DSGVO: Meldepflichtige Datenpannen

22.02.2019, Anwalt-Suchservice / Lesedauer ca. 4 Min. (71 mal gelesen)
DSGVO: Meldepflichtige Datenpannen © Bu - Anwalt-Suchservice

Unternehmen müssen laut Datenschutz-Grundverordnung Datenpannen an die Aufsichtsbehörde melden. Welche Verstöße sind meldepflichtig und was sind die Folgen der Meldung oder Nichtmeldung?

Schnell ist es passiert: Ein USB-Stick mit Kundendaten geht verloren, in einer Mail wird ein seltsamer Link angeklickt und ein Virus macht sich auf dem Firmencomputer breit. Was früher höchstens ärgerliche organisatorische Probleme bereitete, ist heute ein meldepflichtiger Datenschutzverstoß. Gerade kleinere Unternehmen und Selbstständige wissen oft nicht, wann sie in welcher Weise zum Handeln verpflichtet sind. Hier einige Hinweise zum Thema “Datenpanne”.

Welche Meldepflicht gibt es nach der DSGVO?


Artikel 33 der Datenschutz-Grundverordnung (DSGVO) enthält die Pflicht, im Falle der Verletzung des Schutzes personenbezogener Daten die Aufsichtsbehörde – also die Landesdatenschutzbehörde – zu informieren. Der Verantwortliche muss dies unverzüglich tun – möglichst innerhalb von 72 Stunden, nachdem ihm die Datenschutz-Verletzung bekannt wurde.
Einzige Ausnahme: Führt die Datenschutz-Verletzung nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen, kann die Meldung unterbleiben. Erfolgt die Meldung an die Aufsichtsbehörde nicht innerhalb von 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Ein anerkannter Grund kann zum Beispiel sein, dass es viele Hackerangriffe in kurzer Zeit gegeben hat.

Was ist ein Data-Breach?


So nennt man anglisiert einen Datenschutz-Verstoß im Sinne von § 33 DSGVO. Die Hamburger Datenschutzbehörde hat dazu hilfreiche Hinweise veröffentlicht. Ein solcher Data Breach ist demnach jede “Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt”.
Es geht dabei also nicht um jede Verletzung von DSGVO-Regeln, sondern nur um einen Sicherheitsbruch, bei dem
- Daten unrechtmäßig Dritten offenbart wurden oder
- infolge eines Sicherheitsbruchs gelöscht oder zeitweise unzugänglich gemacht wurden.
Wobei es sich um personenbezogene Daten handeln muss, wie etwa Kundenanschriften, E-Mail-Adressen oder auch IP-Adressen, die ebenfalls als personenbezogene Daten gelten.

Was bedeutet ‚unrechtmäßig offenbart'?


Dieser Fall liegt vor, wenn Personen, die dies nichts angeht, irgendwie Zugang zu Daten bekommen. Zum Beispiel, weil eine E-Mail versehentlich an den falschen Empfänger geht oder wenn in eine Massen-E-Mail die Adressen per cc und nicht per bcc eingefügt werden, sodass sie jeder sehen kann.

Was bedeutet ‚gelöscht oder zeitweise unzugänglich gemacht`?


Dieser Fall kann vorliegen, wenn Daten gelöscht werden oder für eine längere Zeitdauer nicht zugänglich sind – etwa wegen eines Stromausfalls, oder einer Denial of Service-Attacke von außen, bei der durch massenhafte automatische Anfragen das System überlastet wird. Solche Angriffe führen oft zur Nichterreichbarkeit von Internetangeboten; es gibt Hacker, die so etwas gegen Bezahlung anbieten, um einem Konkurrenzunternehmen zu schaden.
Nicht unter diesen Punkt fallen übrigens geplante Abschaltungen eines Systems etwa zu Wartungszwecken.

Um welches Risiko geht es?


Eine weitere Voraussetzung für eine meldepflichtige Datenpanne ist, dass die Datenschutz-Verletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen geführt hat. Wie hoch das Risiko ist, spielt bei der Meldepflicht selbst zunächst keine Rolle. Dies wird aber bei einer weiteren Pflicht wichtig: Pannen, bei denen ein hohes Risiko für Schäden besteht, müssen nämlich nicht nur der Behörde, sondern nach Art. 34 DSGVO auch den Betroffenen, etwa den Kunden, gemeldet werden.

