Reaktion auf Datenschutzverstöße in rechtlicher und tatsächlicher Hinsicht

Transkript

1 54 BEITRÄGE RISIKOANALYSE UND -IDENTIFIKATION Scheben/Geschonneck, Reaktion auf Datenschutzverstöße in rechtlicher CB-BEITRAG Barbara Scheben, RAin, und Alexander Geschonneck Reaktion auf Datenschutzverstöße in rechtlicher Um dem von einem Datenschutzverstoß Betroffenen die effiziente Durchsetzung seiner damit einhergehenden Rechte zu ermöglichen, 1 wurde im August 2009 mit dem Gesetz zur Änderung datenschutzrechtlicher Vorschriften 2 die Regelung des 42a BDSG ( Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten ) neu in das Bundesdatenschutzgesetz eingefügt. In präventiver Hinsicht soll diese Vorschrift einen Anreiz für Unternehmen schaffen, Maßnahmen zur Verhinderung von Datenschutzverstößen zu implementieren. 3 Durch die ab dem unmittelbar geltende Datenschutz-Grundverordnung wird diese Regelung verschiedene Änderungen erfahren. Der vorliegende Beitrag befasst sich mit den Rechtsgrundlagen der Regelung sowie mit Überlegungen zur praktischen Umsetzung im Unternehmen. I. Die Regelung des 42a BDSG Bis zum gilt für Datenschutzverstöße die Regelung des 42a BDSG. Dieser lautet: Stellt eine nichtöffentliche Stelle i. S. d. 2 Abs. 4 oder eine öffentliche Stelle nach 27 Abs. 1 S. 1 Nr. 2 fest, dass bei ihr gespeicherte 1. besondere Arten personenbezogener Daten ( 3 Abs. 9), 2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen, 3. personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder 4. personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Die Benachrichtigung des Betroffenen muss unverzüglich erfolgen, sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird. Die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten. Die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten. Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. Eine Benachrichtigung, die der Benachrichtigungspflichtige erteilt hat, darf in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen ihn oder einen in 52 Abs. 1 der Strafprozessordnung bezeichneten Angehörigen des Benachrichtigungspflichtigen nur mit Zustimmung des Benachrichtigungspflichtigen verwendet werden. Adressat der Vorschrift sind zum einen öffentliche Stellen des Bundes und der Länder, soweit sie als öffentliche Stellen am Wettbewerb teilnehmen. 4 In Betracht kommen insofern z. B. Unternehmen der Kredit- oder Versicherungswirtschaft, Verkehrs- oder Versorgungsunternehmen 5 oder auch Krankenhäuser. Zum anderen gilt die Regelung für nicht-öffentliche Stellen, also natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts. 6 Kommt es bei einer dieser Stellen zu einem in 42a S. 1 BDSG näher beschriebenen Datenschutzverstoß, werden verschiedene Mitteilungspflichten (Notifikationspflichten) ausgelöst. Ein Datenschutzverstoß liegt vor, wenn bestimmte Arten personenbezogener Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. 7 Eine unrechtmäßige Übermittlung setzt voraus, dass die Daten einem Dritten, also einer Person oder Stelle außerhalb der verantwortlichen Stelle, 8 bekannt gegeben werden. In 3 Abs. 4 Nr. 3 BDSG wird die Übermittlung definiert als das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen 1 Vgl. Spindler/ Schuster, Recht der elektronischen Medien, 3. Aufl. 2015, BDSG, 42a, Rn BGBl Teil I, 2009, Nr. 54 vom Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 42a, Rn Öffentliche Stellen gem. 27 Abs. 1 S. 1 Nr. 2 BDSG. 5 Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 27, Rn Nicht-öffentliche Stellen gem. 2 Abs. 4 BDSG. 7 42a S. 1 BDSG. 8 3 Abs. 8 S. 2 BDSG.

