· 

Was ist als Datenschutz-Verletzung zu melden?

 

Die DSGVO sieht bei Datenschutz-Vorfällen (Data Breach) eine verpflichtende Meldung an die Behörde (Art 33) und auch an die betroffenen Personen (Art 34) vor. Die Frage, die sich viele Verantwortliche stellen:

 

Gibt es auch Datenschutz-Verletzungen, die nicht zu melden sind?


 

 

 

 

1.    Meldung an die Aufsichtsbehörde

 

 

 

Die Meldung an die Behörde hat zu erfolgen, wenn ein Risiko für die betroffenen Personen nicht ausgeschlossen ist. Es ist eine Meldung grundsätzlich notwendig,

 

 

 

„es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ (Art 33 Abs 2 DSGVO)

 

 

 

Eine Meldung an die Aufsichtsbehörde ist nicht notwendig, wenn der Verantwortliche im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen kann, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. (ErwGr 85 S 2)

 

 

 

2.    Meldung an die betroffenen Personen:

 

 

Eine Meldung (zusätzlich) an die betroffenen Personen ist erforderlich, wenn ein „hohes Risiko“ für die betroffenen Personen besteht.

 

 

 

„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“ (Art 34 Abs 1 DSGVO)

 

 

 

3.    Dokumentationsverpflichtung gem. Art 33 Abs 5 DSGVO

 

 

 

Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation ermöglicht der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels.

 

 

 

Jede Datenschutzverletzung ist daher zu dokumentieren, auch wenn keine Meldung an die Aufsichtsbehörde notwendig ist, dh wenn kein Risiko für die Rechte und Freiheiten der natürlichen Personen gegeben ist.

 

 

 

 

 

4.    Leitlinien des Europäischen Datenschutzausschusses (EDSA, EDPB)

 

 

Der EDSA hat dazu 40-seitige Leitlinien „endorsed“, die es bereits seit 3.12.2017 gibt, um den Verantwortlichen eine Hilfestellung zu geben:

 

 

 

Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679, angenommen am 3. Oktober 2017

 

zuletzt überarbeitet und angenommen am 6. Februar 2018, 
(18/DE WP 25rev.01)

 

 

 

In diesen Leitlinien (Seite 36 f) finden sich nicht abschließende Beispiele zur Meldepflicht:

 

 

 

1. Ein Verantwortlicher hat die Sicherungskopie eines Archivs mit personenbezogenen Daten in verschlüsselter Form auf einem USB-Stick gespeichert. Bei einem Einbruch wird der USB-Stick entwendet.

 

Behörde: Nein

 

Betroffene Personen: Nein

 

Anmerkungen: Solange die Daten durch einen dem Stand der Technik entsprechenden Algorithmus verschlüsselt sind, Datensicherungen existieren, der eindeutige Schlüssel nicht beeinträchtigt wurde und sich die Daten zeitnah wiederherstellen lassen, handelt es sich vermutlich nicht um eine meldepflichtige Datenschutzverletzung. Kommt es später aber doch zu einer Beeinträchtigung, ist die Meldung erforderlich.

 

 

 

2. Ein Verantwortlicher betreibt einen Onlinedienst. Der Dienst wird Opfer eines Cyberangriffs und dabei werden personenbezogene Daten abgeschöpft. Der Verantwortliche hat nur in einem Mitgliedstaat Kunden.

 

Behörde: Ja, der Vorfall muss an die Aufsichtsbehörde gemeldet werden, wenn Folgen für die betroffenen Personen zu erwarten sind.

 

Betroffene Personen: Ja, die betroffenen Personen müssen, abhängig von der Art der beeinträchtigten personenbezogenen Daten und wenn schwerwiegende Folgen für die betroffenen Personen zu erwarten sind, benachrichtigt werden.

