Was ist bei einem Datenschutzvorfall zu tun? Melde- und Benachrichtigungspflichten (Orientierungshilfe für öffentliche Stellen)

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Der Bayerische Landesbeauftragte für den Datenschutz veröffentlichte eine Orientierungshilfe für die Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO. Bitte beachten Sie, dass diese Orientierungshilfe für die öffentliche Stellen vorrangig gilt.

Folgende Vorgehensweise wird seitens der Behörde empfohlen:

  • Datenschutzverletzung als Ausgangspunkt
  • Risikobeurteilung
  • Meldepflicht ggü. der Aufsichtsbehörde
  • Benachrichtigung an die Betroffenen
  • Dokumentation des Vorfalls

Datenschutzverletzung als Ausgangspunkt für die Melde- und Benachrichtigungspflicht

Analyse des Verletzungsverhaltens

Hier ist die Angriffsart zu analysieren. Folgende Angriffsarten werden dabei erwähnt:

Nichtbeachtung der Vorgaben des Verantwortlichen

  • Nichtbeachtung kann durch Beschäftigte des Verantwortlichen oder Auftragsverarbeitern erfolgen

Beispiel: Privater USB-Stick wird an den dienstlichen/geschäftlichen Computer angeschlossen. Auf dem USB-Stick ist eine nicht bemerkbare Schadsoftware. Diese infiziert das gesamte Netzwerk. Die Nutzung privater Datenträger am dienstlichen Computer ist allerdings untersagt.

Überwindung technischer Vorkehrungen

  • Diese Überwindung findet meist von externen Angreifern statt
  • Diese sind nicht zugriffsberechtigt

Beispiel: Ein Angreifer schickt unter falschem Namen einen Befundbericht mit Bilddateien an ein Krankenhaus. Die Bilddateien werden geöffnet und die Datenträger durch die Schadsoftware verschlüsselt.

Organisatorisches Fehlverhalten

  • Nur der Verantwortliche kann ein organisatorisches Fehlverhalten versuchen, da er keine Maßnahmen nach Art. 32 DSGVO getroffen hat (z.B. Arbeits- oder Dienstanweisungen)

Beispiel: Bei einem Telefonat gibt die Hilfskraft die bereits mehrfach gewählte Telefaxnummer eines Arztes ein und versendet das Fax mit dem Befundbericht jedoch an den falschen Empfänger. Bei der Prüfung wird festgestellt, dass keine Regelungen zum Versand von Befunden per Telefax vorliegen.

Verletzungserfolg

Was ist das Resultat aus dem Verletzungsverhalten? Es werden drei Möglichkeiten genannt:

Beeinträchtigung der Datenverfügbarkeit

  • Nach einer Vernichtung können nicht mehr auf die Daten zugegriffen werden – Verletzungsverhalten: Löschen oder Überschreiben eines Datenträgers
  • Verlust führt dazu, dass die Daten erhalten bleiben, jedoch der Zugriff nicht mehr vorhanden ist – Verletzungsverhalten: Angriff von Externen
  • Auch bei vorübergehender eingeschränkter Verfügbarkeit kann eine meldepflichtige Datenpanne vorliegen

Beeinträchtigung der Datenintegrität

  • Veränderung der Daten
  • Zugriff auf die Daten bleibt unverändert, jedoch wurden die Daten geändert – Verletzungsverhalten: Austausch, Löschen und Hinzufügen von Daten

Beeinträchtigung der Datenvertraulichkeit

  • Unbefugte Offenlegung und unbefugter Zugang zu den Daten – Verletzungsverhalten: Fehlerhafte Adressierung eines Briefs oder E-Mail oder Ausspionieren von Passwörtern und Schlüsseln
  • Für den Verletzungserfolg ist es nicht erforderlich, dass Dritte von unbefugten offengelegten Kenntnis nehmen. Allein der Nachweis, dass die Möglichkeit besteht, ist ausreichend.

Risikobeurteilung

Unterscheidung in drei Risikostufen:

  • (voraussichtliches) geringes Risiko
  • (voraussichtliches) Risiko
  • (voraussichtlich) hohes Risiko)

Eine Meldung an die Behörde bei Datenschutzverletzungen hat zu erfolgen, wenn ein (voraussichtlich) hohes Risiko für die Betroffenen besteht.

