Suchen

Melden von Datenschutzverletzungen Nicht Bußgelder, sondern Datenpannen vermeiden

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

In den letzten Wochen wurde viel über das Bußgeld-Konzept der deutschen Aufsichtsbehörden für den Datenschutz berichtet. Das Interesse daran ist hoch, denn man will wissen, was im Fall einer Datenschutz­verletzung drohen kann. Dabei sollte nicht aber vergessen werden, wie sich das Risiko für Bußgelder senken lässt, zum Beispiel durch die richtige Meldung von Datenpannen.

Firma zum Thema

Unternehmen haben es auch beim Eintritt von Datenschutzpannen selbst in der Hand, ob gegen sie ein Bußgeld verhängt wird und wie hoch es ausfällt.
Unternehmen haben es auch beim Eintritt von Datenschutzpannen selbst in der Hand, ob gegen sie ein Bußgeld verhängt wird und wie hoch es ausfällt.
(© sgintas23 - stock.adobe.com)

Die Datenschutz-Grundverordnung (DSGVO / GDPR) hat zweifellos eine hohe Aufmerksamkeit erlangt. Bereits Monate vor Beginn der Anwendbarkeit der DSGVO wurde darüber berichtet und diskutiert, und auch über ein Jahr danach ist GDPR ein Thema für Umfragen, Berichte und Diskussionen.

Die hohe Sichtbarkeit der DSGVO in den Medien ist gut, um die Aufmerksamkeit für den Datenschutz wach zu halten. Ein wesentlicher Grund aber für das hohe Interesse ist nicht immer der Datenschutz an sich, sondern die Sorge, eine Datenschutzverletzung könne zu einem Bußgeld führen.

Davon abgesehen, dass es noch andere Sanktionen durch die Aufsichtsbehörden gibt, sollte man sich eher sorgen, dass es zu einer Datenschutzverletzung kommt und sich dafür interessieren, wie man eine Datenpanne vermeidet. Kommt es zu einer Datenschutzverletzung, sollte man genau wissen, wie man diese richtig meldet. Dann auch die richtige Meldung hat Einfluss auf die mögliche Höhe eines Bußgeldes.

Bußgeld-Konzept der Aufsichtsbehörden

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat vor einigen Wochen ihr Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DSGVO durch Unternehmen vorgelegt, mit entsprechender Resonanz in den Medien.

Mit der Veröffentlichung der vorliegenden Fassung des Konzeptes zur Bemessung von Geldbußen (https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf) soll ein Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts geleistet werden, so die Aufsichtsbehörden.

Das Konzept gestaltet im Wesentlichen die Vorgaben des Artikels 83 der Datenschutz-Grundverordnung aus. Dort findet man auch Aussagen dazu, wie sich die richtige Meldung einer Datenschutzverletzung auf ein Bußgeld auswirken wird:

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall unter anderem gebührend berücksichtigt:

  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat

Wer also besorgt ist wegen der möglichen Bußgelder, sollte genau solche Punkte angehen, was deutlich wichtiger ist, als zu versuchen, die mögliche Höhe eines Bußgeldes zu ermitteln.

Bußgeld bei Meldung einer Datenpanne?

Nun könnte man befürchten, dass die korrekte Meldung einer Datenschutzverletzung genau dazu führt, dass man ein Bußgeld bekommt. Die Furcht vor Bußgeldern würde dann dazu führen, dass man lieber keine Datenpanne meldet anstatt die Datenschutzverletzung richtig zu melden.

Auch hierzu hat bereits eine Aufsichtsbehörde Stellung bezogen. „Es stellt sich natürlich die Frage, ob die Meldung einer Datenschutzverletzung zu einem Bußgeldverfahren führt; also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist nicht der Fall!“, erklärte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit.

Mit der Vorschrift des § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG) wird klargestellt, dass die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder seine Angehörigen nur mit Zustimmung des Meldepflichtigen verwendet werden darf. Gleiches gilt bei der Einleitung eines Strafverfahrens nach § 42 BDSG. Verantwortliche müssen daher bei einer Meldung nicht fürchten, dass auf dieser Grundlage ein Bußgeldverfahren eingeleitet wird.

