21.01.2019

Datenpannen – Melden oder nicht melden?
- Meldepflichten gegenüber der Aufsichtsbehörde nach der DSGVO

Unter der Geltung der Datenschutzgrundverordnung (DSGVO) ist die Bedeutung von datenschutzrechtlichen Meldepflichten stark gestiegen, wie die von den Datenschutzaufsichtsbehörden geführten Statistiken über den Eingang von Meldungen nach Art. 33 DSGVO belegen.
Grund hierfür ist, dass anders als in der Vorgängerregelung (§ 42a BDSG-alt) unter der DSGVO die Meldepflicht nicht auf bestimmte Datenkategorien beschränkt ist.

Wann besteht eine Meldepflicht?

Für viele betriebliche Datenschutzbeauftragte stellt sich die Frage, in welchen Fällen eine stattgefundene Verletzung des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde zu melden ist und wann von einer solchen Meldung abgesehen werden kann.

Nach Art. 33 DSGVO ist der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten zur unverzüglichen Meldung, möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, gegenüber der zuständigen Aufsichtsbehörde verpflichtet. Die Meldepflicht entfällt nur, soweit die Verletzung des personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Zumeist lässt sich die Frage, ob eine Verletzung des Schutzes personenbezogener Daten, die in Art. 4 Nummer 12 DSGVO als „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ legal definiert und Voraussetzung für eine Meldepflicht ist, relativ leicht beantworten.
 

Beurteilung des Risikos als Auslöser einer Meldung

Schwierig ist jedoch die Beurteilung der entscheidenden Frage, ob von einer Meldung abgesehen werden kann, da die erfolgte Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen wird (Art. 33 Abs. 1 S. 1 a.E.). Denn aufgrund des risikobasierten Ansatzes der DSGVO soll dem Verantwortlichen die Meldung nur aufgebürdet werden, wenn ein Schadenseintritt beim Betroffenen tatsächlich möglich erscheint.

Die DSGVO kennt die Begrifflichkeiten des “Risikos“ sowie des „hohen Risikos“. Wie die unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) in ihrem Kurzpapier Nr. 18 erläutert haben, existiert jedoch per se keine risikolose Datenverarbeitung. Daraus schlussfolgern die Aufsichtsbehörden zu Recht, dass eine Meldepflicht ausscheidet, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nur zu einem geringen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Für die Beurteilung des Risikos schlägt die DSK vor, das Risiko anhand einzelner Überlegungen zu möglichen Schäden, zu den schadensstiftenden Ereignissen und zu den Handlungen, die zum Eintritt dieser Ereignisse führen können, zu identifizieren, die Eintrittswahrscheinlichkeit und die Schwere von Schäden einzuschätzen und eine Zuordnung zu Risikoabstufung vorzunehmen.

Unter „Risiko“ ist die erhöhte Eintrittswahrscheinlichkeit eines drohenden Schadensereignisses, also aller drohenden physischen, materiellen oder immateriellen Schäden, zu verstehen. Ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht insbesondere, wenn ihnen Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile drohen (vgl. Erwägungsgrund 85).

Im Rahmen der Risikoidentifikation muss der Datenschutzbeauftragte des Verantwortlichen also prüfen, welche möglichen Schäden beim Betroffenen eintreten können und welche Schwere die möglichen Schäden haben.
Anhand des Sachverhalts hat er sodann zu prüfen, ob die Eintrittswahrscheinlichkeit eher gering, überschaubar oder hoch ist. Im Rahmen der vorzunehmenden Prognose gilt: Je höher der anzunehmende Schaden ist, desto geringere Anforderungen sind an die Wahrscheinlichkeit des Schadenseintritts zu stellen.
Nach Auffassung der DSK kann im dritten Schritt die Zuordnung der Eintrittswahrscheinlichkeit und der Schwere möglicher Schäden zu den Risikoabstufungen der DSGVO „geringes Risiko“, „Risiko“ und „hohes Risiko“ und damit eine Entscheidung über das Bestehen einer Meldepflicht erfolgen (im Falle eines hohen Risikos ist gemäß Art. 34 DSGVO auch der Betroffene zu informieren).
 

Aspekte, die gegen eine Meldepflicht sprechen können

Folgende Aspekte können dafür sprechen, dass das bestehende Risiko nur als gering einzuschätzen ist, sodass von einer Meldung abgesehen werden kann.
 

