DSGVO: Meldepflichtige Datenpannen

08.07.2022, Redaktion Anwalt-Suchservice
Datenpanne,Datenleck,Cyberangriff,DSGVO Datenlecks und Datenpannen: Welche Folgen drohen Unternehmen? © Bu - Anwalt-Suchservice

Laut Datenschutz-Grundverordnung müssen Unternehmen Datenpannen an die Aufsichtsbehörde melden. Welche Verstöße sind meldepflichtig und welche Folgen hat die Meldung oder Nichtmeldung?

Es ist schnell passiert: Ein USB-Stick mit Kundendaten geht verloren, eine E-Mail geht an falsche Empfänger oder in einer Mail wird ein seltsamer Link angeklickt und ein Virus macht sich auf dem Firmencomputer breit. Was früher höchstens ärgerliche organisatorische Probleme bereitete, kann heute ein meldepflichtiger Datenschutzverstoß sein. Häufig wissen gerade kleinere Unternehmen und Selbstständige nicht, wann sie in welcher Weise zum Handeln verpflichtet sind. Hier einige Hinweise zum Umgang mit einer "Datenpanne".

Welche Meldepflicht besteht bei einem Datenleck nach der DSGVO?


Nach Artikel 33 der Datenschutz-Grundverordnung (DSGVO) ist im Fall einer Verletzung des Schutzes personenbezogener Daten die Aufsichtsbehörde – also die Landesdatenschutzbehörde – zu informieren. Der für die Daten Verantwortliche muss dies unverzüglich tun – am besten innerhalb von 72 Stunden, nachdem ihm die Datenschutz-Verletzung bekannt geworden ist.

Einzige Ausnahme: Wenn die Datenschutz-Verletzung nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, kann die Meldung unterbleiben. Dies kann jedoch schwer zu beurteilen sein. Erfolgt die Meldung an die Aufsichtsbehörde nicht innerhalb von 72 Stunden, muss ihr eine Begründung für die Verzögerung beigefügt werden. Ein anerkannter Grund kann zum Beispiel sein, dass innerhalb kurzer Zeit viele Hackerangriffe stattgefunden haben.

Was ist ein Data-Breach?


So bezeichnet man anglisiert einen Datenschutz-Verstoß im Sinne von § 33 DSGVO. Dazu hat die Hamburger Datenschutzbehörde verschiedene hilfreiche Hinweise veröffentlicht. Danach ist ein solcher Data Breach jede “Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt”.

Hier geht es also nicht um jegliche Verletzung der DSGVO-Regeln, sondern nur um einen Sicherheitsbruch, bei dem

- Daten unrechtmäßig Dritten offenbart wurden oder
- Daten infolge einer Sicherheitsverletzung gelöscht oder zeitweise unzugänglich gemacht wurden.

Dabei muss es sich um personenbezogene Daten handeln, wie etwa Kundenanschriften, E-Mail-Adressen oder IP-Adressen. Auch letztere werden datenschutzrechtlich als personenbezogene Daten angesehen.

Was bedeutet "unrechtmäßig offenbart"?


Eine "unrechtmäßige Offenbarung" von persönlichen Daten liegt vor, wenn Personen, die dies nichts angeht, irgendwie Zugang zu diesen Daten bekommen. Dies kann zum Beispiel der Fall sein, wenn eine E-Mail versehentlich an den falschen Empfänger geht oder wenn in eine Massen-E-Mail die Adressen per cc und nicht per bcc eingefügt werden, sodass sie jeder sehen kann. Oder auch dann, wenn ungeschredderte Patientenakten draußen vor dem Krankenhaus in der offenen Papiermülltonne liegen.

Was bedeutet "gelöscht oder zeitweise unzugänglich gemacht"?


Ein solcher Fall kann vorliegen, wenn Daten gelöscht werden oder für eine längere Zeitdauer nicht zugänglich sind. Der Grund kann zum Beispiel ein Stromausfall sein, aber auch eine Denial of Service-Attacke von außen, bei der das System durch massenhafte automatische Online-Anfragen überlastet wird. Häufig führen solche Angriffe zur Nichterreichbarkeit von Internetangeboten. Es gibt durchaus Hacker, die so etwas gegen Bezahlung anbieten, um einem Konkurrenzunternehmen zu schaden.
Geplante Abschaltungen des Systems etwa zu Wartungszwecken fallen nicht unter diesen Punkt, da es sich dabei um einen kontrollierten Vorgang handelt.

Um welches Risiko für die Inhaber der Daten geht es?


Eine meldepflichtige Datenpanne setzt außerdem voraus, dass die Datenschutz-Verletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen geführt hat. Wie hoch dieses Risiko ist, spielt zunächst bei der Meldepflicht selbst keine Rolle. Wichtig wird es jedoch bei einer weiteren Pflicht: Pannen mit einem hohen Risiko für Schäden müssen nämlich nicht nur der Behörde, sondern nach Art. 34 DSGVO auch den Betroffenen selbst, also den Kunden, gemeldet werden.

