Datenschutzverletzung & Data Breach Notification | Beitrag von Christian Werbik, VACE Senior GRC Consultant

DIGITAL SOLUTIONS,

Artikel 33 DSGVO normiert eine behördliche Meldepflicht des Verantwortlichen nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten (data breach notification). Sofern diese Verletzung zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt, besteht jedoch keine Meldepflicht.

Darüber hinaus: Artikel 34 DSGVO besagt, dass im Falle eines hohen Risikos für die persönlichen Rechte und Freiheiten natürlicher Personen auch der Betroffene verständigt werden muss. Die Zusammenschau beider Normen ergibt drei mögliche Fälle von data breach:

Erstens, tatbestandsmäßig wurde eine Datenschutzverletzung begangen, aber es ergibt sich daraus kein Risiko.

Zweitens, tatbestandsmäßig wurde eine Datenschutzverletzung begangen und es besteht aufgrund des Risikos Meldepflicht bei der Datenschutzbehörde.

Drittens, tatbestandsmäßig wurde eine Datenschutzverletzung begangen und es besteht aufgrund des Risikos Meldepflicht bei der Datenschutzbehörde. Zudem sind aufgrund des hohen Risikos Betroffene zu verständigen.

Was bedeutet dies nun für Sie in der innerbetrieblichen Abwicklung solcher Vorfälle?

  1. Der Tatbestand – Sachverhalt – ist zunächst von den Rechtsfolgen (behördliche Meldepflicht, Frist) gedanklich zu trennen. Die Begriffsbestimmung (Legaldefinition) des Art 4 Z 12 DSGVO gibt Aufschluss: Eine Datenschutzverletzung liegt vor, wenn es zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang verarbeiteter Personendaten kommt. Dies kann sich, um häufige Beispiele zu nennen, als verlorener USB-Stick oder fehlgeleitete E-Mail (CC statt BCC) präsentieren.
  2. Die Rechtsfolge hängt vom Risiko Betroffener ab. Dies bedeutet, dass die korrekte Vorgangsweise nur auf Basis einer Risikoanalyse gewählt werden kann. Während die Methodik zur Risikobewertung grundsätzlich frei gewählt werden kann, sollte diese – um dauerhaft vergleichbare Ergebnisse zu liefern – beibehalten werden.
  3. Während für die behördliche Meldung 72 Stunden Frist nach Möglichkeit einzuhalten ist, gilt gegenüber Betroffenen, dass eine Benachrichtigung „unverzüglich“ erfolgen muss. Dies bedeutet einerseits, dass eine Betroffenenverständigung mitunter vor der behördlichen Meldung vorgenommen wird. Andererseits geht es bei der Risikoanalyse allem voran darum, das Vorliegen eines hohen Risikos auszuschließen.

Bei der raschen Beurteilung der Risikolage werden Sie durch die Datenschutzexperten der VACE Digital Solutions unterstützt. Als Unternehmensberater stellt man hierzu einen Fremdvergleich an. Nur die Sicht von außen stellt bei der Risikobewertung die nötige Objektivität sicher, da Erfahrungswerte zahlreicher Kundensituationen in Sachen Datenschutz und Risikomanagement genutzt werden können. Diese Objektivität und Routine fällt innerbetrieblichen Datenschutzbeauftragten sowie -koordinatoren schwer, zumal die Agenda „Datenschutz“ häufig eine Nebentätigkeit ist.

In kommenden Beiträgen erfahren Sie:  

  • Information Security: Welche Folgen kann eine Personen-Datenschutzverletzung nach sich ziehen - aus der Perspektive Ihres Unternehmens gesehen?
  • Wen treffen die Pflichten hinsichtlich data breach notification im Falle arbeitsteiliger Personendatenverarbeitung (gemeinsame Verantwortlichkeit; Auftragsverarbeitung)?
  • Wie hilft uns das Verzeichnis von Verarbeitungstätigkeiten und das damit in Zusammenhang stehende Risikomanagement mitsamt technisch-organisatorischer-Maßnahmen, um bereits die Entstehung einer Datenschutzverletzung zu verhindern?
  • Innerbetriebliche Dokumentation von data breach
  • Straf- und verfahrensrechtliche Spielregeln
  • Anerkannte Kriterien zur Risikobewertung

Bedenken Sie, dass aus datenschutzrechtlicher Sicht – eine Gesetzespflicht – stets auf die Betroffenensicht abzustellen ist. Welchen Nachteil kann die natürliche Person, deren Daten kompromittiert wurden, erleiden?

Bei Verstößen gegen diese Bestimmungen drohen Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs - je nachdem, welcher der Beträge höher ist!