2 Scheben/Geschonneck, Reaktion auf Datenschutzverstöße in rechtlicher BEITRÄGE RISIKOANALYSE UND -IDENTIFIKATION 55 Dritten in der Weise, dass a) die Daten an den Dritten weitergegeben werden oder b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Der Übermittlung (Bekanntgeben) ist also ein voluntatives Element immanent. Die Daten müssen in dieser Alternative zielgerichtet 9 an den Dritten weitergegeben werden. Die unrechtmäßige Kenntniserlangung auf sonstige Weise dient als Auffangtatbestand. Hierunter wird jegliche Art der Kenntniserlangung durch einen Dritten gefasst, die auch von der verantwortlichen Stelle unbeabsichtigt oder ihr unbewusst (z. B. Verlust eines Datenträgers oder Lücke im Berechtigungskonzept einer IT Anwendung) erfolgt ist oder die durch einen Dritten initiiert wurde (z. B. Hacking-Angriff). Unrechtmäßig ist die Kenntniserlangung in beiden Alternativen, wenn sie weder auf eine Einwilligung des Betroffenen noch auf einen sonstigen Erlaubnistatbestand gestützt werden kann. Die unrechtmäßige Übermittlung oder Kenntniserlangung muss sich zudem auf bestimmte Datenarten beziehen. 42a S. 1 BDSG zählt diese abschließend auf: besondere Arten personenbezogener Daten ( 3 Abs. 9), personenbezogene Daten, die einem Berufsgeheimnis unterliegen, personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder personenbezogene Daten zu Bank- oder Kreditkartenkonten. Zu denken ist bspw. an Daten über den Gesundheitszustand von Mitarbeitern (z. B. Krankheitstage, Wiedereingliederungsmanagement) oder deren Religionsangehörigkeit, an Mandanten- oder Patientendaten, an Daten aus einer Compliance-Case-Datenbank, an die aufzubewahrenden Daten des Geldwäschebeauftragten im Zuge seiner Geldwäscheverdachtsmeldungen oder an Kontodaten von Kunden. Um eine Meldepflicht auszulösen, müssen durch den Datenschutzverstoß zudem schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Anderenfalls kann die Meldung unterbleiben. Die verantwortliche Stelle hat demnach eine Prognoseentscheidung 10 über das Ausmaß des möglichen Schadens durch die unrechtmäßige Kenntniserlangung der betreffenden Daten durch einen Dritten und dessen Eintrittswahrscheinlichkeit zu treffen. Es sind Beeinträchtigungen immaterieller wie auch materieller Art in Betracht zu ziehen. 11 So z. B. der Schaden, der durch die Kenntniserlangung der Kontozugangsdaten einer bestimmten Person droht. Zu beachten ist, dass die Kenntniserlangung durch den Dritten zwar dem Wortlaut des Tatbestands entspricht, es aber durchaus als ausreichend erachtet wird, wenn eine hohe Wahrscheinlichkeit der Kenntniserlangung besteht. 12 Liegen die vorgenannten Voraussetzungen vor, hat die verantwortliche Stelle 13 dies unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen. Unverzüglich bedeutet i. S. d. 121 Abs. 1 BGB: ohne schuldhaftes Zögern. Allerdings steht dem Benachrichtigungspflichtigen nach den Umständen des Einzelfalls eine Prüfungsfrist zu, die auch die Möglichkeit einschließen kann, zunächst informell die zuständige Aufsichtsbehörde hinzuzuziehen. 14 Zu berücksichtigen ist, dass nach 42a S. 2 BDSG die Benachrichtigung der Betroffenen (nicht: die Benachrichtigung der zuständigen Aufsichtsbehörde) u. U. zunächst zurückgestellt werden kann. Vor ihrer Benachrichtigung darf die verantwortliche Stelle nämlich Maßnahmen zur Sicherung der Daten ergreifen. Auch entgegenstehende Interessen der Strafverfolgung können im Einzelfall zunächst gegen die Benachrichtigung der Betroffenen sprechen. 