Schritt 1: Gewinnung Beurteilungsgrundlage

  • Erfassung der tatsächlichen Umstände, welche die Beurteilungsgrundlage bilden

Folgende Kriterien können zur Erfassung der tatsächlichen Umstände beitragen:

  • Datenschutzverletzung und Umgebungsbedingung: Handelt es sich wirklich um einen Datenschutzvorfall? Wer hat die Datenschutzverletzung auf welchem Weg bewirkt?
  • Art, Sensibilität und Umfang der betroffenen Daten: Welche Datenkategorien sind betroffen? Handelt es sich um Daten nach Art. 9 DSGVO?
  • Identifizierung der Betroffenen: Können Dritte was mit den Daten über die Betroffenen „anfangen“? Welche Merkmale führen zu der Identität der Betroffenen? Auch bei Pseudonymisierung können personenbezogene Daten noch identifizierbar sein
  • Besondere Eigenschaften des Verantwortlichen: Einbeziehung des Verarbeitungskontextes – welche Absicht und welche möglichen Nachteile können dabei entstehen?
  • Zahl der betroffenen Personen: Wie viele Datensätze von wie vielen natürlichen Personen sind betroffen?

Schritt 2: Risikoanalyse

Es erfolgt eine Zuordnung in:

  • geringes Risiko
  • (normales) Risiko
  • hohes Risiko

Risiko = Eintrittswahrscheinlichkeit x Schwere der Nachteile

Anmerkung der Datenbeschützerin

Hinweise zu einer detaillierten Risikoanalyse werden in der Orientierungshilfe genannt. Auch die DSK hat ein Papier für die Risikoanalyse veröffentlicht. Des Weiteren wird im Blogartikel „Risikoanalyse durchführen – mit Muster / Vorlage und Beispiel“ ebenfalls die Risikoanalyse mit Beispielen und Mustern näher erläutert.

Wann entsteht die Meldepflicht ggü. der Aufsichtsbehörde?

Wenn die Risikobeurteilung als Resultat ein datenschutzrechtliches, wenn nicht sogar hohes Risiko für die Rechte und Freiheiten der betroffenen Person zur Folge hat, ist eine Meldung an die Behörde zu tätigen.

Die Meldepflicht entsteht zu dem Zeitpunkt, zu welchem der Verantwortliche von dem meldepflichtigen Ereignis Kenntnis erlangt hat.

Was ist mit Zeitpunkt gemeint?

  • Es bedeutet nicht, dass ab der 1. Minute die Frist für die Meldung läuft
  • Vielmehr ist der Zeitpunkt gemeint, indem bemerkt wird, dass was „schief gelaufen ist“
  • Verantwortlicher benötigt erst einmal Zeit, um den Sachverhalt aufzuklären (Analyse Verletzungsverhalten / Verletzungserfolg)

Während dieser Aufklärungsphase besteht keine Meldepflicht. ACHTUNG: Die max. Frist für die Aufklärung wird auf 24 Stunden beschränkt.

Wie erfüllt man die Meldepflicht?

Die Meldung hat unverzüglich zu erfolgen (Art. 33 Abs. 1 Satz 1 DSGVO).

Wie wird die 72-Stunden-Frist berechnet?

  • Fristberechnung richtet sich nach europäischer Fristen-VO (Art. 2 ff.) , da die DSGVO eine europäische Verordnung ist – d.h. BGB ist nicht anwendbar

Fristbeginn (Art. 3 Abs. 1 Fristen-VO)

Beispiel: Wird das meldepflichtige Ereignis um 16:20 Uhr entdeckt, so beginnt die Frist um 17:00 Uhr zu laufen, da die Stunde, indem das Ereignis entdeckt wird, nicht mitgezählt wird

Fristende (Art. 3 Abs. 2 Fristen-VO)

Die 72-Stunden-Frist läuft auch an einem Feiertag, Sonntag oder Samstag weiter und kann auch nicht durch andere Rechtsvorschriften in die Länge gezogen werden.

Ablauf Fristenberechnung

Die Orientierungshilfe veranschaulicht den Ablauf der Fristenberechnung in einer Tabelle:

Quelle: Meldepflicht und Benachrichtungspflicht des Verantwortlichen - Orientierungshilfe; Herausgeber: Der Bayerische Landesbeauftragte für den Datenschutz; Version 1.0; Stand: 01. Juni 2019; RN 83, Seite 39
Fristenberechnung_Meldepflicht; Quelle: Meldepflicht und Benachrichtigungspflicht des Verantwortlichen – Orientierungshilfe; Herausgeber: Der Bayerische Landesbeauftragte für den Datenschutz; Version 1.0; Stand: 01. Juni 2019; RN 83, Seite 39

Hinweis der Datenbeschützerin

Wie Eingangs erwähnt, richtet sich die Orientierungshilfe an öffentliche Stellen.

