USB-Stick mit Datensätzen geht verloren. Was ist nun zu tun? Ist das meldepflichtig?

Ein Mitarbeiter der Debitorenbuchhaltung verliert am Hauptbahnhof in Wien eine Tasche mit einem USB-Stick mit 20.000 Kundendatensätzen (Name, Adresse, gekaufte Artikel, Bankverbindung, Zahlungskonditionen, Zahlungsverhalten, Mahnstufe, Sperre bei Zahlungsverzug, OP-Liste).

 

Was ist zu tun? Ist das ein Datenschutzvorfall? Ist eine Meldung an die Aufsichtsbehörde zu erstatten? Sind alle betroffenen Personen vom Datenschutz-Vorfall zu informieren?  

 

 

 

Die DSGVO (Datenschutzgrundverordnung) tritt mit 25.05.2018 in Kraft in bringt neue (strengere) Anforderungen an Datenschutz in privaten und öffentlichen Organisationen und auch erweiterte Meldepflichten bei Datenschutzvorfällen. Die Verletzung der Meldeverpflichtung kann zu empfindlichen Geldbußen führen

 

1.   Ist der Verlust eine USB-Sticks ein Datenschutzvorfall?

Jede „Beeinträchtigung“ von personenbezogenen Daten stellt einen Datenschutzvorfall (Data Breach) dar. Schon der „Verlust der Kontrolle über die personenbezogenen Daten“ (ErwG 85 DSGVO)“ oder der „Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegender Daten“ (ErwG 75 DSGO) stellt einen Datenschutzvorfall dar.

 

Art 4 Z 12 DSGVO definiert eine Datenschutzverletzung wie folgt:

„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“

 

Aus dieser Definition und den Erwägungsgründen der DSGVO ist eindeutig ersichtlich, dass eine Verletzung der Datensicherheit (der USB-Stick wurde „transportiert“, dh von einer Person in einer Tasche z.B. zu einer Besprechung außerhalb der Organisation mitgenommen, und es kam zum Verlust; fehlende ausreichende Transportkontrolle), die zu einem Verlust von gespeicherten personenbezogenen Daten führt, einen Data Breach (einen Datenschutzvorfall) darstellt.

 

2.   Muss „Verschulden“ bzw. „rechtswidriges Handeln“ gegeben sein, damit ein Datenschutzvorfall vorliegt?

 

Diese Frage ist klar mit NEIN zu beantworten. Es geht nur um die konkrete Auswirkung, nämlich den Verlust der Vertraulichkeit, dh den Verlust der personenbezogenen Daten. Diese Situation muss nur objektiv verwirklicht sein, ohne dass es auf die konkreten Ursachen ankommt.

 

Die Beurteilung, ob ein Datenschutzvorfall vorliegt, ist unabhängig davon, ob daran der Verantwortliche ein Verschulden hat, oder der Datenverlust unbeabsichtigt herbeigeführt wird (z.B. durch eine Naturkatastrophe).

 

Auch die Rechtswidrigkeit des Handelns einer Person innerhalb oder außerhalb der Organisation (z.B. Hacker, Diebstahl von Gegenständen etc …) ist nicht notwendig, damit eine Situation als Datenschutzvorfall zu charaktersieren ist.

 

3.   Was ist bei einem Datenschutzvorfall zu tun?

 

Bei einem Datenschutzvorfall (Data Breach) sind zwei unterschiedliche Meldungen (Data Breach Notification) zu unterscheiden und uU durchzuführen.

 

3.1.                Ist eine Meldung an die Behörde zu erstatten?

 

Art 33 DSGVO schreibt vor, dass eine Meldung des Datenschutzvorfalles an die Aufsichtsbehörde (in Österreich die Datenschutzbehörde) vorzunehmen ist, außer die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.     

 

Nur dann, wenn ausgeschlossen ist, dass es (negative) Auswirkungen des Datenschutzvorfalles auf die (Rechte und Freiheiten) natürlicher Personen haben kann, ist es nicht notwendig, den Vorfall der Aufsichtsbehörde zu melden. Da die Verarbeitung von personenbezogenen Daten nahezu immer mit einem Risiko für die Rechte und Freiheiten der natürlichen Personen verbunden ist, ist bei fast jedem Datenschutzvorfall davon auszugehen, dass eine Meldung zu erstatten ist. Ein Beispiel für die Verwendung von personenbezogenen Daten, deren Verlust oder Offenlegung an Dritte, kein Risiko darstellen würde, wäre z.B. der Verlust eine USB-Sticks, der nur Datensätze beinhaltet, die ohnehin im Internet veröffentlicht sind, z.B. ein Telefonverzeichnis, das über das Internet abrufbar ist.