15 Die Gründe für eine zunächst zurückgestellte Benachrichtigung sollten dokumentiert werden. Sind die Hinderungsgründe weggefallen, sind auch die Betroffenen zu informieren. Im Rahmen der Benachrichtigung des Betroffenen hat die verantwortliche Stelle die Art der unrechtmäßigen Kenntniserlangung darzulegen und Empfehlungen für Maßnahmen zur Minderung nachteiliger Folgen zu geben. Der Betroffene soll in die Lage versetzt werden, die zur Abwehr, Begrenzung oder zum Ersatz des (drohenden) Schadens erforderlichen Maßnahmen zu treffen. 16 Gegenüber der zuständigen Aufsichtsbehörde hat zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der verantwortlichen Stelle ergriffenen Maßnahmen zu erfolgen. Dies dient der Beurteilung durch die Aufsichtsbehörde, ob der datenschutzrechtliche Verstoß tatsächlich beseitigt wurde. 17 Die Benachrichtigung der Betroffenen hat i. d. R. individuell zu erfolgen und ist nicht an eine bestimmte Form gebunden. 18 Würde die individuelle Benachrichtigung einen unverhältnismäßigen Aufwand erfordern, z. B. weil es sich um eine Vielzahl von Betroffenen handelt und deren Adressen erst ermittelt werden müssten, kann die verantwortliche Stelle ersatzweise eine öffentliche Benachrichtigung vornehmen. Die Vorschrift nennt als Beispiel Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. Zu denken wäre also auch an eine Veröffentlichung im Internet oder, je nach Betroffenenkreis, in einem anderen Medium, das von den Betroffenen mit hoher Wahrscheinlichkeit aufgesucht wird. Verstößt die verantwortliche Selle gegen die Vorschriften des 42a BDSG, macht sie nämlich die vorgesehene Mitteilung (Benachrichtigung) nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig, droht gem. 43 Abs. 2 Nr. 7, Abs. 3 BDSG ein Bußgeld von bis zu Euro. 9 Vgl. Simitis, Bundesdatenschutzgesetz, 8. Aufl. 2014, 42a, Rn Siehe zum Abwägungsprozess exemplarisch Landesbeaufragter für Datenschutz und Informationssicherheit Nordrhein-Westfalen, Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten nach 42a Bundesdatenschutzgesetz (BDSG) Häufig gestellte Fragen (FAQs), S Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 42a Rn Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 42a Rn. 4 m. w. N.; s. a. z. B. Landesbeaufragter für Datenschutz und Informationssicherheit Nordrhein-Westfalen, Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten nach 42a Bundesdatenschutzgesetz (BDSG) Häufig gestellte Fragen (FAQs), S. 8: Die Kenntniserlangung durch einen Dritten muss nicht positiv festgestellt werden. Es ist ausreichend, wenn es entweder offensichtlich ist, dass Dritte Kenntnis erlangt haben, oder wenn anhand von tatsächlichen Anhaltspunkten mit einer gewissen Wahrscheinlichkeit davon ausgegangen werden kann. 13 Im Falle der unrechtmäßigen Kenntniserlangung von bei einem Auftragsdatenverarbeiter gespeicherten personenbezogenen Daten trifft die Benachrichtigungspflicht ebenfalls die verantwortliche Stelle und nicht etwa den Auftragsverarbeiter selbst. S. hierzu auch Landesbeaufragter für Datenschutz und Informationssicherheit Nordrhein-Westfalen, Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten nach 42a Bundesdatenschutzgesetz (BDSG) Häufig gestellte Fragen (FAQs), S Vgl. Simitis, Bundesdatenschutzgesetz, 8. Aufl. 2014, 42a, Rn. 10; s. a. Landesbeaufragter für Datenschutz und Informationssicherheit Nordrhein- Westfalen, Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten nach 42a Bundesdatenschutzgesetz (BDSG) Häufig gestellte Fragen (FAQs), S. 12, wonach die Frist zur Benachrichtigung i. d. R. zwei Wochen nicht übersteigen dürfen soll. 15 Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 42a, Rn Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 42a, Rn BT-Drs. 16/12011, Vgl. Gola/ Schomerus, Bundesdatenschutzgesetz, 12. Aufl. 2015, 42a, Rn. 7; Simitis, Bundesdatenschutzgesetz, 8. Aufl. 2014, 42a, Rn. 15.

