LfD: Datenpannen – Meldepflicht und typische Fallkonstellationen

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 93ff.

Der für eine Datenverarbeitung Verantwortliche muss eine Vielzahl von Regelungen zum Schutz der verarbeiteten personenbezogenen Daten einhalten. Darüber hinaus müssen bestimmte Datenschutzverletzungen umgehend der Aufsichtsbehörde gemeldet werden. Diese Meldungen
haben mit Geltung der Datenschutz-Grundverordnung (DS-GVO) in meiner Behörde immens zugenommen.

Schon das alte Datenschutzrecht kannte eine Pflicht zur Meldung bestimmter Datenschutzverstöße. Nach § 42a Bundesdatenschutzgesetz (BDSG) alter Fassung war diese Meldepflicht allerdings beschränkt auf besonders sensible Kategorien wie Gesundheitsdaten, Daten zu Straftaten oder Daten zu Bank- oder Kreditkartenkonten. Auch wurde die Meldepflicht nur durch eine unrechtmäßige Übermittlung oder sonstige unrechtmäßige Kenntnisnahme durch Dritte ausgelöst. Schließlich war sie an die Prognose gekoppelt, dass wegen der Kenntnisnahme durch Dritte schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen mussten. Die DS-GVO geht mit ihrer Regelung zur Meldepflicht bei Datenschutzverstößen nach Art. 33 deutlich weiter.

Voraussetzungen der neuen Meldepflicht

Jede Art einer Verletzung des Schutzes personenbezogener Daten löst die Meldepflicht gegenüber der Aufsichtsbehörde aus. Dies umfasst auch unbeabsichtigte Datenverluste oder Daten-Offenlegungen; ein Verschulden des Verantwortlichen ist nicht erforderlich, sogar zufällige Ereignisse können eine Datenschutzverletzung im Sinne des Art. 33 DS-GVO darstellen. Zudem ist nun jede Kategorie von betroffenen personenbezogenen Daten relevant – die
Meldepflicht ist nicht wie früher auf bestimmte, besonders risikobehaftete Datenkategorien beschränkt.


Zusätzlich verpflichtet die DS-GVO nun auch Behörden zur Beachtung der Meldepflicht bei Datenschutzverletzungen. Gemeldet werden muss unverzüglich und möglichst innerhalb von 72 Stunden ab Kenntnis der Datenschutzverletzung.


Die Meldepflicht entfällt nur dann ausnahmsweise, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Anders als im früheren Recht besteht die Pflicht damit nicht erst bei einer drohenden schwerwiegenden Beeinträchtigung der Rechte der Betroffenen. Besteht voraussichtlich sogar ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen, muss der Verantwortliche die Betroffenen zusätzlich unverzüglich benachrichtigen.


Da es vollständig risikolose Verarbeitungen jedoch nicht geben kann, legt die Datenschutzkonferenz (DSK) die Formulierung „nicht zu einem Risiko“ so aus, dass sie „nur zu einem geringen Risiko“ führen darf. Sie hat sich auch in ihrem Erfahrungsbericht zur DS-GVO dafür ausgesprochen, die Meldepflicht nach Art. 33 DS-GVO auf Fälle zu beschränken, die voraussichtlich zu einem mehr als nur geringen Risiko für die Rechte und Freiheiten natürlicher Personen führen.


Risikoprognose

Der für die Datenverarbeitung Verantwortliche muss also bei einer Datenschutzverletzung zunächst das Risiko bewerten: Besteht überhaupt ein Risiko für die Rechte und Freiheiten natürlicher Personen bzw. sogar ein hohes? In der Praxis ist diese Bewertung mitunter schwierig. Da aber auch das Unterlassen einer verpflichtenden Meldung bußgeldbewehrt ist, melden Verantwortliche Datenschutzverletzungen teilweise vorsorglich, ohne selbst eine ausreichende Prüfung des Risikos durchgeführt zu haben.


