Bei Datenschutzpannen gilt es eine aktive und umfassende Zusammenarbeit mit der Aufsichtsbehörde zu suchen um die Schäden hierbei besser einzugrenzen aber auch die Betroffenen fachgerecht zu informieren. In der EU-Datenschutzrundverordnung sind wiederum neue Anforderungen an die Meldung von Datenpannen verankert. Diese hat das BayLDA in einem neuen kurzen Papier zusammengefasst.
AKTUELLE SITUATION
Aktuell sieht die Situation laut § 42a BDSG noch so aus, dass zwei Voraussetzungen erfüllt sein müssen, damit eine Datenpanne meldepflichtig ist:
- Die personenbezogenen Daten müssen als sehr sensibel gelten. Dazu zählen z. B. Gesundheitsdaten
- Darüber hinaus muss aber auch noch davon auszugehen sein, dass im konkreten Vorfall ein hohes Risiko für den Betroffenen gegeben ist – dass also schwerwiegende Beeinträchtigungen drohen.
Wie im Whitepaper festgestellt wird: „Diese Voraussetzungen führen heute dazu, dass nur vereinzelt Meldungen an die zuständige Aufsichtsbehörde gemacht werden. Die jährliche Gesamtzahl solcher Meldungen bewegt sich daher meist nur in einem zweistelligen Bereich. Eine sehr große Dunkelziffer bezüglich nicht erkannter und nicht gemeldeter (Hacking-) Vorfälle kann durchaus vermutet werden. „
SITUATION AB 2018
Mit dem Inkrafttreten der EU-DSGVO 2018 ändert sich das. Die neuen, abgestuften Meldepflichten ergeben sich dabei aus den Artikeln 33 und 34:
- Eine Meldung an die Aufsichtsbehörde hat immer zu erfolgen, es sei denn, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt.
- Eine Benachrichtigung der betroffenen Person muss dagegen nur dann erfolgen, wenn ein hohes Risiko für deren Rechte und Freiheiten besteht.
Darüber hinaus ist dann die Information von Betroffenen nicht (mehr) erforderlich wenn geeignete technische und organisatorische Maßnahmen implementiert sind, um Unbefugten den Zugang auf die personenbezogenen Daten unmöglich zu machen – zum Beispiel durch Verschlüsselung. „Auch kann auf eine Benachrichtigung des Betroffenen verzichtet werden, wenn wirksame Maßnahmen zur Schadensbegrenzung ergriffen wurden und diese das hohe Risiko, das zum Zeitpunkt der Datenpanne bestand, eliminiert haben. Wie dieses Szenario in der Praxis ablaufen kann, muss insbesondere von Seiten der Aufsichtsbehörden noch geklärt werden.“
PROBLEMATIK DER MELDUNG
Es wird also deutlich, dass im Grunde genommen jede Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde gemeldet werden muss. Die Einschränkung „…es sei denn, dass sie „voraussichtlich nicht zu einem Risiko“ des Betroffenen führt“ wird wohl in den meisten Vorfällen nicht auszuschließen sein. Aber laut den Aussagen des BayLDA „ist zu erwarten, dass sich die Aufsichtsbehörden hierzu näher abstimmen, damit verständlich wird, nach welchen Kriterien eine Risikobewertung stattfindet und wann konkret eine Meldung erforderlich wird.“
Eines ist aber schon sicher: Die Meldung muss innerhalb von 72 Stunden stattfinden. Eine Überschreitung der Frist ist nur in wenigen begründeten Ausnahmefällen möglich. Gemeldet werden muss dabei:
- Art der Datenpanne
- Kategorien von betroffenen Daten
- Anzahl der Betroffenen
- Anzahl der Datensätze
- Einschätzung der Folgen für die Betroffenen
- Maßnahmen zur Ursachenbeseitigung und Schadensbegrenzung des Betroffenen
Wer meint dies zukünftig auf die leichte Schulter nehmen zu wollen, sollte einen Blick auf das mögliche Bußgeld bei Mißachtung werfen. Hier bewegt man sich im Rahmen von bis zu 10% des weltweiten Vorjahresumsatzes bzw. 10 Mio. Euro – je nachdem welcher Betrag höher ausfällt.
Um dem ab 2018 wohl verstärkten Anstieg von Meldungen organisatorisch vorzubeugen, bereitet das BayLDA bereits einen Online-Service für verantwortliche Stellen zur effizienten Datenpannen-Meldung vor.