3 56 BEITRÄGE RISIKOANALYSE UND -IDENTIFIKATION Scheben/Geschonneck, Reaktion auf Datenschutzverstöße in rechtlicher II. Die Regelung der Art. 33 und 34 DSGVO Die ab dem geltenden Regelungen der Datenschutz- Grundverordnung (DSGVO) ändern die Vorgaben zur Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten in verschiedener Hinsicht ab. Zudem unterscheidet die DSGVO deutlicher zwischen der Meldung an die Aufsichtsbehörde und der Benachrichtigung der Betroffenen und regelt dies in jeweils eigenen Artikeln. Art. 33 DSGVO behandelt die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde. Art. 34 DSGVO regelt die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person. 1. Die Regelung des Art. 33 DSGVO Nach dem Grundsatz des Art. 33 Abs. 1 S. 1 DSGVO hat der Verantwortliche, 19 soweit es zu einer Verletzung des Schutzes personenbezogener Daten kommt, dies unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde zu melden es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Adressat der Meldepflicht ist, wie bei 42a BDSG, der Verantwortliche, nicht der Auftragsverarbeiter. Letzterer hat allerdings, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, unverzüglich den Verantwortlichen zu informieren. 20 Nach Art. 4 Nr. 12 DSGVO, wird die Verletzung des Schutzes personenbezogener Daten definiert als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Hieraus ergibt sich, dass im Gegensatz zu 42a BDSG zunächst einmal jegliche Verletzung personenbezogener Daten grundsätzlich geeignet ist, eine Meldepflicht auszulösen. Es kommt nicht auf die unrechtmäßige Kenntniserlangung durch einen Dritten, sei dies bewusst und gewollt oder unbewusst und ungewollt geschehen, an. Denkbar wäre also auch eine (ggf. meldepflichtige) Verletzung dadurch, dass personenbezogene Daten, die hätten gelöscht werden müssen, nicht gelöscht wurden oder die hätten berichtigt werden müssen, nicht berichtigt wurden. Auch in Bezug auf die relevanten Datenarten nimmt die DS- GVO, anders als 42a BDSG, keine Beschränkung vor. Alle Arten personenbezogener Daten werden gleich behandelt. Die Meldepflicht knüpft zeitlich an das Bekanntwerden, also das Vorliegen von Tatsachen, nicht deren rechtliche Subsumtion, an. Getreu dem risikobasierten Ansatz der DSGVO hat der Verantwortliche eine Prognoseentscheidung darüber zu treffen, ob die Verletzung zu einem Risiko für die Betroffenen führt. Ist dies nicht der Fall, kann eine Meldung unterbleiben. Welche Umstände in die Prognose einzubeziehen sind, sagt die Verordnung nicht. Angesichts des risikobasierten Ansatzes wird der Verantwortliche, wie schon bei 42a BDSG, das mögliche Schadensausmaß und dessen Eintrittswahrscheinlichkeit zu beurteilen haben. Die Risikoprognose kann den Verantwortlichen aber vor komplexe Abwägungsfrage stellen. Stellt es z. B. ein Risiko dar, dass Daten über Krankheitstage eines inzwischen ausgeschiedenen Mitarbeiters noch nicht gelöscht oder jedenfalls in ihrem Zugriff beschränkt wurden und daher von anderen Mitarbeitern der Personalabteilung eingesehen werden? Wie ist der Fall zu beurteilen, wenn die Profildaten eines Versicherungskunden unbefugt verändert werden, ohne dass sich dies zunächst auf den aktuellen Versicherungsschutz auswirkt? Das Bayerische Landesamt für Datenschutzaufsicht geht davon aus, dass es zu einer Abstimmung der Aufsichtsbehörden kommen wird, in welchen Fällen von einem relevanten Risiko für die Rechte und Freiheiten der Betroffenen auszugehen ist. 21 In diesem Sinne sieht Art. 70 Abs. 1 g) DSGVO vor, dass der Europäische Datenschutzausschuss 22 zum Zwecke der einheitlichen Anwendung der Verordnung Leitlinien, Empfehlungen und bewährte Verfahren betreffend die Feststellung von Verletzungen des Schutzes personenbezogener Daten, die Festlegung der Unverzüglichkeit sowie den spezifischen Umständen, unter denen der Verantwortliche oder der Auftragsverarbeiter die Verletzung zu melden hat, bereitstellt. Während die Information der Aufsichtsbehörde nach 42a BDSG unverzüglich zu erfolgen hat, hat die Meldung nach Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden zu erfolgen. Die 72 Stunden werden künftig zum Maßstab für die Frage der Unverzüglichkeit. Überschreitungen dieser Frist sind zu begründen, Art. 33 Abs. 1 S. 2 DSGVO. Nach den Erwägungsgründen der DSGVO sind für die Feststellung, ob die Meldung unverzüglich erfolgt ist, Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person zu berücksichtigen. 