Die Frist für nicht-öffentliche Stellen, die dem BayLDA (Bayerisches Landesamt für Datenschutzaufsicht) unterliegen, wird folgendermaßen berechnet:

Wir zählen die 72 Stunden ab 0:00 Uhr des Folgetages, an dem die Datenschutzverletzung im Unternehmen festgestellt wurde. Dies bedeutet bspw., dass bei einer Verletzung, die am Donnerstag um 16:00 Uhr festgestellt wird, die 72-Stunden-Frist am Sonntag um 23:59 Uhr abläuft. Bei der Festlegung der 72 Stunden werden auch Wochenenden/Feiertage mitgezählt und nicht nur Arbeitstage beachtet.

https://www.lda.bayern.de/de/faq.html

Bitte unterscheiden Sie, ob es sich um eine öffentliche Stelle oder nicht-öffentliche Stelle handelt. Danach richtet sich die Fristberechnung.

Was muss in der Meldung mitgeteilt werden?

Der Umfang der Meldung richtet sich nach Art. 33 Abs. 3 DSGVO:

  • Beschreibung der Art der Verletzung
  • Angabe der betroffenen Kategorien
  • ungefähre Zahl der Betroffenen
  • Name und Kontaktdaten des DSB
  • Beschreibung der wahrscheinlichen Folgen
  • Beschreibung der ergriffenen Maßnahmen zur Behebung der Verletzung und ggf. zukünftige Maßnahmen zur Abmilderung

Wann entsteht die Meldepflicht ggü. den Betroffenen?

Nur, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person besteht, hat eine Meldung an die Betroffenen zu erfolgen.

Eine Meldung an die Betroffenen hat jedoch nicht zu erfolgen, wenn

  • eine vorsorgliche Risikoabschirmung getroffen wurde,
  • eine nachträgliche Risikominimierung erfolgt ist,
  • der Aufwand der unverhältnismäßig hoch ist oder
  • der Schutz bestimmter rechtlicher geschützter Belange erforderlich ist.

Wie wird die Meldepflicht an die Betroffenen erfüllt?

  • Meldungen sind grds. direkt an Betroffene zu richten
  • Übermittlungsweg kann Verantwortlicher selbst wählen (z.B. E-Mail oder Brief)
  • Benachrichtigung ist kurz und verständlich abzufassen, so dass Betroffener die Nachteile erkennen kann

Gibt es Ausnahmen von der Benachrichtigungspflicht?

Ja, folgende Kriterien können zu einem Ausschuss der Benachrichtigungspflicht führen:

  • vorsorgliche Risikoabschirmung – wenn geeignete TOMs nach dem Datenschutzvorfall angewandt wurden und somit kein hohes Risiko mehr besteht
  • nachträgliche Risikominimierung – zu Beginn des Datenschutzvorfalls wurde ein hohes Risiko festgestellt, welches jedoch jetzt nicht mehr besteht und das Risiko noch keinen Schaden verursachte
  • unverhältnismäßiger Aufwand – die Benachrichtigung an den Betroffenen wäre mit sehr hohem Aufwand verbunden (einfacher Mehraufwand oder Kostenaufwand können nicht als Grund angegeben werden)

Sind die Vorfälle zu dokumentieren?

Ja, Vorfälle, ganz gleich ob meldepflichtig oder nicht, sind zu dokumentieren.

Dokumentation bei meldepflichtigen Vorfällen

Die beiden bayerischen Aufsichtsbehörden bieten zwei Meldeformulare an: für öffentliche Stellen und private Stellen. In der Orientierungshilfe wird das Online-Meldeformular des Landesdatenschutzbeauftragten genauer erläutert.

Anmerkung der Datenbeschützerin

Beim Aufbau des Datenschutzmanagements ist unerlässlich, die Prozesse rund um einen Datenschutzvorfall genau definieren und abzustimmen.

Mitarbeiter, die mit Verarbeitungsanlagen arbeiten (z.B. PC) sollten auf die Risiken der Verarbeitung sensibilisiert werden. Auch wer bei einem Vorfall zu benachrichtigen ist, ist den Mitarbeiter z.B. im Rahmen einer Mitarbeiterschulung näher zu bringen. Weiterhin sind die Vorfälle so zu dokumentieren, dass sich Abhilfemaßnahmen ableiten lassen.

Orientierungshilfe Melde- und Benachrichtigungspflicht

Quelle

Der Bayerische Landesbeauftragte für den Datenschutz: https://www.datenschutz-bayern.de/datenschutzreform2018/

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.