Datenpannen – worauf kommt es jetzt an?

Insbesondere die 72-Stunden-Frist stellt die Verantwortlichen häufig vor Probleme.

05.03.2021

Mit dem Thema der Datenpannen (genauer: der Verletzung des Schutzes personenbezogener Daten) haben wir uns in mehreren Beiträgen bereits befasst (hierzu vgl. unsere Beiträge vom 19.11.2020; 28.06.2019; 23.03.2019; 20.03.2017).

Kurz zur Erinnerung:

Eine Datenpanne ist gem. Art. 33 DSGVO bei der zuständigen Aufsichtsbehörde zu melden, wenn die Datenschutzverletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Zudem muss im Fall eines hohen Risikos für betroffenen Personen gemäß Art. 34 DSGVO gegebenenfalls auch eine Benachrichtigung an diese erfolgen.

Viele Beschäftigte üben ihre Tätigkeiten aktuell pandemiebedingt im Rahmen von Home-Office bzw. der Telearbeit (hierzu vgl. auch unseren Beitrag vom 07.05.2020) aus. Da jedoch die technischen sowie organisatorischen Maßnahmen, die im Unternehmen für ausreichenden Datenschutz sorgen, im Rahmen der Telearbeit häufig nicht oder nur unzureichend umgesetzt werden, häufen sich derzeit Meldungen zu Datenpannen bei den Aufsichtsbehörden.

So berichtet beispielsweise der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI Rheinland-Pfalz) in seiner Pressemitteilung vom 03.09.2020 darüber, dass es in der Pandemiezeit eine steigende Zahl von Datenpannen und Beschwerden betroffener Personen gegeben habe.

In diesem Beitrag wollen wir daher einen praxisorientierten Blick auf das Thema der Datenschutzverletzungen werfen und uns exemplarisch einige typische Fälle anschauen, die besonders häufig vorkommen und die eindeutig als Datenpannen eingestuft werden müssen. Zudem schauen wir uns einige Fälle an, die eher als atypisch bezeichnet werden und geben Hilfestellungen bei der Beurteilung solcher Fälle. Darüber hinaus schauen wir uns die Frist von 72 Stunden genauer an, die bei der Meldung einzuhalten ist. Die Frist ist sehr knapp bemessen, aber es gibt Maßnahmen, die den Verantwortlichen empfohlen werden können, damit eine eingetretene Datenschutzverletzung nicht zu einem noch größeren Problem wird, als sie dies ohnehin gegebenenfalls bereits ist.

Typische (eindeutige) und häufige meldepflichtige Fälle von Datenschutzverletzungen

Typische Fälle, die in der Praxis oft vorkommen und bei denen es sich zweifelsfrei um Datenpannen handelt sind:

  • Versendung einer E-Mail-Nachricht oder eines Schreibens per Post mit sensiblen personenbezogenen Daten an falsche Adressaten,
  • Diebstahl von DV-Anlagen (PC, Notebook, Tablet, Smartphone, etc.) auf denen personenbezogene Daten verarbeitet werden und bei denen der Datenträger nicht verschlüsselt ist, so dass die Daten von Unbefugten ausgelesen werden können (eine Passwortabfrage im Rahmen der Anmeldeprozedur hilft hier nicht weiter, da ein unverschlüsselter Datenträger an einem anderen Gerät ausgelesen werden kann),
  • personenbezogene Daten werden unwiederbringlich vernichtet, ohne dass ein Backup bzw. eine Kopie der Daten existieren würde,
  • die Daten werden nicht datenschutzkonform gelöscht / entsorgt, so dass sie sich wiederherstellen lassen (z.B. wird eine Festplatte lediglich formatiert, anstatt sie entweder zu schreddern oder durch Überschreiben die gespeicherten Daten zu löschen),
  • durch einen Softwarefehler können Kund*innen eines Unternehmens Einblick in die personenbezogenen Daten anderer Kund*innen erhalten.

Umgang mit atypischen Fallgestaltungen und Grenzfällen

Aus unserer Praxis wissen wir aber auch, dass es im Rahmen der Einschätzung, ob eine Datenpanne vorliegt oder nicht, häufig Grenzfälle gibt, bei denen sich diese Frage nicht einfach beantworten lässt.

Als solche Fälle, die nicht ohne weiteres eindeutig beantwortet werden können, seien z.B. folgende Fallkonstellationen genannt:

  • Bei einem Unternehmen fällt während der Geschäftszeiten die Datenkommunikationsverbindung zum Rechenzentrum (evtl. bei einem Dienstleister) aus.

Bei der Beurteilung hinsichtlich des Vorliegens einer Datenpanne kommt es zunächst auf den Grund des Verbindungsausfalls an. Soweit es sich um einen Hacker-Angriff handelte, bei dem Kund*innendaten abgeflossen sein könnten oder nachweislich abgeflossen sind, müsste das Bestehen einer Datenpanne bejaht werden. Dagegen könnte dies verneint werden, wenn es sich lediglich um einen kurzfristige Systemstörung handelte, bei der nur eine geringfügige Beeinträchtigung ohne unberechtigten Zugriff auf personenbezogenen Daten vorlag. Wenn jedoch durch die Systemstörung personenbezogene Daten unwiederbringlich abhandenkommen würden, läge eine meldepflichtige Datenpanne wiederum vor. Auch bei einem längeren Ausfall der Systeme läge eine Datenpanne vor, da das Schutzziel der „raschen Wiederherstellung“ verletzt wäre und beispielsweise Betroffenenanfragen nicht mehr zeitnah beantwortet werden könnten.