23 Im Rahmen seiner Meldung an die Aufsichtsbehörde hat der Verantwortliche die folgenden Angaben zu machen: 24 a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; d) eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Ist es ihm nicht möglich, all diese Angaben innerhalb der 72-Stunden- Frist, oder auch danach (unverzüglich) zu machen, kann er der Behörde die Informationen auch schrittweise zur Verfügung stellen, Art. 33 Abs. 4 DSGVO. Er hat allerdings darauf zu achten, dass keine von ihm 19 Verantwortlicher gem. Art. 4 Nr. 7 Hs. 1 DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Person des Verantwortlichen ist das Pendant der Verantwortlichen Stelle nach 3 Abs. 7 BDSG: jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. 20 Art. 33 Abs. 2 DSGVO. In diesem Sinne ist der Auftragsverarbeiter gem. Art. 28 Abs. 3 S. 2 f) DSGVO vertraglich darauf zu verpflichten, den Verantwortlichen bei der Einhaltung seiner Datensicherheitspflichten zu unterstützen, indem er diesem die erforderlichen Informationen zur Verfügung stellt. 21 Bayerisches Landesamt für Datenschutzaufsicht, EU-Datenschutz-Grundverordnung (DS-GVO), Das BayLDA auf dem Weg zur Umsetzung der Verordnung, Teil VIII, Der Umgang mit Datenpannen Art. 33 und 34 DS-GVO, Stand: , S Der Europäische Datenschutzausschuss wird gem. Art. 68 DSGVO als Einrichtung der Union mit eigener Rechtspersönlichkeit gegründet und besteht aus Mitgliedern der nationalen Datenschutzaufsichtsbehörden sowie dem Europäischen Datenschutzbeauftragten. 23 Vgl. Erwägungsgrund 87 zur DSGVO. 24 Art. 33 Abs. 3 DSGVO.

4 Scheben/Geschonneck, Reaktion auf Datenschutzverstöße in rechtlicher BEITRÄGE RISIKOANALYSE UND -IDENTIFIKATION 57 verschuldete Verzögerung 25 bei dieser schrittweisen Bereitstellung eintritt. Die engen Vorgaben, die der Verordnungsgeber dem Verantwortlichen in Bezug auf Zeitpunkt und Inhalt der Meldung sowie die erforderlichenfalls nachzuliefernden Informationen an die Aufsichtsbehörde macht, sind bei der internen Organisation des Krisen manage ments zu berücksichtigen. Zu der Meldung an die Aufsichtsbehörde treten korrespondierende Dokumentationsvorschriften. Auch diese sind in das Krisenmanagement einzubeziehen. Der Verantwortliche hat die konkrete Verletzung des Schutzes personenbezogener Daten einschließlich aller damit zusammenhängenden Fakten, Auswirkungen und ergriffenen Abwehrmaßnahmen zu dokumentieren. Damit wird das Ziel verfolgt, der Aufsichtsbehörde die Überprüfung des Vorgangs zu ermöglichen. Zu beachten ist, dass nach den Erwägungsgründen der Verordnung insbesondere erwartet wird, dass im Rahmen der Meldung hinreichend berücksichtigt wird, ob bspw. personenbezogene Daten durch geeignete technische Sicherheitsvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Identitätsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. 26 D. h. anhand des konkreten Vorfalls wird die Behörde auch eine Aussage zur generellen Qualität der Sicherheit der Verarbeitung nach Art. 32 DSGVO ableiten wollen und können. 2. Die Regelung des Art. 34 DSGVO Sofern die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für den Betroffenen birgt, hat der Verantwortliche diesen zusätzlich unverzüglich zu benachrichtigen, Art. 34 Abs. 1 DSGVO. Zu beachten ist, dass die Pflicht zur Benachrichtigung des Betroffenen eine andere Risikoqualität voraussetzt, als die Meldung an die Aufsichtsbehörde. Der Betroffene ist nur zu benachrichtigen, wenn ein hohes Risiko in Rede steht. Maßgeblich ist also wiederum die Prognose. Schadensausmaß und Eintrittswahrscheinlichkeit sind abermals zu analysieren. Je höher eines der beiden Kriterien zu bewerten ist, desto eher ist von einem hohen Risiko zu sprechen. Für das Krisenmanagement bedeutet dies, Abwägungskriterien zu erarbeiten, um die Meldeschwelle gegenüber der Aufsichtsbehörde sowie die Benachrichtigungsschwelle gegenüber dem Betroffenen zu definieren. Zu berücksichtigen ist zudem, dass die 72-Stunden-Frist des Art. 33 DSGVO im Rahmen der Benachrichtigungspflicht gegenüber dem Betroffenen keine Anwendung findet. Einziges zeitliches Kriterium ist hier die Unverzüglichkeit. Diese dürfte ebenso zu interpretieren sein, wie es im Rahmen des 42a BDSG der Fall ist. Eine besondere kürzere Frist, als die des Art. 33 DSGVO, dürfte jedenfalls nicht intendiert sein, da der Art. 34 DSGVO insgesamt höhere Anforderungen an das Erreichen der Benachrichtigungsschwelle stellt. 