• Es bestehen keine Hinweise dafür, dass überhaupt ein unberechtigter Zugang zu den zum Abruf bereit stehenden personenbezogenen Daten erfolgt ist. Dies ist vor allem in Fällen relevant, in denen personenbezogene Daten zum Abruf bereit standen (und daher eine Verletzung des Schutzes personenbezogener Daten bereits erfolgt ist), jedoch nicht zu klären ist, ob unberechtigte Dritte sich überhaupt Kenntnis von den Daten verschafft haben.
• Die personenbezogenen Daten wurden versehentlich an Empfänger übermittelt, die als „vertrauenswürdig“ bezeichnet werden können. Die Art. 29 Gruppe spricht in ihrem überarbeiteten Arbeitspapier 250 vom 6. Februar 2018 davon, dass der Empfänger in bestimmten Fällen als „vertrauenswürdig“ bezeichnet werden kann, was für die Einschätzung der Höhe des Risikos relevant ist. Dies kann der Fall sein, wenn zwischen dem Verantwortlichen und dem Empfänger eine längere Geschäftsbeziehung besteht und der Verantwortliche mit den Verhaltensweisen des Empfängers vertraut ist. Diese Grundsätze dürften auch gelten, wenn es sich im Falle einer konzerninternen erfolgten Verletzung des Schutzes personenbezogener Daten bei den Empfängern der Daten um Mitarbeiter von Konzernunternehmen handelt, die auf die Vertraulichkeit personenbezogener Daten und auf die Grundsätze des Datenschutzes verpflichtet sind.
• Möglicherweise können auch dem Verantwortlichen vormals unbekannte Empfänger, also solche Dritte, mit denen der Verantwortliche nicht über eine längere Geschäftsbeziehung verbunden ist, als „vertrauenswürdig“ bezeichnet werden. Dies kann insbesondere dann der Fall sein, wenn das Verhalten des Empfängers dafür spricht, dass eine rechtswidrige Verwendung der betroffenen personenbezogenen Daten nicht erfolgt ist bzw. nicht erfolgen wird. Hierunter fällt der häufige Fall der sogenannten Fehlkuvertierung, in dem Dokumente mit personenbezogenen Daten an einen falschen Empfänger verschickt werden und dieser die Originaldokumente an den Verantwortlichen zurückschickt. In solchen Fällen sollte der Empfänger kontaktiert werden, und um Bestätigung gebeten werden, dass eine rechtswidrige Verwendung der Daten nicht erfolgt ist. Mitarbeiter der niedersächsischen Aufsichtsbehörde empfehlen zusätzlich, den Empfänger schriftlich darauf hinzuweisen, dass jegliche Datenverarbeitung durch den Empfänger einen Datenschutzverstoß darstellen würde. Zu berücksichtigen ist der Gedanke, dass grundsätzlich mangels entgegenstehender Anhaltspunkte von einem rechtstreuen Verhalten des Empfängers ausgegangen werden darf.
• Der Verantwortliche trifft ausreichend erfolgversprechende Maßnahmen zur Eindämmung des verbleibenden Risikos.

Einrichtung eines Meldeprozesses

Grundvoraussetzung für einen den Anforderungen der DSGVO entsprechenden Umgang mit Datenpannen ist die Schaffung eines Meldeprozesses, der sicherstellt, dass der Datenschutzbeauftragte des Verantwortlichen innerhalb kürzester Zeit nach Bekanntwerden der Datenpanne benachrichtigt wird. Das Konzept für den Meldeprozess hat vorzusehen, dass der die Datenpanne meldende Fachbereich dem Datenschutzbeauftragten bzw. von diesem eingesetzten Hilfspersonen (wie zum Beispiel Datenschutzkoordinatoren) eine Sachverhaltsdarstellung überreicht, die bereits sämtliche Informationen enthält, die der Datenschutzbeauftragte für seine rechtliche Prüfung im Hinblick auf das Bestehen einer Meldepflicht benötigt (welche/wie viele Personen sind betroffen, um welche Daten/Datenkategorien handelt es sich, wer hat Zugriff auf die Daten etc.).
 

Dokumentation der Prüfung

Da ein Verstoß gegen die Meldepflicht bußgeldbewehrt ist (EUR 10 Mio. bzw. im Fall eines Unternehmen bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs), und das Irrtumsrisiko zulasten des Verantwortlichen geht, sollten Verantwortliche bzw. ihre Datenschutzbeauftragten belastbare Argumente für die Verneinung einer Meldepflicht vorweisen können.

Aufgrund der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO ist es vor allem wichtig, dass die Prüfung ggf. durch Hinzuziehung von externem Rechtsrat dokumentiert wird, um gegebenenfalls gegenüber der Aufsichtsbehörde nachweisen zu können, dass die Frage nach dem Bestehen einer Meldepflicht erkannt und mit vertretbaren Argumenten verneint wurde. Die Dokumentation sollte möglichst umfassend sein, d. h. insbesondere den Sachverhalt ausführlich beschreiben und die Gründe erkennen lassen, die nach einer Abwägung aller Umstände des Einzelfalls im Ergebnis dazu geführt haben, dass eine Meldung an die Aufsichtsbehörde unterblieben ist.

In Zweifelsfällen kann es sich anbieten, (ggf. anonym) die zuständige Aufsichtsbehörde zu kontaktieren und um eine Einschätzung zu bitten.

Dr. Christian Rabe Rechtsanwalt Senior Associate Luther Rechtsanwaltsgesellschaft mbH Hamburg Telefon +49 40 18067 14946 christian.rabe@luther-lawfirm.com