 

 

 

3. Im Callcenter eines Verantwortlichen kommt es zu einem kurzen, mehrere Minuten andauernden Stromausfall, sodass die Kunden den Verantwortlichen nicht erreichen und nicht auf ihre Unterlagen zugreifen können.

 

Behörde: Nein

 

Betroffene Personen: Nein

 

Anmerkungen: Dies ist keine meldepflichtige Datenschutzverletzung, allerdings ist der Vorfall trotzdem gemäß Artikel 33 Absatz 5 dokumentationspflichtig. Der Verantwortliche sollte entsprechende Aufzeichnungen führen.

 

 

 

4. Ein Verantwortlicher wird Opfer eines Ransomware-Angriffs, bei dem sämtliche Daten verschlüsselt werden. Es sind keine Sicherungskopien vorhanden und die Daten können nicht wiederhergestellt werden. Bei einer Untersuchung stellt sich heraus, dass die Ransomware ausschließlich der Datenverschlüsselung diente und dass keine weiter Schadsoftware im System präsent war.

 

Behörde: Ja, der Vorfall muss an die Aufsichtsbehörde gemeldet werden, wenn Folgen für die betroffenen Personen zu erwarten sind, da es sich um einen Verlust der Datenverfügbarkeit handelt.

 

Betroffene Personen: Ja, die betroffenen Personen müssen, abhängig von der Art der beeinträchtigten personenbezogenen Daten und wenn schwerwiegende Folgen für die betroffenen Personen zu erwarten sind, benachrichtigt werden.

 

Anmerkungen: Wenn eine Datensicherung vorhanden gewesen wäre und sich die Daten zeitnah hätten wiederherstellen lassen, wären die Meldung an die Aufsichtsbehörde und die Benachrichtigung der betroffenen Personen nicht erforderlich gewesen, da kein dauerhafter Verlust der Datenverfügbarkeit oder -vertraulichkeit vorgelegen hätte. Sollte die Aufsichtsbehörde jedoch auf andere Weise Kenntnis von dem Vorfall erlangen, könnte sie eine Untersuchung in Betracht ziehen, um die Einhaltung der allgemeineren Sicherheitsanforderungen des Artikels 32 zu überprüfen.

 

 

 

5. Eine Person ruft im Callcenter einer Bank an, um eine Datenschutzverletzung zu melden. Die Person hat einen für jemand anderes bestimmten monatlichen Kontoauszug erhalten. Der Verantwortliche führt eine kurze (d. h. nach 24 Stunden abgeschlossene) Untersuchung durch und stellt mit hinreichender Gewissheit fest, dass eine Verletzung des Schutzes personenbezogener Daten aufgetreten ist und ob ein systembedingter Fehler vorliegt, der bedeuten könnte, dass auch andere Personen betroffen sind oder sein können.

 

Behörde: Ja.
Betroffene Personen:
Nur die betroffenen Personen werden benachrichtigt, wenn ein hohes Risiko besteht und klar ist, dass keine anderen Personen betroffen sind.

 

Anmerkungen: Wird nach weitergehenden Untersuchungen festgestellt, dass mehr Personen betroffen sind, muss die Aufsichtsbehörde über die neue Sachlage informiert werden; zusätzlich benachrichtigt der Verantwortliche die anderen betroffenen Personen, wenn für sie ein hohes Risiko besteht.

 

 

 

6. Ein Verantwortlicher betreibt einen Online-Marktplatz mit Kunden in mehreren Mitgliedstaaten. Nach einem Cyberangriff auf den Marktplatz veröffentlicht der Angreifer Benutzernamen, Passwörter und Kaufhistorie im Internet.

 

Behörde: Ja, Vorfälle mit grenzüberschreitender Verarbeitung müssen an die federführende Aufsichtsbehörde gemeldet werden

 

Betroffene Personen: Ja, denn der Vorfall könnte zu einem hohen Risiko führen.

 

Anmerkungen: Der Verantwortliche sollte Maßnahmen ergreifen – indem er z. B. das Zurücksetzen der Passwörter für die betroffenen Konten erzwingt – und andere Schritte zur Eindämmung des Risikos unternehmen.