27 Inhaltich hat die Benachrichtigung des Betroffenen in einfacher und klarer Sprache die Art der Verletzung zu beschreiben und hat ansonsten die Informationen gem. Art. 33 Abs. 3 b) bis d) DSGVO (Namen und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, Beschreibung der wahrscheinlichen Folgen der Verletzung, Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen) zu enthalten. 28 Der Verantwortliche kann unter bestimmten Umständen ganz von einer Benachrichtigung absehen. 29 Dies ist zum einen der Fall, wenn er bezogen auf die besagten Daten im Vorfeld besondere technische und organisatorische Maßnahmen angewendet hat, die insbesondere den unberechtigten Zugang zu diesen Daten verhindern. Der Verordnungsgeber nennt hier die Verschlüsselung als Beispiel. Zum anderen entfällt die Benachrichtigungspflicht, wenn der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Betroffenen aller Wahrscheinlichkeit nach nicht mehr besteht. Welche Maßnahmen dies sein können, beschreibt die DSGVO nicht. Es ist davon auszugehen, dass hier noch eine Klärung unter den Aufsichtsbehörden erfolgen wird. 30 Ist die individuelle Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden, kann stattdessen eine öffentliche Bekanntmachung oder ähnlich wirksame Informationsmaßnahme erfolgen. Die DSGVO nennt auch hier kein Beispiel. Eine Anlehnung an das Vorgehen nach 42a BDSG dürfte möglich sein. Gem. Art. 34 Abs. 4 DSGVO kann die Aufsichtsbehörde dem Verantwortlichen aufgeben, die Betroffenen im Falle eines wahrscheinlich hohen Risikos zu benachrichtigen, sofern er dies nicht bereits getan hat. Andererseits kann sie durch Beschluss feststellen, dass die Benachrichtigung unterbleiben kann oder eine sonstige Voraussetzung des Art. 34 Abs. 3 erfüllt ist. Überdies können die nationalen Gesetzgeber die Vorgaben der Benachrichtigung der Betroffenen zu bestimmten Zwecken beschränken, wobei allerdings der Wesensgehalt der durch die DSGVO geschützten Grundrechte und Grundfreiheiten zu achten ist und die nationale gesetzgeberische Maßnahme verhältnismäßig sein muss Folgen Kommt es zu einem Verstoß gegen die Pflichten aus Art. 33 oder 34 DSGVO, sind diese mit Geldbußen von bis zu 10 Mio. Euro oder im Fall eines Unternehmens mit bis zu 2 Prozent des gesamten weltweit erzielten Umsatzes des Vorjahres bewehrt. Außerdem kann ein solcher Verstoß zum Anknüpfungspunkt eines Schadensersatzanspruchs des Betroffenen gem. Art. 82 Abs. 1 DSGVO sowie für weitergehende Maßnahmen der Aufsichtsbehörde nach Art. 58 DSGVO werden. III. Umgang mit Datenverlusten in der Praxis Da der Verlust von Daten auch personenbezogenen und anderen sensiblen Daten in jeder Organisation vorkommen kann, ist es sinnvoll, entsprechende Erkennungs- und Reaktionsprozesse zu etablieren. Die Vergangenheit hat gezeigt, dass auch Organisationen betroffen sein können, die über signifikante Budgets und Fähigkeiten zur Abwehr von Datenverlusten verfügen. Die Herausforderung auch bei diesen Unternehmen und Behörden lag v. a. darin, den Datenverlust 25 Art. 33 Abs. 4 spricht konkret davon, dass keine unangemessene weitere Verzögerung eintreten darf. 26 Vgl. Erwägungsgrund 88 zur DSGVO. 27 Z. B. das Anknüpfen an ein hohes Risiko oder den Umstand, dass die Benachrichtigung des Betroffenen unter den Voraussetzungen des Art. 34 Abs. 4 DSGVO auch entbehrlich sein kann. 28 Art. 34 Abs. 2 DSGVO. 29 Art. 34 Abs. 3 DSGVO. 30 Bayerisches Landesamt für Datenschutzaufsicht, EU-Datenschutz-Grundverordnung (DS-GVO), Das BayLDA auf dem Weg zur Umsetzung der Verordnung, Teil VIII, Der Umgang mit Datenpannen Art. 33 und 34 DS-GVO, Stand: , S Art. 23 Abs. 1 DSGVO. Dies kann z. B. der Fall sein zur Wahrung der nationalen Sicherheit, der öffentlichen Sicherheit oder des Schutzes wichtiger Ziele des allgemeinen öffentlichen Interesses.

