DSGVO: Meldepflicht bei Datenpannen
Informationspflichten unter dem Bundesdatenschutzgesetz
Kommt es nach jetziger Rechtslage unter dem BDSG zu einer Datenpanne, d.h. einer Verletzung von Datenschutzvorschriften, etwa weil personenbezogene Daten einem unbefugten Dritten zur Kenntnis gelangt sind oder gelangen konnten (etwa durch Hacker-Angriff, Verlust eines Datenträgers oder mobilen Endgeräts), so können Informationspflichten nach § 42a BDSG bestehen.
Nach § 42a BDSG muss zum einen unverzüglich die zuständige Datenschutzaufsichtsbehörde informiert werden. Zum anderen müssen auch die von der Datenpanne betroffenen Personen informiert und es müssen diesen geeignete Maßnahmen zur „Minderung möglicher nachteiliger Folgen“ vorgeschlagen werden. Wenn der Kreis der Betroffenen so groß ist, dass dies einen „unverhältnismäßigen Aufwand erfordern würde“, ist die „Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme“ über die Datenpanne zu unterrichten.
Die Meldepflicht des § 42a BDSG greift aber nicht bei jedem beliebigen Datenschutzverstoß, sondern nur wenn, wenn besonders „sensible“ Daten von dem Verstoß betroffen sind. So muss es sich gem. § 42a BDSG um besondere Arten personenbezogener Daten gem. § 3 Absatz 9 BDSG (z.B. Gesundheitsdaten), einem Berufsgeheimnis unterliegende personenbezogene Daten, sich auf strafbare Handlungen, Ordnungswidrigkeiten oder auf den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehende personenbezogene Daten oder personenbezogene Daten zu Bank- oder Kreditkartenkonten handeln.
Außerdem müssen durch die Datenpanne „schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen“ drohen, was aufgrund der aufgeführten besonders sensiblen Datenbereiche allerdings der Regelfall ist.
Informationspflichten unter der Datenschutzgrundverordnung
Unter der Datenschutzgrundverordnung (DSGVO), welche ab Mai 2018 Geltung haben wird, werden die Meldepflichten bei Datenpannen nunmehr in zwei Vorschriften geregelt: Art. 33 DSGVO regelt die Informationspflicht gegenüber den Datenschutzaufsichtsbehörden während Art. 34 DSGVO die Anzeigepflicht gegenüber dem Betroffenen regelt.
Anzeige der Datenpanne bei der Datenschutzaufsichtsbehörde
Die zuständige Aufsichtsbehörde ist gem. Art. 33 DSGVO bei einer Verletzung des Schutzes personenbezogener Daten zu informieren. Eine solche Datenschutzverletzung liegt nach Art. 4 Nr. 12 DSGVO stets vor bei einer „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Verschärfte Anforderungen unter der DSGVO
Im Unterschied zu § 42a BDSG gilt die Meldepflicht unter der Datenschutzgrundverordnung nach Art. 33 DSGVO nicht nur bei Datenpannen bzgl. bestimmter „sensibler“ personenbezogener Daten (wie etwa Gesundheits- oder Bankdaten), sondern bei jeglicher Verletzung personenbezogener Daten. Einzige Einschränkung ist, dass eine Meldung an die Aufsichtsbehörde nicht erfolgen müsse, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Welche Erwägungen hier anzustellen sind, definiert Erwägungsgrund 75 der DSGVO.
Ein weiterer großer Unterschied zur bestehenden Rechtslage ist der Umstand, dass nach der Definition des Art. 4 Nr. 12 DSGVO für eine Meldepflicht bereits eine Datenschutzverletzung an sich ausreicht (z.B. ein reiner Datenverlust) und im Gegensatz zu § 42a BDSG ein „unrechtmäßiges Übermitteln“ oder eine „unrechtmäßige Kenntnisnahme“ von Dritten nicht erforderlich ist.
Dies stellt eine deutliche Verschärfung der Informationspflicht nach der Datenschutzgrundverordnung im Vergleich zur Rechtslage unter dem BDSG dar.
Art. 33 DSGVO sieht vor, dass die Meldung an die Datenschutzaufsichtsbehörde unverzüglich und „möglichst binnen 72 Stunden“ nach Bekanntwerden der Datenpanne erfolgen muss. Mit der Meldepflicht einher kommt eine umfassende Dokumentationspflicht gem. Art. 33 Abs. 5 DSGVO (und zwar der Datenschutzverletzung, deren Auswirkungen und den ergriffenen Abhilfemaßnahmen).
Bekanntgabe der Datenpanne an die Betroffenen nach DSGVO
Bedeutet die Datenpanne „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ des Betroffenen, so ist der Betroffene unverzüglich gem. Art. 34 DSGVO von der Datenschutzverletzung „in klarer und einfacher Sprache“ zu unterrichten.
Auch unter Art. 34 DSGVO kann bei „unverhältnismäßigen Aufwand“ der individuellen Benachrichtigung eine öffentliche Bekanntmachung angezeigt sein, allerdings ohne hier wie § 42a BDSG weitere Details festzulegen.
Ausnahmen von der Benachrichtigungspflicht
Eine Benachrichtigung des Betroffenen oder eine öffentliche Bekanntmachung kann nach Art. 34 Abs. 3 a oder b DSGVO allerdings unterbleiben, wenn insbesondere durch bereits vor der Datenpanne ergriffene technische und organisatorische Maßnahmen eine unbefugte Kenntnisnahme der Daten durch Dritte ausgeschlossen werden kann. Ein Anwendungsfall hierfür könnte etwa sein, dass etwa ein Datenträger mit hierauf gespeicherten personenbezogenen Daten verlustig gegangen ist, die personenbezogenen Daten aber ausreichend verschlüsselt sind, sodass ein Finder diese Daten nicht auslesen kann.
Eine Benachrichtigung des Betroffenen ist auch dann nicht erforderlich, wenn durch nach der Datenpanne ergriffene Maßnahmen das „hohe Risiko für die Rechte und Freiheiten der betroffenen Personen“ nicht mehr besteht.
Zu beachten ist allerdings, dass auch wenn der Betroffene aus diesen Gründen (Art. 34 Abs. 3 a oder b DSGVO) nicht zu benachrichtigen ist, eine Meldepflicht gegenüber der Datenschutzaufsichtsbehörde nach Art. 33 DSGVO nach wie vor besteht.
Gem. Art. 83 Abs. 4 a DSGVO ist die Verletzung dieser Pflichten mit Geldbußen von bis zu 10 000 000 EUR oder von bis zu 2 % des Jahresumsatzes des Unternehmens bedroht.
Mitteilungspflicht bei Auftrags(daten)verarbeitungen
Sofern eine Datenpanne im Rahmen einer Auftragsdatenverarbeitung (oder künftig: Auftragsverarbeitung) geschieht, ist nach den Festlegungen in den notwendigen Vereinbarungen zur Auftrags(daten)verarbeitung der jeweilige Vertragspartner in der Regel zu informieren, zumindest sofern dessen Daten von der Datenpanne betroffen sind.
RA Steinle, LL.M., Fachanwalt für IT-Recht, Externer Datenschutzbeauftragter (IHK), Karlsruhe