Meldung von Datenschutzschutzverletzungen in Brandenburg - Hinweise zu den Anforderungen der DS-GVO

Alle Verantwortlichen und Auftragsverarbeiter, die personenbezogene Daten verarbeiten, müssen die gesetzlichen Regeln zur Sicherstellung des Datenschutzes einhalten. Falls es zu einer Verletzung des vorgeschriebenen Schutzes personenbezogener Daten gekommen ist, müssen die verarbeitenden Stellen den Vorfall intern dokumentieren und in vielen Fällen unverzüglich an die Aufsichtsbehörde melden.¹ Gegebenenfalls müssen sie auch diejenigen Personen, die von der Datenschutzverletzung betroffen sind, informieren.²

Eine Verletzung des Schutzes personenbezogener Daten ist gemäß Artikel 4 Nummer 12 DS-GVO „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Als Datenschutzverletzung ist daher die Nichteinhaltung von mindestens einem der drei Grundsätze der Informationssicherheit einzustufen. Mögliche Folgen sind:

• "Vertraulichkeitsverletzung" - wenn es zu einer unbefugten oder versehentlichen Offenlegung von oder einem Zugriff auf personenbezogene Daten kommt.

• "Integritätsverletzung" - wenn es zu einer unbefugten oder versehentlichen Änderung von personenbezogenen Daten kommt.
• "Verfügbarkeitsverletzung" - wenn ein versehentlicher oder unbefugter Verlust des Zugriffs auf oder die Zerstörung von personenbezogenen Daten vorliegt.³

Beispiel

Ein Firmenlaptop mit Kundendaten wird gestohlen. Die Kundendaten befanden sich unverschlüsselt auf dem Laptop, ein Backup ist nicht vorhanden.

In diesem Fall ist es zu einer Vertraulichkeits- und Verfügbarkeitsverletzung gekommen, da unberechtigte Dritte Zugang zu den Kundendaten erhalten können und der berechtigte Verantwortliche die Daten verloren hat. Außerdem kann eine Verletzung der Integrität vorliegen, da eine unbefugte Änderung von personenbezogenen Daten nicht verhindert oder ausgeschlossen werden kann.

Um auf eine Datenschutzverletzung zu reagieren, müssen die Verantwortlichen zunächst in der Lage sein, diese zu erkennen. Es gehört daher zu den notwendigen Vorsorgemaßnahmen eines Verantwortlichen, ein Verfahren zur Erkennung und Behandlung von Datenpannen zu etablieren. Ziel dieser Maßnahmen sollte der Schutz natürlicher Personen und ihrer personenbezogenen Daten sein. In diesem Zusammenhang ist die von der Datenschutz-Grundverordnung vorgeschriebene Meldung an die Aufsichtsbehörde und eine mögliche Information der Betroffenen als Instrument zu sehen, das die Einhaltung der Vorschriften zum Schutz personenbezogener Daten erleichtert und das Risiko nachteiliger Auswirkungen auf die betroffenen Personen abmildert. Eine Nichtbeachtung der Meldepflicht durch den Verantwortlichen stellt eine Ordnungswidrigkeit dar, die durch die Aufsichtsbehörde geahndet werden kann.⁴

Kommt es bei einem Verantwortlichen zu einer Datenschutzverletzung, weist dies grundsätzlich auf Lücken im Sicherheitskonzept hin. Zu den Aufgaben gehört es daher auch, nach aufgetretenen Datenpannen die entsprechenden Lücken in den technischen und organisatorischen Maßnahmen zu identifizieren und zu schließen.⁵

¹ Artikel 33 Datenschutz-Grundverordnung (DS-GVO).

² Artikel 34 Datenschutz-Grundverordnung (DS-GVO).

³ siehe „Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679“, WP250rev.01, zuletzt überarbeitet und angenommen am 6. Februar 2018, https://www.lda.brandenburg.de/sixcms/media.php/9/wp250rev01_de.pdf, Seite 8.

⁴ Artikel 83 Absatz 4 Buchstabe a DS-GVO.

⁵ siehe Guidelines 01/2021 on Examples regarding Data Breach Notification, adopted on 14 January 2021, Version 1.0, https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf

Artikel 33 Absatz 1 DS-GVO sieht Folgendes vor:

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“

Exkurs Risikobewertung

Die Bewertung des mit einer Datenschutzverletzung verbundenen Risikos für die Rechte und Freiheiten von Menschen hat hier ausschließlich den Fokus auf mögliche Folgen, die die entsprechende Schutzverletzung für die betroffenen Personen haben. Bei der Einschätzung des Risikos ist sowohl die generelle Eintrittswahrscheinlichkeit als auch der potenziell daraus folgende Schaden für die Betroffenen zu beurteilen.