Allerdings, so die Aufsichtsbehörde: Versäumte oder verspätete Meldungen stellen einen Verstoß dar und können mit Bußgeld geahndet werden. Daher raten die Aufsichtsbehörden dringend, bei Verletzungen des Schutzes personenbezogener Daten eine Meldung zu machen. Sofern von einer Meldung abgesehen wird, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen bestand, ist dies sorgfältig zu dokumentieren und zu begründen.

Wenn hingegen Dritte die Datenpanne melden, dann steht die Frage im Raum, warum die Verantwortlichen diese Panne nicht selbst gemeldet haben. Es lohnt sich also, auch ein weiteres Konzept der Aufsichtsbehörden anzusehen, zur Meldung einer Datenschutzverletzung.

Leitlinien zur Meldung von Datenschutzverletzungen

Die frühere Artikel 29 Datenschutzgruppe als Vorläufer des Europäischen Datenschutzausschusses (EDPB) hatte sich bereits mit der Meldung von Datenschutzverletzungen befasst (Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)). Der EDPB hatte diese Leitlinie übernommen.

Man findet darin viele wichtige Antworten auf Fragen, die sich Unternehmen stellen und die mangels weiterer Informationen dann dazu führen können, dass keine oder eine nicht konforme Meldung durchgeführt wird. So wissen viele Unternehmen nicht, ab wann die bekannte 72-Stunden-Frist läuft, was dazu führen kann, dass eine Meldung zu spät erfolgt, was wiederum zu einem Bußgeld führen könnte.

So verlangt die DSGVO, dass der Verantwortliche eine Datenschutzverletzung unverzüglich und, falls möglich, binnen höchstens 72 Stunden meldet, nachdem ihm die Verletzung bekannt wurde. Hier könnte sich die Frage stellen, wann davon auszugehen ist, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde, so die Aufsichtsbehörden.

Nach Auffassung der Artikel-29-Datenschutzgruppe ist anzunehmen, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde, wenn der Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat.

Die DSGVO sieht jedoch vor, dass die Verantwortlichen alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen treffen, um sofort feststellen zu können, ob eine Datenschutzverletzung aufgetreten ist, und um die Aufsichtsbehörde und die betroffenen Personen umgehend unterrichten zu können. Ferner wird erklärt, dass bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, die Art und Schwere der Datenschutzverletzung sowie deren Folgen und nachteiligen Auswirkungen für die betroffene Person berücksichtigt werden sollten. Daher obliegt es den Verantwortlichen sicherzustellen, dass ihnen etwaige Datenschutzverletzungen rechtzeitig „bekannt“ werden, um angemessene Maßnahmen ergreifen zu können.

Wann genau davon auszugehen ist, dass einem Verantwortlichen eine bestimmte Datenschutzverletzung „bekannt“ wurde, hängt von den konkreten Umständen der Datenschutzverletzung ab. In einigen Fällen dürfte von Anfang an klar sein, dass eine Datenschutzverletzung vorliegt, in anderen hingegen kann womöglich erst nach einer gewissen Zeit festgestellt werden, ob personenbezogene Daten beeinträchtigt wurden.

Der Schwerpunkt sollte jedoch auf sofortigen Maßnahmen zur Untersuchung des Vorfalls liegen, damit festgestellt wird, ob der Schutz personenbezogener Daten tatsächlich verletzt wurde, und um Abhilfemaßnahmen zu ergreifen und die Datenschutzverletzung gegebenenfalls zu melden, falls sich diese bestätigt.

Keine Frage: Diese Erläuterungen der Aufsichtsbehörden sind hilfreich für das weitere Verständnis. Deshalb sollte man auch nicht nur dann Konzepte und Leitlinien der Aufsichtsbehörden besonders wahrnehmen, wenn das Wort „Bußgeld“ auftaucht, sondern grundsätzlich. Es geht immer darum, eine Datenpanne zu vermeiden, also gegen die DSGVO zu verstoßen, und nicht nur um die Vermeidung von Bußgeldern.

(ID:46275184)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research