IT-Leitfaden zur Meldepflicht laut EU - DSGVO

29.12.2017

Die Datenschutz-Grundverordnung (DSGVO) soll in wenigen Monaten – genau am 25. Mai 2018 – in Kraft treten.

Das Dokument ist zwar eine großartige Lektüre für erfahrene auf Datenschutz spezialisierte Rechtsanwälte, es wäre aber besser, wenn wir in der IT-Welt etwas praxisorientierte Erklärungen für einige Passagen, deren Auslegung etwas schwieriger ist, hätten – z. B. zur Meldung von Datenschutzverletzungen, die in den Artikeln 33 und 34 beschrieben wird.

Die Auflage der DSGVO, Datenschutzverletzungen innerhalb von 72 Stunden zu melden, gibt es in der aktuellen EU-Richtlinie nicht, die seit Mitte der 1990er Jahre gilt. Für viele Unternehmen bedeutet dieses enge Zeitfenster für die Meldung, dass ihre IT-Abteilungen ihre Kompetenzen aufpolieren müssen.

Mit der Unterstützung einiger Rechtsexperten — vielen Dank an Sue Foster und Brett Cohen — habe ich auch etwas über die Formulierungen in den Meldevorschriften der DSGVO nachgedacht. Die entscheidende Frage, die nicht völlig klar beantwortet wird, betrifft die Schwelle, bei deren Überschreiten im echten Leben eine Meldung gemacht werden muss.

Ist ein Ransomware-Angriff bespielsweise ein Ereignis, das der Aufsichtsbehörde gemeldet werden muss? Und was gilt für E-Mail-Adressen oder Online-Namen, auf die Hacker Zugriff hatten?

Antworten auf diese Fragen finden Sie im folgenden Text.

Verletzungen des Schutzes personenbezogener Daten vs. meldepflichtiger Verstoß

Die Aufsichtsbehörden haben uns endlich verständliche Anleitungen geliefert. Im letzten Monat haben die EU-Behörden einige Antworten zur Ausräumung von Unklarheiten veröffentlicht. Herausgekommen ist ein 30-seitiges Dokument mit Leitlinien für die Meldung bei Datenschutzverletzungen – mit einigen Tabellen und Ablaufdiagrammen.

Erinnern wir uns: Laut DSGVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die „unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Das ist eine Standardformulierung, die in ähnlicher Form in fast jedem Datenschutzgesetz zu finden ist – zunächst wird eine Datenschutzverletzung oder ein anderer Cybersicherheitsverstoß definiert. Um derartige Vorfälle zu verhindern, sollten Sie Schutzvorkehrungen treffen!

Außerdem gibt es weitere Kriterien für eine Entscheidung darüber, wann die Behörden und die Verbraucher benachrichtigt werden müssen.

Kurz gesagt: nicht jede Verletzung des Datenschutzes muss nach außen gemeldet werden!

Diese Regelung ist in Datenschutzgesetzen, in denen Anforderungen zur Meldung von Vorfällen geregelt sind, nicht unüblich. Auch im HIPAA auf US-Bundesebene für Gesundheitsdaten und in der innovativen Cyber-Verordnung des Staates New York für das Finanzwesen wird diese Unterscheidung gemacht. Dadurch soll verhindert werden, dass die Behörden mit Datenschutzmeldungen überflutet werden.

Im Sinne der DSGVO liegt nur eine Verletzung des Datenschutzes vor, wenn personenbezogene Daten betroffen sind. So werden in der EU Daten bezeichnet, über die ein Individuum persönlich identifiziert werden kann. Wenn die DSGVO für Ihr Unternehmen gilt und bei Ihnen im Rahmen eines Ereignisses streng geheime Zeichnungen zu einer neuen Erfindung offengelegt werden, würde dies nicht als Verletzung des Schutzes personenbezogener Daten betrachtet und wäre nicht meldepflichtig. Das gleiche gilt für den Diebstahl von gewerblich geschützter Software oder sonstiger vertraulicher Dokumente.

Benachrichtigung der Regulierungsbehörden

Wann muss ein Unternehmen bzw. Verantwortlicher eine Verletzung des Schutzes personenbezogener Daten an die örtliche Aufsichtsbehörde melden?

Die entsprechende Regelung findet sich in Artikel 33, aber ohne den vollständigen Kontext ist sie ein wenig verwirrend. Im Grunde meldet der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten – deren Offenlegung, Vernichtung oder den Verlust des Zugriffs auf sie – wenn diese eine Gefahr für die „Rechte und Freiheiten“ von EU-Bürgern darstellt.

Diese Rechte und Freiheiten sind ein Verweis auf Eigentums- und Datenschutzrechte, die ausführlicher in der Charta der Grundrechte der Europäischen Union aufgeführt sind.

Ich habe mir die Leitlinien durchgelesen und eigentlich alles, was man intuitiv als Datenschutzverletzung einstuft – die Offenlegung sensibler personenbezogener Daten, der Diebstahl eines Geräts, das personenbezogene Daten enthält, der unbefugte Zugriff auf personenbezogene Daten – müsste an die Behörden gemeldet werden.

Und zwar müsste die Benachrichtigung innerhalb von 72 Stunden erfolgen! Das ist zwar noch etwas detaillierter geregelt und Sie haben ein wenig Spielraum, aber darauf komme ich gegen Ende dieses Artikels zurück.

Als einzige Ausnahme gilt hier, wenn die personenbezogenen Daten mit einem aktuellen Algorithmus verschlüsselt sind und der Schlüssel dafür nicht kompromittiert wurde. In diesem Fall muss der Verantwortliche keine Meldung machen.

Und was gilt für eine Datenschutzverletzung, von der personenbezogene Daten gemäß EU-DSGVO betroffen sind, die aber nicht das Grenzkriterium der „Gefährdung von Rechten und Freiheiten“ erfüllt? Auch in diesem Fall warten einige Formalitäten auf Sie!

Gemäß DSGVO muss jede Verletzung des Schutzes personenbezogener Daten intern protokolliert werden: „Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, …“ (Artikel 33(5)).

Bei dem Verlust oder Diebstahl eines Laptops, auf dem personenbezogene Daten in verschlüsselter Form gespeichert sind, oder der unbefugte Zugriff durch einen Mitarbeiter – z. B. wenn eine Mitarbeiterin aufgrund eines Fehlers in den Dateiberechtigungen unbeabsichtigt einige Kontonummern gesehen hat – besteht also keine Gefahr für die Rechte und Freiheiten, die Fälle müssten aber trotzdem dokumentiert werden.

Weitere Informationen >>