Eine Verletzung des Schutzes personenbezogener Daten liegt immer dann vor, wenn es unbeabsichtigt oder unrechtmäßig zu einer Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten gekommen ist. Kürzer gesagt: Wenn personenbezogene Daten ohne Erlaubnis verarbeitet wurden oder wenn diese beispielsweise verloren gegangen oder unbefugten Personen offengelegt wurden.
Eine Verletzung kommt also zum Beispiel dann in Betracht, wenn bei einer Werbe-E-Mail an die Kunden der gesamte Verteiler in der Adresszeile offengelegt ist und so jeder Kunde die E-Mail-Adressen der anderen Kunden identifizieren kann. Ebenso läge eine solche Verletzung vor, wenn auf der Website des Unternehmens aufgrund eines Versehens bei der Programmierung plötzlich Kundendaten in Form von Namen und Adressen einsehbar wären. Zuletzt wäre auch denkbar, dass aufgrund einer fehlerhaften Programmierung der Website nicht nur Name und Adresse, sondern auch die Bankverbindung des jeweiligen Kunden einsehbar
wäre.
Nicht in jedem Fall einer Verletzung muss aber auch eine Meldung erfolgen – und nicht jede Meldung muss sowohl gemäß Art. 33 DSGVO an die Aufsichtsbehörde und gemäß Art. 34 DSGVO an die betroffene Person (also beispielsweise den Kunden) erfolgen.
An wen muss ich welche Meldung abgeben?
In den Artikeln 33 und 34 DSGVO werden zwei verschiedene Meldepflichten festgesetzt, die unterschiedliche Voraussetzungen haben und sich an unterschiedliche Empfänger richten.
Meldung an die Aufsichtsbehörde
Die Meldung an die zuständige Aufsichtsbehörde gemäß Art. 33 DSGVO muss bereits abgegeben werden, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Hinter dieser etwas kryptisch formulierten Anforderung verbirgt sich Folgendes: Wenn davon ausgegangen werden kann, dass durch die Verletzung Rechte und Freiheiten betroffener Personen nicht beeinträchtigt werden, bedarf es keiner Meldung an die Aufsichtsbehörde. Bei den angesprochenen Rechten und Freiheiten handelt es sich um Risiken wie Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Wenn solche Nachteile für die betroffenen Personen drohen, muss eine Meldung an die Aufsichtsbehörde abgegeben werden.
Im ersten oben angesprochenen Beispielfall kann exemplarisch davon ausgegangen werden, dass für die betroffenen Personen keine derartigen Risiken bestehen. Dass alleine die E-Mail-Adressen einem überschaubaren Kreis von Personen bekannt geworden sind, begründet nicht die Annahme, dass den betroffenen Personen hierdurch beispielsweise ein Identitätsdiebstahl oder ein Betrug mittels gestohlener Identität droht, weil hierzu mehr Daten als bloß die E-Mail-Adresse nötig sind.
Im zweiten Beispiel hingegen kann nicht ausgeschlossen werden, dass den betroffenen Personen beispielsweise ein Identitätsdiebstahl und infolgedessen ein Betrug oder anderweitige finanzielle Verluste drohen: Im Gegensatz zum ersten Beispiel werden hier nämlich nicht bloß E-Mail-Adressen, sondern komplette Adress-Sätze an einen unüberschaubaren Personenkreis offengelegt. Deswegen muss eine Meldung an die Aufsichtsbehörde gemäß Art. 33 DSGVO erfolgen.
Auch im dritten Beispiel muss eine Meldung an die Aufsichtsbehörde gemäß Art. 33 DSGVO erfolgen. Hier ist das Risiko für die betroffenen Personen noch wesentlich höher, da Unbefugte sogar die Bankverbindung dieser Personen einsehen konnten.
