Der Wechsel von Verantwortlichen im Datenschutz
Nicht immer bleibt der oder die Verantwortliche während einer Datenverarbeitung gleich. Wer ist bei einem Wechsel verantwortlich? Wir verraten es Ihnen.
Allgemein bekannt ist wahrscheinlich nur folgendes: Eine Datenpanne bedeutet nichts Gutes. Stellt ein Unternehmen eine solche Datenpanne fest, sollte schnell gehandelt werden.
Doch was ist eine Datenpanne eigentlich genau und wie reagiere ich richtig, wenn es zu einer solchen Datenpanne in meinem Unternehmen kommt? Eine Antwort wird im folgenden Beitrag erläutert.
Die Datenpanne nach der DSGVO
Gemäß Art. 4 Nr. 12 DSGVO ist eine Datenpanne eine Verletzung des Schutzes personenbezogener Daten
- die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig,
- oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Eine Datenpanne liegt zum Beispiel vor, wenn ein Online-Shop gehackt und Kundendaten gestohlen wurden, Daten durch eine nicht autorisierte Person gelöscht wurden oder ein Bug im Webserver einen Vollzugriff auf Daten ermöglicht.
Was muss der Unternehmer tun, wenn eine Datenpanne aufgetreten ist?
Die viel wichtigere Frage ist jedoch: Wie habe ich mich nach einer solchen Datenpanne entsprechend den Vorschriften der DSGVO zu verhalten? Die DSGVO schreibt dem verantwortlichen Unternehmen hier gleich zwei Handlungsmaßnahmen vor.
- Meldung der Verletzung personenbezogener Daten an die zuständige Datenschutzbehörde
- Benachrichtigung der von der Datenpanne betroffenen Personen
Die Meldepflicht besteht unabhängig davon, ob ein Schaden bereits eingetreten ist oder nicht.
Eine Meldung hat hierbei an die Aufsichtsbehörde zu erfolgen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt; eine Benachrichtigung an die betroffene Person nur, wenn die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.
Demnach hat bei Vorliegen einer Datenpanne, in welcher Form auch immer, eine Risikoeinschätzung zu erfolgen, ob die Gefahr der Verletzung von Grundrechten bzw. Grundfreiheiten möglich erscheint.
Rechte und Freiheiten natürlicher Personen
Damit sind im Sinne der DSGVO alle Rechte, wie Grundrechte (z.B. Grundrecht auf informationelle Selbstbestimmung) aber auch einfach gesetzlichen Regelungen, die zumindest mittelbar das Datenschutzrecht tangieren (z.B. Abhören von Telefongesprächen, Videoüberwachung), gemeint.
Risikoanalyse
Der Begriff Risiko wird in der DSGVO nicht definiert. Lediglich aus den Erwägungsgründen des Gesetzes ergeben sich Anhaltspunkte, was genau unter dem Risikobegriff zu verstehen ist. Die Datenschutzbehörden der Länder haben den Begriff folgendermaßen definiert:
„Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.
Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die
Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.“
Liegt die Verletzung von personenbezogenen Daten vor, sind für eine Risikobeurteilung insbesondere folgende Fragen zu stellen:
- Was und in welcher Form ist eine Datenpanne aufgetreten?
- Welche Schäden können für die betroffene Person eintreten?
- Durch welche Handlung und Umstände kann ein solches Schadensereignis eintreten?
So führt beispielsweise der Verlust von Kreditkartendaten durch ein Serverleck zum Risiko eines Kreditkartenmissbrauchs und ggf. zu einem materiellen Schaden in Form einer unbefugten Kreditkartennutzung.
Die Risikoanalyse obliegt dabei dem für die Datenverarbeitung verantwortlichen Unternehmer.
Sie müssen daher bei einer Datenpanne Rechenschaft ablegen und detailliert darlegen können, ob ein Risiko besteht oder nicht.
1) Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
Gemäß Art. 33 DSGVO ist der Verantwortliche dazu verpflichtet, die Datenpanne unverzüglich an die zuständige Aufsichtsbehörde zu melden. Für Datenverarbeitungen innerhalb Deutschlands sind dabei die jeweiligen Landesdatenschutzbehörden zuständig (siehe z.B. http://lfdi.typo3web03.rlp.de/de/themenfelder-themen/datenschutzkontrolle-bundlaender/). Die Meldung muss innerhalb von 72 Stunden erfolgen. Maßgeblicher Zeitpunkt für die Bestimmung des Fristbeginns ist die Kenntnis des Verantwortlichen von der Verletzung des Schutzes personenbezogener Daten. Welche Aufsichtsbehörde für Sie zuständig ist, richtet sich danach, in welchem Bundesland Sie ihre Hauptniederlassung haben.
Die Meldung sollte in jedem Fall folgende Informationen enthalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze,
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten,
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
2) Meldung an den Kunden
In bestimmten Fällen müssen Sie die Datenpanne auch den betroffenen Kunden melden. Wann das so ist, regelt Art.34 DSGVO. Voraussetzung ist, dass die Verletzung voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Sie müssen also eine Prognose treffen, ob ein solcher Fall eintreten wird. Hier muss die Benachrichtigung unverzüglich erfolgen und zudem in einer klaren und einfachen Sprache übermittelt werden.
Inhaltlich soll die Benachrichtigung an den Kunden folgenden Mindestinhalt umfassen:
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten und
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
3) Ausnahmen von der Benachrichtigungspflicht an die betroffene Person
Eine Benachrichtigung an den Kunden ist in den folgenden Fallkonstellationen nicht erforderlich:
- Der für die Datenverarbeitung Verantwortliche hat vor dem Eintritt der Verletzung „geeignete technische und organisatorische Sicherheitsvorkehrungen“ getroffen (z.B. unbefugter Zugriff auf einen Datenträger, auf dem sich ausschließlich verschlüsselte personenbezogene Daten befinden). Es liegt zwar eine Datenpanne vor, jedoch kommt es aufgrund der zuvor gewählten technischen Sicherheitsmaßnahmen nicht zu einer Verletzung des Schutzes personenbezogener Daten.
- Der für die Datenverarbeitung Verantwortliche hat nach dem Eintritt einer Datenpanne durch geeignete Maßnahmen sichergestellt, dass ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nicht mehr besteht. Hierbei ist jedoch zu beachten, dass dem Verantwortlichen aufgrund der unverzüglichen Meldepflicht an die betroffenen Personen für „Eindämmungsmaßnahmen“ der Datenpanne nur ein kleines Zeitfenster verbleibt
- Die Benachrichtigung der betroffenen Personen ist mit einem unverhältnismäßigen Aufwand verbunden. In diesem Falle hat stattdessen eine öffentliche Bekanntmachung über dafür geeignete Kommunikationskanäle oder durch ähnliche Maßnahmen zu erfolgen.
Unser Tipp:
In jedem Fall müssen Sie sich an die oben genannten Vorschriften halten, denn ein Verstoß gegen die Meldepflicht kann für den Verantwortlichen einen Ersatzanspruch für materielle und immaterielle Schäden gem. Art. 82 DSGVO begründen. Darüber hinaus kann die Aufsichtsbehörde bei einem Verstoß gegen Art. 34 DSGVO gegen den Verantwortlichen eine Geldbuße verhängen. Bereiten Sie sich daher am besten schon jetzt für den Fall der Fälle vor und beugen Sie mögliche Datenpannen im Unternehmen vor.
Sollte es dennoch zum Eintritt einer Verletzung von personenbezogenen Daten kommen, sollten Sie Maßnahmen ergreifen, die es Ihnen erleichtern, die oben genannten Vorschriften innerhalb der vorgeschriebenen Zeit einzuhalten. So können Sie sich z.B. schon jetzt informieren, wer die für Sie zuständige Aufsichtsbehörde ist.
Über den Autor
Konstantin Schröter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreute er den Audit-Prozess DACH und war für die Vorabprüfung kritischer Geschäftsmodelle bezüglich der Einhaltung der Trusted Shops Qualitätskriterien zuständig. Konstantin Schröter betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit rechtlichen Fragestellungen des E-Commerce auseinander.
02.08.18
