Die Datenschutz-Aufsichtsbehörden registrieren seit Einführung der DSGVO im Mai 2018 einen stark angestiegenen Eingang von Meldungen zu Datenschutzverletzungen nach Artikel 33 DSGVO.
Deutsche Unternehmen melden viel
Auf der BvD-Herbstkonferenz stellte Thomas Kranig, Leiter der bayerischen Datenschutzaufsicht, mit seinem baden-württembergischen Kollegen Stefan Brink eine Umfrage unter zehn Datenschutz-Aufsichtsbehörden vor. Demnach meldeten Unternehmen und Behörden im ersten Halbjahr 2019 ähnlich viele Datenschutzpannen wie im Zeitraum von Ende Mai bis Ende Dezember 2018.
- In Baden-Württemberg hat sich die Zahl der Datenpannen-Meldung seit Mai 2018 verzehnfacht.
- In Bayern stieg die Zahl der Meldungen bis Ende 2018 sogar um das 18-Fache im Vergleich zu 2017. Für 2019 erwartet Thomas Kranig mit 4.200 Meldungen einen Anstieg um das 31-Fache im Vergleich zu 2017.
- In den europäischen Nachbarstaaten meldeten die Unternehmen erheblich weniger Pannen: In Frankreich gingen 2018 gerade einmal 1170 Meldungen ein, in Italien waren es 946. Die Aufsichtsbehörden führen den Unterschied auf einen besseren Wissensstand bei den deutschen Unternehmen zurück.
Thomas Kranig erwartet „ein großes und notwendiges Stück Arbeit, bis wir Aufsichtsbehörden in Europa die Art. 33 und 34 DS-GVO und die Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679 einheitlich verstehen.“ Die Datenschutzkonferenz von Bund und Ländern hat deshalb eine Task Force zu „Meldekriterien nach Art. 33 DS-GVO“ gegründet. Ziel ist, einheitlichere Kriterien für Meldungen zu erarbeiten, diese in Deutschland abzustimmen und dann damit nach Europa zu gehen.
Eine Meldung schließt ein Bußgeld nicht aus
Möglicherweise melden deutsche Unternehmen unter dem Eindruck der regen öffentlichen Diskussion um die DSGVO lieber mehr, in der Annahme, dass sie dann für Pannen nicht haften und einem Bußgeld entgehen können. Meldungen sind allerdings nur bei schweren Datenschutzverletzungen Pflicht. Bei geringfügigen oder zunächst geringfügig erscheinenden Datenpannen genügt es meist, diese intern zu registrieren und dabei zu dokumentieren, warum sie kein Risiko für die Betroffenen darstellen. Damit können Unternehmen später nachweisen, dass sie auf einen bestimmten Vorfall rechtskonform reagiert haben.
Die Behörden entscheiden selbst, ob und wie sie die Meldungen nach Artikel 33 DSGVO weiterbearbeiten. Die Meldungen können durchaus zu Bußgeldern führen, wie der Fall der Kontaktplattform Knuddels zeigt. Hacker hatten 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und veröffentlicht. Als sich die baden-württembergische Aufsicht den Fall näher ansah, stellte sie fest, dass der Betreiber die Passwörter im Klartext gespeichert hatte, um einen Passwortfilter zu verwenden. Damit hatte er „wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten“ nach Artikel 32 DSGVO verstoßen. Aus diesem Grund erhielt er einen Bußgeldbescheid in Höhe von 20.000 Euro sowie die Auflage, angemessene und aktuelle IT-Sicherheitsmaßnahmen umzusetzen.
Zunächst gravierend erscheinende Datenpannen können sich auch als harmlos herausstellen: So berichtete der Bayerische Rundfunk im September 2019 darüber, dass „Millionen Patientendaten ungeschützt im Netz“ lägen. Nach Bekanntwerden wurde die Datenschutzbehörde von einem Rechtsanwalt einer nicht betroffenen Klinik informiert und setzte sich mit der verantwortlichen Einrichtung in Kontakt. Diese schloss die Sicherheitslücke und erstattete ihrerseits Meldung – binnen der gesetzlich vorgeschriebenen Frist von 72 Stunden. Weil die Aufsichtsbehörde bei der forensischen Untersuchung keine Anhaltspunkte für Zugriffe außer durch den Journalisten feststellen konnte, bewertete sie den Vorfall nicht als „hohes Risiko für den Patienten“. Deshalb leitete sie auch kein Ordnungswidrigkeitenverfahren ein.
Meldepflichten nach der DSGVO
- Unternehmen müssen nach Artikel 33 DSGVO „unverzüglich und möglichst binnen 72 Stunden“ die zuständige Datenschutz-Aufsichtsbehörde informieren, sobald ihnen bekannt wurde, dass der Schutz personenbezogener Daten verletzt wurde. Das ist dann der Fall, wenn die Verletzung „zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.
- Unternehmen müssen nach Artikel 34 DSGVO Betroffene „unverzüglich“ informieren. Die Benachrichtigungspflicht entfällt, wenn Unternehmen nach Artikel 32 DSGVO bereits geeignete und erfolgreiche technische Maßnahmen getroffen haben, mit denen das Risiko reduziert werden konnte. Beispielsweise könnten die gehackten personenbezogenen Daten verschlüsselt sein. Das Unternehmen kann dies öffentlich bekannt machen und auf eine persönliche Benachrichtigung der Betroffenen verzichten, wenn sie mit einem unverhältnismäßig hohen Aufwand verbunden wäre.
Geschrieben von Nadine Stimmer