Beispiele für Informationspflichten bei Datenpannen

Nach ErwG 85 der DS-GVO kann eine Verletzung des Schutzes personenbezogener Daten  – wenn nicht rechtzeitig und angemessen reagiert wird – einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.

Deshalb soll nach dem Willen des Verordnungsgebers der Verantwortliche, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, unterrichten, es sei denn, der Verantwortliche kann im Einklang mit dem Grundsatz der Rechenschaftspflicht nachweisen, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt.

Betrachtet man die Tätigkeitsberichte der Datenschutz-Aufsichtsbehörden kann wohl angenommen werden, dass sich die „neue Regelung“ des Art. 33 DS-GVO etabliert hat. So berichtet auch der Bayerische Landesbeauftragte für den Datenschutz in seiner Veröffentlichung „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen – Erläuterungen zu Art. 33 und 34 Datenschutz-Grundverordnung„, dass er von bayerischen öffentlichen Stellen nahezu täglich Meldungen nach Art. 33 DS-GVO erhalte und Melde- und die Benachrichtigungspflicht zudem immer wieder Gegenstand von Beratungsanfragen seien.

Zusammen mit dem Orientierungsleitfaden des BayLfD und dem Papier „Data-Breach-Meldungen nach Art. 33 DS-GVO“ des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit haben der Verantwortliche und der Anwender bereits recht umfangreiche Informationsquellen zum Umgang mit der Benachrichtigungspflicht.

Trotz umfangreicher Informationen zur Anwendung des Art. 33 DS-GVO können beim Verantwortlichen Unsicherheiten darüber verbleiben, ob es sich bei einem Datenschutzvorfall tatsächlich um eine meldepflichte Datenschutzverletzung im Sinne des Art. 33 DS-GVO handelt. In diesem Fällen sind Beispielsfälle hilfreich, die hinzugezogen werden können, um sich der Antwort auf diese Fragestellung zu nähern.

Solche Beispielsfälle ließen sich bisher u.a. in dem Arbeitspapier „WP250rev.01 – Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679“ der nicht mehr existierenden sog. Artikel-29-Datenschutzgruppe (nunmehr: Der Europäische Datenschutzausschuss, kurz EDSA“) finden. Da dieses Dokument aus dem Jahre 2018 stammt, hat der EDSA eine Aktualisierung/Ergänzung dieses Dokuments (Guidelines 01/2021 on Examples regarding Data Breach Notification) veröffentlicht.
Darin werden anhand 18 verschiedener Fälle der Anwendungsbereich des Art. 33 DS-GVO veranschaulicht. Die ausgesuchten Fälle reichen von Praxisbeispielen, die sich mit dem Thema des Befalls mit Ransomware (in verschiedenen Konstellationen) bis zum trivialeren Fall einer, an den falschen Empfänger adressierten E-Mail befassen.
Gerade bei „Grenzfällen“ können die Beispiele ggf. eine Hilfe sein, um ein „Gefühl“ dafür zu bekommen, ob es sich beim dem betrachteten Datenschutzvorfall, tatsächlich auch um eine Datenschutzverletzung im Sinne des Gesetzes handelt.

(Foto: egor – stock.adobe.com