Die Leitlinien aus dem Working Paper 250 der Art. 29-Datenschutzgruppe zur Meldung von Datenschutzverletzungen geben wertvolle Hinweise zur Bewertung des Risikos und nennen Beispiele für typische meldepflichtige Datenschutzverletzungen. Hierunter fallen etwa Cyberangriffe, bei denen personenbezogene Daten abgeschöpft oder offen ins Internet gestellt werden, oder die Versendung von Unterlagen an falsche Empfänger (https://t1p.de/LeitlinienzuArt33-Meldungen).

Pflichten des Auftragsverarbeiters

Wenn ein Auftragsverarbeiter eine Datenschutzverletzung im eigenen Tätigkeitsbereich feststellt, muss er diese unverzüglich an seinen Auftraggeber melden. Eine genau festgelegte Frist besteht dazu nicht. Der Auftraggeber muss die Datenschutzverletzung auch dann dem Verantwortlichen melden, wenn er selbst ein Risiko für die Rechte und Freiheiten natürlicher Personen für ausgeschlossen hält. Die Bewertung des Risikos obliegt allein dem Auftraggeber als Gesamtverantwortlichen für die Datenverarbeitung. Die Datenschutzverletzung gilt dem Verantwortlichen als „bekannt“, sobald dieser von seinem Auftragsverarbeiter in Kenntnis gesetzt wurde (so die Leitlinien zur Meldung von Datenschutzverletzungen der Art. 29-Gruppe). Die Kenntnis des Auftragsverarbeiters wird also nicht dem Verantwortlichen zugerechnet.


Die DS-GVO nennt allerdings keine konkrete Frist, innerhalb der der Auftragsverarbeiter den Verantwortlichen informieren muss. Sie sieht nur vor, dass die Benachrichtigung „unverzüglich“ zu erfolgen hat (Art. 33 Abs. 2 DS-GVO). Hier wird man im Regelfall eine sehr zeitnahe Meldung erwarten müssen. Deshalb empfehle ich, im Auftragsverarbeitungsvertrag organisatorische Maßnahmen vorzusehen, durch die der Verantwortliche die Meldung nach Art. 33 Abs. 2 DS-GVO so rechtzeitig erhält, dass er seinerseits die Meldung an die Aufsichtsbehörde innerhalb der 72-Stunden-Frist realisieren kann. Eine regelmäßige Höchstfrist von 72 Stunden besteht für den Auftragsverarbeiter jedenfalls nicht, schließlich könnte das im Extremfall zu einer Verdoppelung oder – bei Ketten-Auftragsverarbeitungsverträgen – zu einer weiteren Vervielfachung der Frist führen.


Bisweilen wird im Hinblick auf die europäische Fristenverordnung die Ansicht vertreten, die 72-
Stunden-Frist müsste mindestens zwei volle Arbeitstage umfassen und könne sich entsprechend verlängern. Diese Auffassung teile ich nicht. Aufgrund der besonderen Dringlichkeit hat der Verordnungsgeber bewusst eine Stundenfrist vorgesehen, die etwa auch an einem Sonn- oder Feiertag enden kann und dementsprechend auch nicht durch das Erfordernis dazwischenliegender Arbeitstage verlängert wird. Überdies hat die Meldung im Ausgangspunkt „unverzüglich“ zu erfolgen; auch das lässt keinen Raum für eine entsprechende Fristverlängerung.


Meldepflicht und Sanktionen


Das Unterlassen einer verpflichtenden Meldung nach Art. 33 DS-GVO ist bußgeldbewehrt (Art.
83 Abs. 4 lit. a DS-GVO). Die Meldung nach Art. 33 DS-GVO selbst darf allerdings gemäß § 43
Abs. 4 BDSG nicht in einem Ordnungswidrigkeitenverfahren wegen der Datenschutzverletzung
verwendet werden. Eine Ausnahme gilt nur, wenn der Meldepflichtige selbst der Verwendung der Meldung in einem Bußgeldverfahren zustimmt. Diese Regelung ist Ausdruck des Grundsatzes der Selbstbelastungsfreiheit bzw. des Verbots der Selbstbezichtigung. Als Konsequenz darf die Aufsichtsbehörde die Informationen aus einer Meldung einer Datenschutzverletzung, welche zum Pflichtinhalt nach Art. 33 Abs. 3 DS-GVO gehören, nicht als Grundlage für ein Ordnungswidrigkeitenverfahren verwenden. Die Gegenansicht, die § 43 Abs. 4 BDSG für europarechtswidrig und damit für nicht anwendbar hält, überzeugt mich nicht.