Die Meldepflicht bei der Aufsichtsbehörde wird bereits bei einem geringen Risiko ausgelöst. Ist das Risiko nachteiliger Auswirkungen hoch, sind auch die Betroffenen zu benachrichtigen. Ein solches Risiko besteht dann, wenn die Datenschutzverletzung zu einem physischen, materiellen oder immateriellen Schaden für die Personen führen könnte. Beispiele für einen solchen Schaden sind Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste und Rufschädigung. Wenn von der Datenschutzverletzung personenbezogene Daten betroffen sind, aus denen die ethnische Herkunft, die politische Meinung, religiöse oder weltanschauliche Überzeugungen oder die Zugehörigkeit zu einer Gewerkschaft hervorgeht, oder wenn sie genetische Daten, Gesundheitsdaten oder Daten über das Sexualleben, Angaben zu strafrechtlichen Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln betreffen, ist es wahrscheinlich, dass ein solcher Schaden eintritt.¹

Folgende Kriterien sollten mindestens bei der Risikobewertung einbezogen werden:

• Art der Datenschutzverletzung
• Art, Sensibilität und Umfang personenbezogener Daten
• Identifizierbarkeit betroffener Personen
• Schwere der Folgen für die betroffenen Personen
• Zahl der betroffenen Personen

Weitere Aspekte können je nach den konkreten Gegebenheiten und Eigenschaften der Betroffenen bzw. des Verantwortlichen dazukommen. Generell gilt, dass je höher die Eintrittswahrscheinlichkeit und je höher der mögliche Schaden für die betroffene Person ist, desto höher ist das Risiko zu bewerten. Im Zweifel sollten Verantwortliche bzw. Auftragsverarbeiter eher von einem zu hohen als einem zu niedrigen Risiko ausgehen.

¹ siehe „Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679“, WP250rev.01, zuletzt überarbeitet und angenommen am 6. Februar 2018, https://www.lda.brandenburg.de/sixcms/media.php/9/wp250rev01_de.pdf, Seite 27.

Es ist davon auszugehen, dass einem Verantwortlichen ein Sicherheitsvorfall dann bekannt geworden ist, wenn er eine hinreichende Gewissheit darüber erlangt hat, dass ein Vorfall eingetreten ist, z. B. wenn eine Mitarbeiterin das Auftauchen einer Erpressernachricht nach einem Ransomware-Angriff meldet oder der Verlust eines Smartphones mit Kundendaten auffällt.

In anderen Fällen muss der Verantwortliche zunächst eine kurze Untersuchung vornehmen, um mit hinreichender Gewissheit von einer Datenschutzverletzung auszugehen. Dies könnte der Fall sein, wenn sich ein Kunde an den Verantwortlichen wendet und mitteilt, verdächtige E-Mails unter der Identität des Verantwortlichen mit personenbezogenen Daten erhalten zu haben. Nachdem der Verantwortliche aufgrund dieser Meldung festgestellt hat, dass Unbefugte in das Netzwerk eingedrungen sind, ist zu diesem Zeitpunkt vom Bekanntwerden des Vorfalls auszugehen.

Der Verantwortliche muss ab dann unverzüglich und möglichst innerhalb von 72 Stunden eine Meldung der Datenschutzverletzung an die Aufsichtsbehörde abgeben, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Das bedeutet, dass er zuvor die Art und Schwere des Vorfalls und die möglichen Folgen und nachteiligen Auswirkungen auf die Betroffenen einschätzen muss.

Sollte der Verantwortliche die 72-Stunden-Frist überschreiten, so muss er die Verzögerung begründen. Zu beachten ist, dass Nacht-, Wochenend- oder Feiertagszeiten die Frist nicht verlängern können.¹

In vielen Fällen wird der Verantwortliche zur Aufklärung eines Datenschutzvorfalls einen über die 72-Stunden-Frist hinausgehenden Zeitraum benötigen. Er kann dann zur Fristwahrung eine vorläufige Meldung machen und die erforderlichen Informationen schrittweise zur Verfügung stellen.²

Zudem empfiehlt es sich, eine vorsorgliche Meldung zu tätigen, wenn bislang nur eine gewisse Wahrscheinlichkeit für einen Datenschutzvorfall angenommen werden kann, dieser aber noch nicht ausreichend bestätigt ist. Gleiches gilt auch bei Unsicherheiten bezüglich des Risikos für die betroffenen Personen.

