Was tun bei Datenverlust?

Datendiebstahl, z.B. durch Cyberattacken, stellt eine große Gefahr für Unternehmen dar. Zudem können vertrauliche – im Fall von Gesundheitsinformationen besonders sensible – Daten auch auf anderen Wegen verloren gehen oder unberechtigt eingesehen werden. In solchen Fällen stellt sich meist die Frage: Was muss ich als Verantwortlicher tun?

Künstliche Intelligenz, sogenannte „Supply-chain“-Attacken, „ransomware-as-a-service“ und „multi-channel-phishing“ sind nur einige der modernen Technologien und Methoden, die Angriffe auf vertrauliche Daten immer gefährlicher und teurer machen. Cyberkriminelle machen sich den technologischen Fortschritt zunutze und entwickeln dafür zunehmend raffiniertere Angriffsmethoden und Geschäftsmodelle.

Datenschutzrechtliche Bestimmungen

Die anwendbaren datenschutzrechtlichen Bestimmungen (v.a. die Datenschutz-Grundverordnung; DSGVO) enthalten eine Melde- und Benachrichtigungspflicht im Falle einer Verletzung des Schutzes personenbezogener Daten. Diese Verpflichtung wird ganz allgemein auch als „data breach notification“ bezeichnet. Diese Pflicht ist in zwei Varianten ausgestaltet: Artikel (Art.) 33 DSGVO regelt die Meldung an die Datenschutzbehörde, Art. 34 DSGVO die Benachrichtigung der betroffenen Person(en). In beiden Varianten werden konkrete Anforderungen an den Mindestinhalt der Meldung bzw. der Benachrichtigung gestellt.

Wann besteht eine Meldepflicht?

Ausgelöst wird die Meldepflicht gegenüber der Datenschutzbehörde im Falle der Verletzung des Schutzes personenbezogener Daten. Nach der Legaldefinition des Art. 4 Nr. 12 DSGVO ist darunter eine „Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet werden“, zu verstehen. Beispiele hierfür sind Datenlecks, Hacking oder Datendiebstahl, aber auch verlorengegangene USB-Sticks oder Laptops.

Eine Ausnahme von der Meldepflicht besteht dann, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Das Merkmal „voraussichtlich“ wird im Sinne von „wahrscheinlich“ zu verstehen sein. Der Verantwortliche muss daher keine absolute Gewissheit darüber haben, dass es nicht zu einem Risiko für die Rechte und Pflichten der Betroffenen kommt. In jedem Einzelfall bedarf es jedoch einer Abschätzung, ob Risiken für natürliche Personen wahrscheinlich sind. Es handelt sich hier um eine Prognoseentscheidung, für deren Richtigkeit der für die Verarbeitung Verantwortliche die Verantwortung trägt.

Die Meldung hat unverzüglich und möglichst binnen 72 Stunden zu erfolgen, nachdem dem Verantwortlichen die Verletzung bekannt wurde. Falls die Meldung nicht binnen 72 Stunden erfolgt, hat der für die Meldung Verantwortliche eine Begründung für die Verzögerung beizufügen. Ist es dem Verantwortlichen nicht möglich, alle Informationen zur gleichen Zeit zur Verfügung zu stellen, muss er der Datenschutzbehörde Informationen schrittweise zur Verfügung stellen.

Pflicht zur Dokumentation

Ergänzend zur Meldepflicht erlegt Art. 33 Abs. 5 DSGVO dem Verantwortlichen die Pflicht auf, etwaige Verletzungen des Schutzes personenbezogener Daten zu dokumentieren. Diese Dokumentationspflicht gilt für alle Verletzungen des Schutzes personenbezogener Daten, unabhängig davon, ob diese eine Meldepflicht an die Datenschutzbehörde auslösen. Diese Pflicht soll es der Datenschutzbehörde ermöglichen, die Einhaltung der Meldepflicht effektiv zu kontrollieren.

Benachrichtigung von betroffenen Personen

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche zusätzlich zur Datenschutzbehörde auch die betroffenen Personen unverzüglich.

Ein Risiko ist dann als hoch einzustufen, wenn mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten natürlicher Personen droht. Eine solche Bedrohungslage wird sich zum Beispiel regelmäßig beim Verlust von Bank- und Kreditkarteninformationen ergeben, da die Gefahr unberechtigter Abhebung besteht.

Art. 34 Abs. 3 DSGVO sieht drei Ausnahmen von der Verpflichtung zur Benachrichtigung der betroffenen Personen vor. Einer Benachrichtigung der betroffenen Personen bezüglich der Datenschutzverletzung bedarf es dann nicht, wenn eine der folgenden Bedingungen erfüllt ist:

• Der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese auf die betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die Daten für alle Personen, die nicht zum Zugang befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung.

• Es wurde durch nachfolgende Maßnahmen sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gem Art. 34 Abs. 1 DSGVO aller Wahrscheinlichkeit nach nicht mehr besteht.

• Mit der Bekanntmachung der betroffenen Personen wäre ein unverhältnismäßiger Aufwand verbunden; in diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

Bei Verstößen gegen Art. 33 (Melde- und Dokumentationspflicht) oder/und Art. 34 (Benachrichtigungsspflicht) drohen gemäß Art. 83 Abs. 4 lita) DSGVO Bußgelder bis zu € 10 000 000,‒ oder im Falle eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Empfehlung: Checkliste für den Ernstfall

Da im Ernstfall in der Regel nicht viel Zeit für die Erfüllung der Meldepflichten der DSGVO bleibt, empfiehlt es sich, bereits im Vorfeld eine kurze Checkliste für einen möglichen „data breach“ zu erstellen, die die konkreten Schritte sowie auch die richtigen Ansprechpartner für eine eventuelle Unterstützung im Notfall anführt.