Die Einschätzung, wie hoch das Risiko ist, richtet sich zum Beispiel nach der Schwere der Panne und der Wahrscheinlichkeit, ob ein Schaden eintritt.
Faustregel: Je höher der mögliche Schaden, desto geringer muss die Wahrscheinlichkeit für seinen Eintritt sein.
Wichtig ist unter anderem die Art der Panne – ein zufälliger Datenverlust ist weniger schwerwiegend als ein unautorisierter Zugriff. Auch Art und Umfang der Daten sind entscheidend, und ob Unbefugte leicht eine Verbindung zwischen den Daten und echten Personen herstellen können.

Bei den möglichen Schäden geht es zum Beispiel um:
- Diskriminierung,
- Identitätsdiebstahl und Online-Betrug,
- finanzielle Verluste,
- Aufhebung der Pseudonymisierung,
- Rufschädigung,
- Verletzung von Berufsgeheimnissen.

Beispiel: Ist es wahrscheinlich, dass Unbefugte durch eine Datenpanne an Postanschriften oder Onlineshop-Zugangsdaten von Kunden gekommen sind, müssen diese Kunden informiert werden. Diese Daten können zum Beispiel von Kriminellen genutzt werden, um auf fremde Rechnung Waren zu bestellen – ein heute völlig alltäglicher Vorgang.

Welche Datenpannen sind zu melden?


Hier einige von der Hamburger Datenschutzbehörde veröffentlichte Beispiele:

- Gestohlener USB-Stick: Meldepflicht besteht, wenn unverschlüsselte Daten darauf sind. Bei gut verschlüsselten Daten nicht.
- Datenzugriff durch Cyber-Angriff: Meldepflicht besteht, Kunden müssen abhängig von Art der Daten informiert werden.
- Stromausfall von mehreren Minuten, System nicht zugänglich: Keine Meldepflicht, nur intern dokumentieren.
- Ransomware-Angriff (Erpressungs-Trojaner verschlüsselt Kundendaten): Meldepflichtig, Kunden müssen informiert werden (Ausnahme beides: Daten können durch Backup schnell wiederhergestellt werden).
- Kontoauszug wurde an falschen Kunden verschickt: Meldepflicht, Information an Kunden in der Regel nur bei gehäuftem Auftreten.
- Hacker stehlen Namen, Zugangsdaten, Kaufhistorie der Kunden eines Onlineshops: Meldepflicht und Informationspflicht an Kunden.
- Programmierfehler führt dazu, dass Kunden fremde Kundendaten im Onlineportal sehen können: Meldepflicht, wenn Daten tatsächlich abgerufen. Info an Kunden abhängig vom Einzelfall.
- Cyberattacke gegen Krankenhaus, Patientendaten 30 Minuten lang nicht abrufbar: Meldepflichtig, Patienten informieren.
- Schülerdaten werden versehentlich an Mailingliste verschickt: Meldepflichtig, Betroffene sind in der Regel zu informieren.
- Werbe-E-Mail mit lesbarem Mailverteiler (cc statt bcc): Meldepflicht bei größerer Empfängeranzahl oder sensiblem Inhalt, Informationspflicht ebenso.

Was sind die Folgen?


Betroffene können gegen ein Unternehmen Schadensersatzansprüche haben, wenn sie durch Datenpannen einen Schaden erleiden. Inwieweit die Datenschutzbehörde Bußgelder verhängt, hängt vom Einzelfall ab. Im September 2018 waren durch einen Hackerangriff die Daten von 330.000 Nutzern eines deutschen Sozialen Netzwerkes gestohlen worden. Verhängt wurde ein Bußgeld von 20.000 Euro, da die Passwörter unverschlüsselt gespeichert waren. Das Bußgeld fiel nur wegen der sofortigen Meldung und der Kooperation mit der Behörde so “gering” aus.

Praxistipp


Auch bei Meldung einer Datenpanne kann es zu einem nicht unerheblichen Bußgeld kommen. Dieses kann jedoch weit höher ausfallen, wenn die Meldepflicht ignoriert wird. Hier ist Selbstständigen und Unternehmern unbedingt eine zeitnahe Beratung durch einen Fachanwalt für Informationstechnologierecht (IT-Recht) zu raten, der auch die Risiken eines Schadenseintritts für Betroffene realistisch abschätzen kann, an denen sich wiederum die Pflichten des Unternehmens orientieren.

(Bu)



Anwalt-Suchservice
Juristische Redaktion
E-Mail schreiben Juristische Redaktion

Anwalt-Suchservice
Juristische Redaktion
E-Mail schreiben Juristische Redaktion