 

 

 

7. Ein als Auftragsdatenverarbeiter fungierendes Webhosting-Unternehmen stellt fest, dass der Code zur Steuerung der Benutzerautorisierung einen Fehler enthält. Aufgrund des Fehlers kann jeder Benutzer die Kontodaten aller anderen Benutzer einsehen.

 

Behörde: Als Auftragsverarbeiter muss das Webhosting-Unternehmen seine betroffenen Kunden (die Verantwortlichen) unverzüglich benachrichtigen. In der Annahme, dass das Webhosting-Unternehmen eine eigene Untersuchung durchgeführt hat, sollten die betroffenen Verantwortlichen hinreichende Gewissheit darüber haben, ob in ihrem konkreten Fall eine Datenschutzverletzung aufgetreten ist, sodass wahrscheinlich davon ausgegangen werden kann, dass ihnen die Datenschutzverletzung mit der Benachrichtigung durch das Webhosting-Unternehmen (den Auftragsverarbeiter) „bekannt“ geworden ist. Dann muss der Verantwortliche die Datenschutzverletzung an die Aufsichtsbehörde melden.

 

Betroffene Personen: Wenn voraussichtlich kein hohes Risiko für die betroffenen Personen besteht, müssen diese nicht benachrichtigt werden.

 

Anmerkungen: Das Webhosting-Unternehmen (der Auftragsverarbeiter) muss auch etwaige andere Meldepflichten berücksichtigen (z. B. eine Meldepflicht als Anbieter digitaler Dienste im Sinne der NIS-Richtlinie).

 

 

 

8. Aufgrund eines Cyberangriffs sind in einem Krankenhaus medizinische Unterlagen 30 Stunden lang unzugänglich.

 

Behörde: Ja, das Krankenhaus ist zur Meldung verpflichtet, da ein hohes Risiko für das Wohlergehen und die Privatsphäre der Patienten bestehen kann.

 

Betroffene Personen: Ja, die betroffenen Personen müssen benachrichtigt werden.

 

 

 

9. Die personenbezogenen Daten einer großen Zahl von Studenten wurden versehentlich an eine falsche Mailingliste mit gut 1000 Empfängern geschickt.

 

Behörde: Ja, die Meldung an die Aufsichtsbehörde ist erforderlich.

 

Betroffene Personen: Ja, die betroffenen Personen müssen, je nach Umfang und Art der betroffenen personenbezogenen Daten und der Schwere der möglichen Folgen, benachrichtigt werden.

 

 

 

10. Eine E-Mail für Direktwerbezwecke wird an Empfänger in den Feldern „An...“ oder „Cc...“ geschickt, sodass die E-Mail-Adressen der Empfänger für alle Empfänger sichtbar sind.

 

Behörde: Ja, die Meldung an die Aufsichtsbehörde kann obligatorisch sein, wenn sehr viele Personen betroffen sind, sensible Daten offengelegt werden (z. B. die Mailingliste eines Psychotherapeuten) oder wenn andere Faktoren ein hohes Risiko bergen (z. B. wenn die E-Mail die ursprünglichen Passwörter enthält).

 

Betroffene Personen: Ja, die betroffenen Personen müssen, je nach Umfang und Art der betroffenen personenbezogenen Daten und der Schwere der möglichen Folgen, benachrichtigt werden.

 

Anmerkungen: Die Benachrichtigung ist unter Umständen nicht erforderlich, wenn keine sensiblen Daten offengelegt werden und nur eine kleine Anzahl von E-Mail-Adressen sichtbar ist.


Download
Leitlinien Data Breach
Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten
gemäß der Verordnung (EU) 2016/679
wp250rev01_de Data Breach.pdf
Adobe Acrobat Dokument 1.4 MB

Kommentar schreiben

Kommentare: 0