Allerdings können Erkenntnisse über grundlegende Mängel aus einem weitergehenden Kontrollverfahren, das die Aufsichtsbehörde aufgrund der gemeldeten Datenschutzverletzung durchgeführt hat, verwendet werden. Stellt sich z. B. im Laufe eines aufgrund einer Meldung nach Art. 33 DS-GVO durchgeführten Prüfverfahrens heraus, dass grundlegende technisch-organisatorische Mängel beim Meldepflichtigen bestehen, können diese Gegenstand eines Bußgeldverfahrens sein. Denn die Selbstbelastungsfreiheit bezieht sich nur auf den konkret gemeldeten Datenschutzverstoß.


Durch die verschärfte Pflicht hat die Zahl der Datenschutzverletzungen, die meiner Behörde ge-
meldet werden, stark zugenommen. Im Jahr 2019 erreichten uns 824 Meldungen gemäß Art. 33
DS-GVO, davon mehr als 500 aus dem nicht-öffentlichen Bereich.

Infektion mit der Schad-Software Emotet

Neben anderen Fällen der Infektion mit Ransomware und Viren sowie diversen Hacking-Angriffen erreichten mich vielfach Meldungen, in denen es zu einem Befall mit der Schad-Software Emotet kam (siehe dazu auch Kapitel J.12.4, S. 195). Diese Angriffe führen dazu, dass dem Verantwortlichen der Zugriff auf die Daten durch Verschlüsselung entzogen wird. Aufgrund dieser Meldungen habe ich die Betroffenen auf den risikobasierten Ansatz der DS-GVO zu den datenschutzrechtlichen Anforderungen für alle Unternehmen hingewiesen, wie sie die Artikel 24, 25 und 32 der DS-GVO vorgeben. Diese enthalten die technisch-organisatorischen Rahmenbedingungen, innerhalb derer „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“ vom Verantwortlichen geeignete, angemessene, zu dokumentierende und regelmäßig zu überprüfende Sicherheitsmaßnahmen zu treffen sind. Hierzu muss der Verantwortliche in einer eigenständig vorzunehmenden Risikobetrachtung geeignete technische und organisatorische Maßnahmen benennen, die dem ermittelten Risiko angemessen sind, und diese Maßnahmen auch umsetzen. Der Verantwortliche ist frei bei der Auswahl der Maßnahmen, solange das von ihm ermittelte Risiko damit angemessen berücksichtigt wird.


Zu Emotet veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 5. Dezember 2018 eine Pressemitteilung, in der es vor dieser Software warnte und Schutzmaßnahmen empfahl (https://t1p.de/emotet). Nach Maßgabe des BSI gäbe es zwar keine hundertprozentige Sicherheit, jedoch existierten verschiedene Schutzmaßnahmen, die sowohl auf organisatorischer als auch auf technischer Ebene umgesetzt werden könnten. Diese würden das Risiko einer Infektion mit Emotet oder auch anderer Schad-Software signifikant reduzieren.


Häufig deckten sich die Angaben der von Emotet Betroffenen zu ihren vorab ergriffenen Maß-
nahmen nur teilweise mit den vom BSI veröffentlichten Schutzmaßnahmen. Zum Zeitpunkt der
Meldung der Datenschutzverletzungen wurden mindestens eine, wenn nicht sogar mehrere der
vom BSI veröffentlichten Schutzmaßnahmen, nicht beachtet.