Bei mehreren gemeinsam für die Datenverarbeitung Verantwortlichen³ sollte bereits in der Vereinbarung zur gemeinsamen Verantwortlichkeit festgelegt werden, wer welche Verpflichtungen bei eintretenden Datenschutzverletzungen hat. Sollte ein Auftragsverarbeiter⁴ eine Datenschutzverletzung feststellen, so ist er verpflichtet, diese unverzüglich dem Verantwortlichen zu melden.⁵ Die entsprechenden Verpflichtungen des Auftragsverarbeiters sollten in den Auftragsverarbeitungsvertrag aufgenommen werden. Der Verantwortliche hat dann die Artikel-33-Meldung an die Aufsichtsbehörde vorzunehmen.

¹ siehe Verordnung (EWG, Euratom) Nr. 1182/71 des Rates vom 3. Juni 1971 zur Festlegung der Regeln für die Fristen, Daten und Termine“ (Fristen-VO).

²Artikel 33 Absatz 4 DS-GVO.

³Artikel 26 DS-GVO.

⁴Artikel 28 DS-GVO.

⁵Artikel 33 Absatz 2 DS-GVO.

Artikel 33 Absatz 3 DS-GVO sagt dazu Folgendes:

„Die Meldung gemäß Absatz 1 enthält zumindest folgende Informationen:

1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.“

Als Arten von Datenschutzverletzungen kommen z. B. Cyberangriff (Hacking), Befall mit Schadsoftware sowie Diebstahl, Verlust, Fehlversand und Fehlentsorgung personenbezogener Daten in Betracht. Kategorien von Personen können Kundinnen und Kunden, Beschäftigte oder Kinder sein. Unter Kategorien von betroffenen Datensätzen könnten z. B. Gesundheitsdaten, Ausbildungsunterlagen, Sozialdaten, Finanzdaten, Kontonummern und Personaldaten fallen.

Weitere Hinweise hierzu – auch zu möglichen nachteiligen Auswirkungen für die Betroffenen - finden Sie in unserem Formular zur Meldung einer Datenschutzverletzung .¹

Es ist nicht zwingend erforderlich, zu Punkt a) genaue Zahlen mitzuteilen, wenn diese nicht oder noch nicht zu ermitteln sind. Zudem sind, wie oben bereits ausgeführt, eine vorläufige Meldung und die schrittweise Zurverfügungstellung der notwendigen Informationen möglich. Es empfiehlt sich, den internen Datenschutzbeauftragten in den gesamten Prozess der Aufklärung und Meldung der Datenschutzverletzung beratend mit einzubeziehen.

In vielen Fällen wird die Aufsichtsbehörde nach einer Meldung weitere Informationen nachfragen, um den Vorfall, die Auswirkungen und die erforderlichen Maßnahmen vollständig einschätzen zu können.

¹ https://www.lda.brandenburg.de/lda/de/service/formulare-und-musterschreiben/meldung-einer-datenschutzverletzung/

In Artikel 34 Absatz 1 DS-GVO ist Folgendes festgelegt:

„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“

Die Pflicht zur Benachrichtigung tritt daher erst ein, wenn das mögliche Risiko für nachteilige Auswirkungen auf Betroffene hoch ist, während die Meldepflicht bei der Aufsichtsbehörde bereits bei einem geringen Risiko gilt. Wenn klar ist, dass die Betroffenen zu informieren sind, hat dies so schnell wie möglich zu geschehen. Wichtigstes Ziel der Benachrichtigung ist es, dass die betroffenen Personen je nach Art der Datenschutzverletzung und der damit verbundenen Risiken gezielt über Vorkehrungen informiert werden, die sie zu ihrem eigenen Schutz treffen können (z. B. Passwortänderungen, Kontenbeobachtung).

Die Verantwortlichen müssen der betroffenen Person mindestens folgende Informationen¹ mitteilen:

• Beschreibung der Art der Datenschutzverletzung,
• Name und Kontaktdaten des/der Datenschutzbeauftragten oder einer sonstigen Anlaufstelle,
• Beschreibung der möglichen Folgen der Datenschutzverletzung,
• Beschreibung der vom Verantwortlichen ergriffenen Maßnahmen zur Behebung der Datenpanne,
• Beschreibung der Maßnahmen, die der Betroffene zur Abmilderung des Risikos von nachteiligen Auswirkungen ergreifen kann.

