten informieren.
- Schülerdaten werden versehentlich an Mailingliste verschickt: Meldepflichtig, Betroffene sind in der Regel zu informieren.
- Werbe-E-Mail mit lesbarem Mailverteiler (cc statt bcc): Meldepflicht bei größerer Empfängeranzahl oder sensiblem Inhalt, Informationspflicht ebenso.

Betroffene können Schadensersatzansprüche gegen ein Unternehmen haben, wenn sie durch Datenpannen und Datenlecks einen Schaden erleiden. Ob und in welcher Höhe die Datenschutzbehörde Bußgelder verhängt, hängt vom Einzelfall ab. Ein Beispiel: Im September 2018 hatten Hacker die Daten von 330.000 Nutzern eines deutschen Sozialen Netzwerkes gestohlen. Die Datenschutzbehörde verhängte ein Bußgeld von 20.000 Euro, da die Passwörter unverschlüsselt gespeichert worden waren. Laut Behörde fiel das Bußgeld nur wegen der sofortigen Meldung und der Kooperation mit der Behörde so gering aus.

Auch das Versenden und Gesundheitsdaten an eine falsche E-Mail-Adresse durch eine Krankenkasse kann einen Schadensersatzanspruch auslösen. Das OLG Düsseldorf gestand einer gesetzlich Versicherten 2.000 Euro zu, nachdem ihre Kasse die Daten unverschlüsselt und ohne Pseudonymisierung an eine falsche E-Mail-Adresse verschickt hatte.

Weitere Fälle finden Sie hier:
DSGVO: Urteile und News zum Datenschutzrecht

Auch bei Meldung einer Datenpanne kann ein nicht unerhebliches Bußgeld folgen. Dieses kann jedoch erheblich höher ausfallen, wenn die Meldepflicht ignoriert wird. Selbstständige und Unternehmer können sich durch einen Fachanwalt für Informationstechnologierecht (IT-Recht) beraten lassen, der auch die Risiken eines Schadenseintritts für Betroffene realistisch abschätzen kann. An diesen wiederum orientieren sich die Pflichten des Unternehmens.