Deshalb habe ich in diesen Fällen von meiner Abhilfebefugnis der Verwarnung nach Art. 58 Abs.
2 lit. b DS-GVO Gebrauch gemacht. Ich ging davon aus, dass die betroffenen Stellen künftig die
vorbeugenden Schutzmaßnahmen gegen Emotet umsetzen würden. Im nicht-öffentlichen Bereich erklärte das Gros der betroffenen Unternehmen mir nachvollziehbar, ihre technischen und organisatorischen Maßnahmen für derartige Fälle angepasst zu haben.


Zur Einschätzung des risikobasierten Ansatzes empfahl ich das Kurzpapier Nr. 18: „Risiko für die
Rechte und Freiheiten natürlicher Personen“ der Datenschutzkonferenz (DSK). Ich verwies zudem zur methodischen Vorgehensweise auf das von der DSK bereitgestellte Standarddatenschutzmodell (SDM: https://t1p.de/sdm) und auf den in meinem Haus entwickelten „Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS: https://t1p.de/zawas)“.

Versand an einen falschen Empfänger

Mehrfach hatte ich sowohl im öffentlichen als auch im nicht-öffentlichen Bereich mit Meldungen von Datenschutzverletzungen nach Art. 33 DS-GVO zu tun, in denen personenbezogene Daten an einen unberechtigten Empfänger per Post oder E-Mail versendet wurden. Oftmals lag dabei die Ursache in technischem oder menschlichem Versagen. Die versendeten Schreiben enthielten häufig sensible personenbezogene Daten der Betroffenen gem. Art. 9 Abs. 1 DS-GVO.


Nach Art. 6 Abs. 1 S. 1 DS-GVO ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten nur unter den dort genannten Voraussetzungen zulässig. Nach Art. 5
Abs. 1 lit. f DS-GVO sind personenbezogene Daten so zu verarbeiten, dass ihre Sicherheit und
Vertraulichkeit hinreichend gewährleistet ist. Da in Fällen des Fehlversands zum einen keine der Voraussetzungen des Art. 6 Abs. 1 S. 1 DS-GVO vorliegt und zum anderen durch die falsche Übermittlung die Integrität und Vertraulichkeit dieser Daten nach Art. 5 Abs. 1 lit. f DS-GVO auch nicht mehr gegeben ist, wurde gegen die datenschutzrechtlichen Bestimmungen verstoßen.

In derartigen Fällen habe ich ebenfalls von meiner Abhilfebefugnis der Verwarnung Gebrauch
gemacht. Ich ging bezüglich des Postversands davon aus, dass dieser in künftigen Fällen datenschutzkonform erfolgen wird. Denn die Betroffenen erklärten in ihren jeweiligen Antwortschreiben nachvollziehbar, dass sie nach den Verstößen ihre Beschäftigten dazu angewiesen hatten, zukünftig sorgfältiger vorzugehen. Die datenschutzrechtliche Verfehlung beruhte auf individuellen Fehlern.


E-Mail-Verteiler: CC statt BCC


Bereits in meinem 22. Tätigkeitsbericht habe ich die Thematik der unzulässigen offenen Übermittlung von E-Mail-Adressen behandelt. Auch im Berichtszeitraum erreichten mich zahlreiche Art.-33-Meldungen von Unternehmen und öffentlichen Stellen, in denen es zu einem E-Mail-Versand per CC statt per BCC kam. Da in diesen Fällen ebenfalls keine der Voraussetzungen des Art. 6 Abs. 1 S. 1 DS-GVO vorliegt und zudem die Integrität und Vertraulichkeit dieser Daten nach Art. 5 Abs. 1 lit. f DS-GVO nicht mehr gegeben ist, wurde auch hier gegen datenschutzrechtliche Bestimmungen verstoßen.


Auch in derartigen Fällen habe ich Verwarnungen ausgesprochen. Die Prüfung der bei mir eingegangen Meldungen zeigte, dass die Verantwortlichen grundsätzlich geeignete Verfahren implementiert haben, die eine Einhaltung der Betroffenenrechte gewährleisten. In ihren Schreiben schilderten mir zahlreiche Verantwortliche, ihr Personal angesichts solcher Vorfälle datenschutzrechtlich fortgebildet zu haben.

Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 93ff.