Eine Benachrichtigung darf nur unterbleiben, wenn eine der in Artikel 34 Absatz 3 DS-GVO genannten Bedingungen eintritt. Dazu könnten z. B. vom Verantwortlichen eine im Vorfeld der Datenschutzverletzung angewandte Verschlüsselung der personenbezogenen Daten oder nach der Datenschutzverletzung durchgeführte Maßnahmen gehören, die das Risiko der Betroffenen senken (z. B. Fernlöschung von Mobilgeräten). Eine individuelle Benachrichtigung darf auch unterbleiben, soweit dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall muss der Verantwortliche die Betroffenen durch öffentliche Bekanntmachungen oder ähnliche Maßnahmen wirksam informieren. Der Verantwortliche sollte gegenüber der Aufsichtsbehörde nachweisen können, dass mindestens eine der Bedingungen erfüllt ist, falls er deshalb auf eine Benachrichtigung verzichtet. Die Aufsichtsbehörde darf einen Verantwortlichen verpflichten, die betroffenen Personen zu benachrichtigen.²

¹ Artikel 34 Absatz 2 DS-GVO.

² Artikel 34 Absatz 4 DS-GVO.

In allen Fällen ist der Verantwortliche verpflichtet, eine aufgetretene Datenschutzverletzung zu dokumentieren, also auch dann, wenn er kein Risiko für Betroffene sieht und entsprechend keine Meldung an die Aufsichtsbehörde macht.¹ Die Dokumentation muss alle mit dem Vorfall in Zusammenhang stehenden Fakten, möglichen Auswirkungen und die ergriffenen Abhilfemaßnahmen umfassen. Die Aufsichtsbehörde darf die Dokumentation anfordern und muss anhand dessen erkennen können, ob die Vorgaben des Artikels 33 DS-GVO vom Verantwortlichen eingehalten worden sind.

Es ist sinnvoll, den betrieblichen oder behördlichen Datenschutzbeauftragten (DSB) bei Fragen zur Struktur, zur Einrichtung und zur Verwaltung der internen Dokumentation sowie bei jedem Vorfall beratend mit einzubeziehen. Der DSB könnte auch zusätzlich mit der Führung dieser Unterlagen betraut werden.

Die Dokumentation von Datenschutzverletzungen ist Teil der Rechenschaftspflicht² von Verantwortlichen, die sie gegenüber der Aufsichtsbehörde erfüllen müssen.

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA) stellt ein Online-Formular³ zur Meldung von Datenschutzverletzungen auf ihrer Webseite zur Verfügung. Die Formularinhalte werden verschlüsselt an die LDA übertragen.

Link: Formular zur Meldung von Datenschutzverletzungen der LDA Brandenburg.

¹ Artikel 33 Absatz 5 DS-GVO.

² Artikel 5 Absatz 2 DS-GVO.

³ https://www.lda.brandenburg.de/lda/de/service/formulare-und-musterschreiben/meldung-einer-datenschutzverletzung/.

• Online-Formular zur Meldung von Datenschutzverletzungen, https://www.lda.brandenburg.de/lda/de/service/formulare-und-musterschreiben/meldung-einer-datenschutzverletzung/
  
  
• Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679, zuletzt überarbeitet und angenommen am 6. Februar 2018, https://www.lda.brandenburg.de/sixcms/media.php/9/wp250rev01_de.pdf
  
• Guidelines 01/2021 on Examples regarding Data Breach Notification, Adopted on14 January 2021, Version 1.0 https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202101_databreachnotificationexamples_v1_en.pdf

Empfehlungen für eine Methodik zur Bewertung der Schwere von Verletzungen des Schutzes personenbezogener Daten:

• ENISA, Recommendations for a methodology of the assessment of severity of personal data breaches, https://www.enisa.europa.eu/publications/dbn-severity.

Zur Problematik des unverhältnismäßigen Aufwands:

• Artikel 29-Arbeitsgruppe, Leitlinien zur Transparenz gemäß der Verordnung (EG) Nr. 2016/679, zuletzt geändert und angenommen am 11. April 2018 http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48850http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48850

Hilfestellungen für präventive technische und organisatorische Maßnahmen:

• Das Standard-Datenschutzmodell - Eine Methode zur Datenschutzberatung und -prüfung auf der Basis einheitlicher Gewährleistungsziele, Version 2.0b, https://www.lda.brandenburg.de/sixcms/media.php/9/SDM_Methode_V20b.pdf
   

• IT-Grundschutz – Informationssicherheit mit System, Bundesamt für Sicherheit in der Informationstechnik (BSI), https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html