Meldung an die betroffenen Personen
Die Meldung an die betroffenen Personen gemäß Art. 34 DSGVO muss im Gegensatz zur oben dargestellten Meldung an die Aufsichtsbehörde erst dann abgegeben werden, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt, und diese ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Im Gegensatz zur Meldung an die Aufsichtsbehörde muss die Wahrscheinlichkeit, dass es tatsächlich beispielsweise zu einer Diskriminierung, einem Identitätsdiebstahl oder -betrug oder zu finanziellen Verlusten, einer Rufschädigung oder Ähnlichem kommt, hier höher sein. In diesen Fällen muss eine Abwägungsentscheidung getroffen werden, die nicht selten schwerfällt. Zur Verdeutlichung sollen auch hier wieder die oben genannten Beispiele dienen:
Im erstgenannten Beispiel war bereits die Meldung an die Aufsichtsbehörde gemäß Art. 33 DSGVO nicht nötig, sodass erst recht keine Meldung an die betroffenen Personen gemäß Art. 34 DSGVO – die ja höheren Anforderungen unterliegt – abgegeben werden muss.
Im zweiten Beispiel kann zwar nicht ausgeschlossen werden, dass ein Risiko für Rechte und Freiheiten der betroffenen Personen vorliegt. Dass ein hohes Risiko für diese Rechte und Freiheiten gegeben ist, ist jedoch nicht sicher vorhersagbar. Für das Bestehen eines hohen Risikos spricht hier auf der einen Seite, dass ein unbestimmter Kreis an Unbefugten Einsicht in die Namen und Kontaktdaten der betroffenen Personen hatte. Dagegen spricht, dass lediglich die Kontaktdaten zugänglich waren. Diese sind beispielsweise für eine betrügerische Handlung weniger lukrativ als Bankdaten. Ob im Einzelfall eine Meldung abgegeben werden muss, sollte in diesem Beispielfall also fachkundig abgeklärt werden.
Im dritten Beispiel kann eine Meldepflicht an die betroffenen Personen dagegen mit großer Sicherheit bejaht werden. Die Veröffentlichung von Kontaktdaten und Bankdaten begründet jedenfalls ein hohes Risiko für die betroffenen Personen, Opfer eines Identitätsdiebstahls oder eines Betruges zu werden. Auch das Risiko weiterer finanzieller Verluste muss als hoch bezeichnet werden.
Inhaltliche Unterschiede
Die Meldung an die zuständige Aufsichtsbehörde muss wesentlich mehr Informationen enthalten als die Meldung an die betroffenen Personen. Dies kommt daher, da es Anliegen der DSGVO ist, betroffene Personen möglichst verständlich zu Informieren. Die Fülle an Informationen, die an die Aufsichtsbehörde zu melden sind, wäre für eine betroffene Person dagegen eher verwirrend als hilfreich.
Genauer Inhalt der jeweiligen Meldung ist in der DSGVO in Art. 33 und 34 sehr genau dargelegt, sodass man sich an dem jeweiligen Katalog gut orientieren kann. Zu beachten ist, dass die Meldung an die Aufsichtsbehörde gemäß Art. 33 DSGVO innerhalb von 72 Stunden ab Bekanntwerden der Datenschutzverletzung abgegeben werden muss. Hierzu müssen alle entsprechenden Informationen spätestens bis zu diesem Zeitpunkt der Behörde übermittelt werden. Im Gegensatz dazu muss die Meldung an die betroffenen Personen gemäß Art. 34 DSGVO nach dem Gesetzeswortlaut „unverzüglich“ nach Bekanntwerden der Datenschutzverletzung an diese Personen abgegeben werden. Unverzüglich bedeutet dabei „stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der Weisungen“. Es muss also in Abstimmung mit der Behörde so rasch, wie es vertretbar möglich ist, den betroffenen Personen Meldung erstattet werden.