5 58 BEITRÄGE RISIKOANALYSE UND -IDENTIFIKATION Scheben/Geschonneck, Reaktion auf Datenschutzverstöße in rechtlicher zu erkennen und dann angemessen reagieren zu können. Das Tückische bei Datenverlusten ist, dass sich im Gegensatz zu klassischen wirtschaftskriminellen Handlungen, der Schaden nicht bereits während oder kurz nach dem Verlust bemerkbar macht. Häufig erfolgt dies erst dann, wenn die Daten missbraucht werden oder eine Aufsichtsbehörde eine Untersuchung einleitet. Hinzu kommt, dass der verursachte Reputationsschaden oft erst mit dem Bekanntwerden des Missbrauchs oder der aufsichtsbehördlichen Sanktionierung einhergeht. So wurden in den letzten Monaten zwei Angriffe auf einen Internetdienstleister bekannt und in der Öffentlichkeit diskutiert, da das entsprechendes Datendiebesgut erst jetzt aufgetaucht war. Der eigentliche Diebstahl fand aber in den Jahren 2013 und 2014 statt. 32 Idealerweise lässt sich eine angemessene Reaktion auf Datenverluste aus einem Incident Management Prozess herleiten, der auch eine Schnittstelle zu einer Meldeorganisation beinhaltet. Es sei an dieser Stelle angemerkt, dass sich auch aus anderen nationalen und internationalen bzw. branchenspezifischen Rechtsnormen Notifikationspflichten bei Datenverlusten oder dafür möglicherweise ursächlichen IT-Sicherheitsvorfällen ergeben, auf die die Autoren an dieser Stelle nicht weiter eingehen. Allerdings zeigen sich immer wieder deckungsgleiche Elemente, die es sinnvoll erscheinen lassen, die Meldeorganisation entsprechend so aufzubauen, dass den Notifikationspflichten aus unterschiedlichen Anforderungen heraus Genüge getan werden kann. Es gibt zahlreiche Standards und Stellen, die sich mit den wesentlichen Schritten eines Incident Management Prozesses beschäftigen, z. B. ISO, NIST, SANS, das deutsche BSI. Allen gemein sind wesentliche Schlüsselelemente, um mit Sicherheitsvorfällen (wie z. B. Datenschutzverletzungen) effizient umzugehen. Der aus Sicht der Autoren wesentliche Aspekt ist die Vorbereitung auf einen Datenverlust. Dies beinhaltet auch, sich darüber bewusst zu werden, dass man einen solchen Verlust erleiden kann. Die Praxis zeigt, dass es jeden treffen kann und mit hoher Wahrscheinlichkeit auch treffen wird. Mit dieser Gewissheit lässt sich blindes Vertrauen allein in Abwehrmaßnahmen schnell überwinden und die geeigneten Rollen, Prozesse und Dokumentationen können eingerichtet werden. Dazu gehört u. a. eine Regelung für eine Klassifikation von Sicherheitsvorfällen und Datenverlusten eine im Kontext dieses Artikels wichtige Frage lautet: muss ich einen Verlust dieser Daten grundsätzlich melden? Hier stoßen die Unternehmen an ihre erste Hürde, nämlich die Datenklassifikation. Eine weitere wichtige Frage stellt sich im Zusammenhang mit der Verantwortlichkeit innerhalb einer Organisation. Entscheidend ist, dass eine Synchronisation der verschiedenen Stakeholder vorgenommen wird: Compliance-Abteilung, Informationssicherheit, IT-Abteilung, Rechtsabteilung, Innenrevision. Eine dieser Abteilungen muss die Verantwortung für den Prozess innehaben und aufgeklärt über die Notifikation