Bei der Einschätzung, wie hoch das Risiko ist, ist zum Beispiel die Schwere der Panne zu berücksichtigen und die Wahrscheinlichkeit, dass ein Schaden eintritt.
Eine Faustregel lautet: Je höher der mögliche Schaden, desto geringer muss die Wahrscheinlichkeit für seinen Eintritt sein.

Wichtig ist auch die Art der Panne. Ein zufälliger Datenverlust gilt als weniger schwerwiegend als ein unautorisierter Zugriff. Entscheidend sind auch Art und Umfang der Daten und, ob Unbefugte leicht eine Verbindung zwischen den Daten und echten Personen herstellen können.

Mögliche Schäden können zum Beispiel sein:
- Diskriminierung,
- Identitätsdiebstahl und Online-Betrug,
- finanzielle Verluste,
- Aufhebung der Pseudonymisierung,
- Rufschädigung,
- Verletzung von Berufs- oder Geschäftsgeheimnissen.

Beispiel: Wenn es als wahrscheinlich erscheint, dass Unbefugte durch eine Datenpanne an Postanschriften oder Onlineshop-Zugangsdaten von Kunden gekommen sind, müssen diese Kunden informiert werden. Solche Daten können ohne weiteres von Kriminellen genutzt werden, um auf fremde Rechnung Waren zu bestellen – heute ein vollkommen alltäglicher Vorgang.

Welche Datenpannen und Datenlecks sind zu melden?


Hier einige von der Hamburger Datenschutzbehörde veröffentlichte Beispiele:

- Gestohlener USB-Stick: Meldepflicht besteht, wenn darauf unverschlüsselte Daten sind. Bei gut verschlüsselten Daten nicht.
- Datenzugriff durch Cyber-Angriff: Meldepflicht besteht, Kunden müssen abhängig von Art der Daten informiert werden.
- Stromausfall von mehreren Minuten, System nicht zugänglich: Keine Meldepflicht, nur intern dokumentieren.
- Ransomware-Angriff (Erpressungs-Trojaner verschlüsselt Kundendaten): Meldepflichtig, Kunden müssen informiert werden (Ausnahme beides: Daten können durch Backup schnell wiederhergestellt werden).
- Kontoauszug wurde an falschen Kunden verschickt: Meldepflicht, Information an Kunden in der Regel nur bei gehäuftem Auftreten.
- Hacker stehlen Namen, Zugangsdaten, Kaufhistorie der Kunden eines Onlineshops: Meldepflicht und Informationspflicht an Kunden.
- Programmierfehler führt dazu, dass Kunden fremde Kundendaten im Onlineportal sehen können: Meldepflicht, wenn Daten tatsächlich abgerufen wurden. Info an Kunden abhängig vom Einzelfall.
- Cyberattacke gegen Krankenhaus, Patientendaten 30 Minuten lang nicht abrufbar: Meldepflichtig, Patienten informieren.
- Schülerdaten werden versehentlich an Mailingliste verschickt: Meldepflichtig, Betroffene sind in der Regel zu informieren.
- Werbe-E-Mail mit lesbarem Mailverteiler (cc statt bcc): Meldepflicht bei größerer Empfängeranzahl oder sensiblem Inhalt, Informationspflicht ebenso.

Was sind die Folgen?


Betroffene können Schadensersatzansprüche gegen ein Unternehmen haben, wenn sie durch Datenpannen und Datenlecks einen Schaden erleiden. Ob und in welcher Höhe die Datenschutzbehörde Bußgelder verhängt, hängt vom Einzelfall ab. Ein Beispiel: Im September 2018 hatten Hacker die Daten von 330.000 Nutzern eines deutschen Sozialen Netzwerkes gestohlen. Die Datenschutzbehörde verhängte ein Bußgeld von 20.000 Euro, da die Passwörter unverschlüsselt gespeichert worden waren. Laut Behörde fiel das Bußgeld nur wegen der sofortigen Meldung und der Kooperation mit der Behörde so gering aus.

Auch das Versenden und Gesundheitsdaten an eine falsche E-Mail-Adresse durch eine Krankenkasse kann einen Schadensersatzanspruch auslösen. Das OLG Düsseldorf gestand einer gesetzlich Versicherten 2.000 Euro zu, nachdem ihre Kasse die Daten unverschlüsselt und ohne Pseudonymisierung an eine falsche E-Mail-Adresse verschickt hatte.

Weitere Fälle finden Sie hier:
DSGVO: Urteile und News zum Datenschutzrecht

Praxistipp zu Datenlecks


Auch bei Meldung einer Datenpanne kann ein nicht unerhebliches Bußgeld folgen. Dieses kann jedoch erheblich höher ausfallen, wenn die Meldepflicht ignoriert wird. Selbstständige und Unternehmer können sich durch einen Fachanwalt für Informationstechnologierecht (IT-Recht) beraten lassen, der auch die Risiken eines Schadenseintritts für Betroffene realistisch abschätzen kann. An diesen wiederum orientieren sich die Pflichten des Unternehmens.

(Bu)


 Stephan Buch
Anwalt-Suchservice
Juristische Redaktion
E-Mail schreiben Juristische Redaktion