Die Meldung an die betroffenen Personen gestaltet sich je nach Fall schwierig: Die betroffenen Personen müssen identifiziert werden, was, abhängig von deren Anzahl, eine große Herausforderung sein kann. Darüber hinaus kann diese Meldung auch eine große Belastung bzw. ein Geschäftsrisiko für denjenigen darstellen, der sie abgeben muss: Bei der Information, dass beispielsweise eine Datenpanne vorgelegen hat, können Kunden möglicherweise dem Unternehmen den Rücken kehren.
Allerdings gibt es von dieser Meldepflicht Ausnahmen: Die Meldung an die betroffenen Personen gemäß Art. 34 DSGVO muss dann nicht erfolgen, wenn entweder (a) die Daten, die von der Verletzung betroffen sind, hinreichend verschlüsselt oder pseudonymisiert waren, sodass letztlich kein Risiko für die Rechte und Freiheiten der Personen besteht. Weiter entfällt die Meldepflicht, wenn (b) nachträgliche Maßnahmen ergriffen werden, die das Risiko von jetzt ab aller Wahrscheinlichkeit nach entfallen lassen. Dies wäre bei veröffentlichten Online-Zugangsdaten zu Kundenaccounts denkbar, indem die Zugangscodes nachträglich vollständig geändert werden, sodass ein unbefugter Zugriff künftig wieder ausgeschlossen wird. Zuletzt entfällt eine Meldepflicht auch dann, wenn die Meldung (c) mit einem unverhältnismäßigen Aufwand für den zur Meldung verpflichteten verbunden wäre: Hierdurch wird jedoch die Meldepflicht nicht völlig aufgehoben. Vielmehr wandelt sich die Verpflichtung, die betroffenen Personen jeweils individuell zu informieren, in eine Verpflichtung, die Information mit der entsprechenden Meldung öffentlich zugänglich zu machen, sodass die betroffenen Personen die Möglichkeit erhalten, sich selbst zu informieren.
Diese Regelung ist für den zur Meldung Verpflichteten jedoch nur auf den ersten Blick günstig. Zwar entfällt dadurch die sehr umfangreiche Verpflichtung einer Meldung an einen möglicherweise großen Personenkreis, der je nach Fallgestaltung auch noch identifiziert werden muss. Jedoch führt die Verpflichtung, die Meldung öffentlich, beispielsweise auf der firmeneigenen Website, abzugeben, möglicherweise zu einem großen Image- und Vertrauensverlust bei einer Vielzahl von Kunden. Aus diesem Grund ist stets abzuwägen, ob eine individuelle Information der betroffenen Personen nicht doch möglich wäre, wenn sie auch aufwendig ist.
Fazit
Die Meldepflichten der DSGVO stellen für Unternehmen jeder Größe eine Herausforderung dar: Wenn eine Verpflichtung zur Meldung besteht, gilt es, diese an die richtigen Adressaten vollständig und fristgerecht abzugeben, ansonsten drohen hohe Bußgelder. Gleichzeitig schafft eine allzu offene Information das Risiko für die Unternehmen, dass Kunden verunsichert werden und möglicherweise das Vertrauen in das Unternehmen verlieren. Die Abwägung, ob eine Meldepflicht besteht und wie die Meldung genau gestaltet werden soll, muss daher gewissenhaft erfolgen, im Zweifel sollte rechtlicher Rat von Fachkundigen eingeholt werden.
Bild: Getty Images / Ivan-balvan
Info
Mehr auf SBZ-online
Der Autor war Referent auf dem „forum handwerk digital 2019“ in Stuttgart. Dieser und andere Vorträge (papierloses Büro und Onlinemarketing) wurden aufgezeichnet und sind abrufbar unter www.sbz-online.de. Die rund 30 Minuten dauernden Videodateien sind ebenso unterhaltsam wie informativ. Der Kongress wurde unterstützt von KlarPris (www.klarpris.de), Württemberger Medien (w-medien.de) und Teba Kreditbank (teba-kreditbank.de).
Autor
Bild: Kunz