entscheiden. Bei der Zuteilung von Rollen und Verantwortlichkeiten spielen Alarmierung und Eskalation ebenfalls eine wesentliche Rolle. Das Schreckensszenario ist: die IT-Abteilung versucht seit Tagen, ein Problem zu erkennen und zu lösen und erkennt nicht, dass gerade personenbezogene Daten kompromittiert werden, während die Datenschutzorganisation davon erst später durch Kundenbeschwerden oder Pressemeldungen erfährt. Last but not least gehört ein angemessenes Übungskonzept zu einer jeden guten Prävention. Denn nur mit Übung und Trainings kann man im Ernstfall angemessen reagieren und auch Schwachstellen in Prozessen und Verfahren aufdecken. Die Natur der Datenverarbeitung bringt es mit sich, dass ein Datenschutzverstoß lautlos geschieht und nicht sofort erkennbar ist im schlimmsten Fall erst, wenn diese Daten missbraucht werden. Aus diesem Grund ist die Erkennung und Aufdeckung von Datenschutzverstößen eine ständige Herausforderung in einem Incident Management Prozess. Sind Datenschutzverstoß oder Sicherheitsvorfall erkannt, fallen viele Aufgaben parallel an: Eindämmung der Ausweitung des Vorfalls, Feststellung des Schadens, Sammeln der Spuren für die Aufklärung, Kommunikation an Mitarbeiter und Geschäftspartner sowie Information der Behörden und Betroffenen. Über all diese Schritte muss entschieden werden sie bauen aber zugleich aufeinander auf. Wenn Ursache und Betroffenheit strukturiert aufbereitet gemeldet werden sollen, muss dies auch strukturiert ermittelt und dokumentiert werden. Wichtig ist darüber hinaus, dass man später nachweisen kann, dass es im Rahmen des Incident Managements keine Hinweise auf meldepflichtige Datenschutzverstöße gab. Zu beachten ist dabei, dass es durch die Aufdeckungs- und Aufklärungsmaßnahmen nicht zu weiteren Datenschutzverstößen kommt, die eventuell schwerwiegender sind als der ursprüngliche Vorfall. Vieles lässt sich sicherlich im Lichte der Gefahrenabwehr und Schadenseindämmung diskutieren ohne eine abgewogene Entscheidung und Dokumentation ist dieser Nachweis aber im Nachhinein oft nicht möglich. Nachdem die betroffenen Systeme, Prozesse und Verfahren wieder angelaufen sind, ist es wichtig, mit Hilfe der Dokumentation baldige Follow Up-Maßnahmen zu ergreifen und aus den Erfahrungen zu lernen. Allein aus diesem Grund ist eine strukturierte Ermittlung in den meisten Fällen sinnvoll. Diese liefert häufig auch Antworten auf die Frage, ob man seinen Meldepflichten überhaupt nachkommen kann. AUTOREN Barbara Scheben ist Rechtsanwältin und leitet als Partner der KPMG AG Wirtschaftsprüfungsgesellschaft das Frankfurter Forensic Office. Ihre Tätigkeitsschwerpunkte liegen in der Durchführung forensischer Sonderuntersuchungen sowie der Beratung zu Prävention, Aufdeckung und Aufklärung von Wirtschaftskriminalität sowie datenschutzrechtlichen Themen. Alexander Geschonneck leitet als Partner der KPMG AG Wirtschaftsprüfungsgesellschaft das deutsche Forensic Team. Zu seinen Aufgaben gehört neben der Durchführung von forensischen Sonderuntersuchungen die Aufdeckung und Aufklärung von Cybercrime-Vorfällen. 32 Abrufbar unter (Abruf: ).