 

Im konkreten Fall wäre mE eine Meldung an die Datenschutzbehörde zu erstatten, da der Verlust der konkreten Datenarten (insbes. Zahlungsdaten, Mahnstufe …) nahelegen, dass die Offenlegung dieser Daten an unbefugte Personen negative Auswirkungen (z.B. Bonitätsbeurteilung) haben könnte.

 

 

3.2        Ist eine Meldung an die betroffenen Personen zu erstatten?

 

Art 34 DSGVO schreibt vor, dass ein Data Breach (auch) den betroffenen Personen zu melden ist, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

 

In jedem Fall ist daher einzeln zu beurteilen, ob ein Datenschutzvorfall ein hohes Risiko für die natürlichen Personen mit sich bringen kann. Jeder Datenschutzvorfall, der eine Verarbeitungstätigkeit betrifft, für die notwendigerweise eine Datenschutz-Folgenabschätzung (DSFA / DPIA) durchzuführen ist, ist mE zwingend davon auszugehen, dass ein hohes Risiko besteht.

 

Es ist daher davon auszugehen, dass bei folgenden Verarbeitungstätigkeiten ein hohes Risiko besteht, dass zu einer verpflichtenden Mitteilung an die betroffenen Personen führt:

  • Datenverarbeitungen, die eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; (siehe Art 35 Abs 3 lit a DSGVO)

  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10; (siehe Art 35 Abs 3 lit b DSGVO)

  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. (siehe Art 35 Abs 3 lit c DSGVO)

 

 

Die DSGVO beschreibt ein hohes Risiko als Hinderung der betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags; überdies besteht ein hohes Risiko bei Verarbeitungsvorgängen, die systematisch in großem Umfang erfolgen. (siehe u.a. ErwG 91) Die Arten der Verarbeitung, der Umfang bzw. die Häufigkeit der Verarbeitung (siehe ErwG 94) sind ebenso in diese Beurteilung einzubeziehen. Es ist auch davon auszugehen, dass der Europäische Datenschutzausschuss (EDSA) Leitlinien oder Empfehlungen erlassen wird (zur Kompetenz: Art 70 Abs 1 lit h DSGVO).

 

Eine Benachrichtigung der betroffenen Personen ist nicht notwendig,

 

  • der Verantwortliche präventiv bereits geeignete technische und organisatorische Sicherheitsvorkehrungen bei der Verarbeitung der personenbezogenen Daten getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;

  • der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;

  • dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

 

 

Im konkreten Fall sind Daten über das Zahlungsverhalten auf dem USB-Stick gespeichert; wenn die Offenlegung dieser Daten an unbefugte Personen dazu führen, dann, dass die Bonitätsbeurteilung bzw. die Kreditwürdigkeit einer Person herabgestuft wird, dann besteht darin mE ein hohes Risiko für diese Personen. Meines Erachtens sind daher alle Personen, bei denen das Zahlungsverhalten vom den vereinbarten Zahlungskonditionen (negativ) abweicht, dh Zahlungsverzug, Mahnstufen oder sogar Sperre der Belieferung ersichtlich ist, vom Datenschutzvorfall zu verständigen. Eine Verständigung der betroffenen natürlichen Personen ist dann nicht notwendig, wenn die Daten auf dem USB-Stick verschlüsselt sind.

 

Auch wenn es sich ausschließlich um Daten juristischer Personen handelt, dann ist eine Verständigung nicht notwendig, da im Schutzbereich der DSGVO nur natürlicher Personen sind. Handelt es sich jedoch bei den juristischen Personen, aus deren Firmawortlaut direkt auf die dahinterstehenden natürlichen Personen geschlossen werden kann, dann werden diese aus datenschutzrechtlicher Sicht als natürliche Personen angesehen.

 

4.   Schlussfolgerung

 

Daraus ist ersichtlich, dass eine generelle Aussage vorab, auch unmittelbar nach einem Datenschutzvorfall nicht möglich ist, da die Beurteilung, ob eine Meldung an die Aufsichtsbehörde oder darüberhinaus auch eine Meldung an die betroffenen Personen zu erstatten ist, vom Einzelfall abhängig ist.