  • Verschlüsselung der Kundendaten eines Unternehmens durch eine Ransomware-Attacke.

    Das kann, muss jedoch nicht zwangsläufig eine meldepflichtige Datenschutzverletzung sein, denn soweit sich die Daten (verlustfrei) aus einem Backup wiederherstellen lassen, würde es sich nicht um eine meldepflichtige Datenschutzverletzung handeln. In diesem Fall bestünde nur eine interne Dokumentationspflicht. Sofern jedoch nicht ausgeschlossen werden kann, dass personenbezogene Daten im Rahmen der Ransomware-Attacke von Dritten heruntergeladen oder eingesehen wurden, würde wieder eine meldepflichtige Datenpanne vorliegen.

Neben den Kommentaren zur DSGVO und der einschlägigen Fachliteratur helfen hier im Rahmen der Einordnung der Fälle insbesondere auch Orientierungshilfen der Aufsichtsbehörden weiter. Man bekommt durch diese ein recht gutes Gefühl dafür, wann eine meldepflichtige Datenschutzverletzung anzunehmen ist, oder wann eben nicht.

Über zwei Dokumente, die im Rahmen der Einschätzung und Bewertung von Datenschutzvorfällen sehr hilfreich sind, haben wir in unserem Beitrag vom 23.03.2021 bereits berichtet (Link s.o.). Es handelte sich dabei um die Orientierungshilfe vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) sowie die vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI).

Inzwischen sind weitere interessante und hilfreiche Publikationen zu dem Thema erschienen. Hervorzuheben wären hier folgende:

Zu beachten ist, dass ein Datenschutzvorfall – selbst, wenn er noch so klein ist – gem. Art. 33 Abs. 5 DSGVO intern zu dokumentieren ist. Die ordnungsgemäße Durchführung dieser internen Dokumentation soll übrigens auch ein häufiges Thema bei aufsichtsbehördlichen Prüfungen sein.

Das 72-Stunden-Problem

Während bei der Bundeswehr die 72-Stunden-Übung den Soldat*innen häufig als ein nicht enden wollender Zeitraum vorkommt, ist der Blick auf die 72 Stunden, die der Gesetzgeber einem Verantwortlichen zur Meldung einer Datenpanne an die Aufsichtsbehörde einräumt, aus Unternehmenssicht betrachtet ein sehr kurz bemessener Zeitrahmen. Warum sind die 72 Stunden häufig so knapp?

Nun, die interne Übermittlung dauert häufig bereits recht lange. Somit vergeht wertvolle Zeit, bis die relevanten Informationen diejenige Stelle erreicht haben, die den Vorgang als einen Datenschutzvorfall klassifiziert und zur weiteren Bearbeitung an die zuständigen Personen (Geschäftsführer*in, Datenschutz-Koordinator*in, Datenschutzbeauftragte*n) weiterleitet. Da jedoch das Wissen der Beschäftigten dem Verantwortlichen in der Regel bereits zugerechnet wird (insbesondere, wenn es sich um Beschäftigte mit Vorgesetztenfunktionen handelt), könnten die 72 Stunden sehr schnell überschritten werden. Dies stellt einen Verstoß gegen die DSGVO dar und kann zu einem Bußgeld führen.

Zudem kommt häufig ein Wochenende oder auch ein Feiertag dazwischen. Diese Zeiten gelten bei der Berechnung der 72-Stunden-Frist mit, weil weder in der Datenschutz-Grundverordnung noch an einer anderen Stelle etwas Abweichendes bestimmt ist (insb. vgl. auch Art. 3 Abs. 3 Fristen-VO).

Diejenigen, die Auskünfte und Informationen zum Datenschutzvorfall liefern könnten (interne und ggf. auch externe Stellen), erteilen die Auskünfte oft auch nur unvollständig, so dass viele zeitraubende Nachfragen nötig sind.

Fazit

Der sorgfältige Umgang mit Datenschutzvorfällen ist im Rahmen des betrieblichen Risikomanagements und der Datenschutzorganisation unerlässlich, denn anderenfalls riskiert der Verantwortliche ein Bußgeld. Um Risiken zu vermeiden, sollten wirksame interne Meldeprozesse implementiert und der Informationsfluss optimiert werden. Dies kann beispielsweise durch Meldeformulare erfolgen, auf denen die Beschäftigten alle Informationen angeben könnten, die für eine Meldung gemäß Art. 33 DSGVO oder Benachrichtigung gemäß Art. 34 DSGVO oder im Rahmen der Dokumentation des Datenschutzvorfalls relevant wären. Für unsere Kund*innen haben wir hierfür Formulare vorbereitet, bei denen alle melderelevanten Daten abgefragt werden, sodass wir in der Lage sind, alle relevanten Informationen zeitnah und effizient zu erhalten. Zudem sollten die Beschäftigten im Rahmen von Schulungen auf die zu beachtenden Fristen aufmerksam gemacht werden und dahingehend sensibilisiert werden, dass sie mögliche Datenpannen als solche erkennen können und unverzüglich weitermelden.

Haben Sie schon Prozesse für den Umgang mit „Datenpannen“ definiert? Kontaktieren Sie uns, wir helfen Ihnen gerne!