Logo LDI NRW

Meldepflicht für Verantwortliche - Verletzungen des Schutzes personenbezogener Daten

Meldepflicht für Verantwortliche - Verletzungen des Schutzes personenbezogener Daten

Verantwortliche müssen Verletzungen des Schutzes personenbezogener Daten (sogenannte Datenpannen) der zuständigen Aufsichtsbehörde unverzüglich, möglichst binnen 72 Stunden melden.

Verantwortliche (bspw. Unternehmen und Behörden) müssen Verletzungen des Schutzes personenbezogener Daten, von denen mehr als nur ein geringes Risiko für die Rechte und Freiheiten natürlicher Personen ausgeht, der zuständigen Aufsichtsbehörde unverzüglich, möglichst binnen 72 Stunden, melden (Art. 33 DS-GVO).

Neben der Meldung an die Aufsichtsbehörde sind im Falle des Art. 34 DS-GVO auch die betroffenen Personen unverzüglich zu informieren. Das ist dann der Fall, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Ob und welche Maßnahmen im Rahmen des Art. 33 Abs. 3 lit. d erfolgten, ist ebenfalls der Aufsichtsbehörde mitzuteilen.

Geht von einer Verletzung des Schutzes personenbezogener Daten voraussichtlich kein bzw. nur ein geringes Risiko für die Rechte und Freiheiten natürlicher Personen aus, so besteht für diese keine Meldepflicht gegenüber der Aufsichtsbehörde. Wird im Meldeformular angegeben, dass voraussichtlich kein bzw. nur ein geringes Risiko vorliegt, wird die Meldung nicht an die Landesbeauftragte übermittelt. Unabhängig von der Meldepflicht, besteht gemäß Art. 33 Abs. 5 DS-GVO für Verantwortliche die Pflicht Verletzungen intern zu dokumentieren. Hierzu kann das ausgefüllte Meldeformular als PDF-Datei exportiert werden.

Abhängig vom Risiko, das der Verantwortliche festgestellt hat, ergeben sich folgende Pflichten:

Risiko\PflichtenInterne Dokumentationspflicht (Art. 33 Abs. 5 DS-GVO)Meldepflicht an zuständige Aufsichtsbehörde (Art. 33 Abs. 1 DS-GVO)Benachrichtigungspflicht gegenüber den betroffenen Personen (Art. 34 DS-GVO)
Voraussichtlich kein bzw. nur geringes Risikojaneinnein
Risikojajanein
Hohes Risikojajaja

Die Regelungen zu Meldungen nach Art. 33 DS-GVO sowie zur Information der betroffenen Personen nach Art. 34 DS-GVO gelten nach § 59 und § 67 Nr. 5 i.V.m. § 35 DSG NRW auch im Anwendungsbereich der sogenannten JI-Richtlinie (RL (EU) 680/16).

Antworten auf häufige Fragen zur Meldung

Im Falle eines Cyberangriffs muss es schnell gehen. Und das gilt nicht nur für die Abwehr von Erpressungsversuchen oder Spionage, sondern ebenso für den Schutz der vom Angriff betroffenen personenbezogenen Daten. Die LDI NRW informiert auf einer Seite, was zu beachten ist und gibt Tipps.

Verantwortliche – beispielsweise Unternehmen oder Behörden – müssen jede Verletzung des Schutzes personenbezogener Daten intern dokumentieren. Wenn die Verletzung zu einem mehr als nur geringem Risiko für die betroffenen Personen führen kann, muss der Verantwortliche die Verletzung unverzüglich, möglichst binnen 72 Stunden, an die zuständige Aufsichtsbehörde melden. Geht von der Verletzung ein voraussichtlich hohes Risiko aus, muss der Verantwortliche zusätzlich die betroffenen Personen über die Verletzung informieren.

Erfolgt die Verletzung des Schutzes personenbezogener Daten bei einem Auftragsverarbeiter, so muss er den Verantwortlichen unverzüglich informieren. Der Verantwortliche muss dann prüfen, welche der oben genannten Pflichten für ihn bestehen. Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen hierbei zu unterstützen (vgl. Art. 28 Abs. 3 lit. f DS-GVO).

Im Falle einer Verletzung des Schutzes personenbezogener Daten bei einem Dienstleister oder Auftragsverarbeiter, die mehrere Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO betrifft, obliegen die Melde-, Benachrichtigungs- und Dokumentationspflichten nach Art. 33, 34 DS-GVO den Verantwortlichen. Es ist jedoch möglich, dass eine Sammelmeldung durch eine zentrale Stelle erfolgt, solange gesichert ist, dass die verantwortlichen Stellen

  1. ihren Sitz in NRW haben bzw. der Aufsicht der LDI unterliegen,
  2. gemäß Art. 33 Abs. 2 DS-GVO über den Vorfall informiert wurden (sofern eine Auftragsverarbeitung vorliegt),
  3. die zentrale Stelle dazu berechtigt haben, für sie die Meldung an die zuständigen Aufsichtsbehörden abzugeben (bspw. in der Form einer Sammelmeldung),
  4. bei der Risikobeurteilung beteiligt wurden und
  5. bei der Auswahl und Umsetzung von Maßnahmen zur Abhilfe, Abmilderung und Vermeidung eines erneuten Auftretens der Datenpanne sowie der ggf. zu erfolgenden Benachrichtigung der betroffenen Personen einbezogen wurden – insbesondere bezüglich Maßnahmen, die im Einflussbereich der Verantwortlichen liegen.

In einer solchen Sammelmeldung müssen die nach Art. 33 Abs. 3 DS-GVO geforderten Informationen differenziert für die einzelnen Verantwortlichen als Anlage beigefügt werden.

In den meisten Fällen ist ein Schaden oder dessen Eintrittswahrscheinlichkeit nicht gänzlich auszuschließen. Für eine vorliegende Datenschutzverletzung ist deshalb zunächst die Risikostufe auf der Grundlage einer Risikoanalyse zu ermitteln. Dabei ist neben der Eintrittswahrscheinlichkeit des Schadens auch seine Schwere zu beurteilen. Aus der Eintrittswahrscheinlichkeit und der Schwere der möglichen Schäden ergibt sich die Risikostufe. Die Risikostufe entscheidet dann darüber, ob eine Meldung an die Aufsichtsbehörde erforderlich ist.

Das Kurzpapier Nr. 18 „Risiko für die Rechte und Freiheiten natürlicher Personen“ der Datenschutzkonferenz beschreibt den Prozess der Risikoanalyse. Es ist zudem eine hilfreiche Leitlinie für die Entscheidung, ob bei einer konkret vorliegenden Datenschutzverletzung eine Meldung an die zuständige Aufsichtsbehörde zu erfolgen hat.

Eine vollständig risikolose Datenverarbeitung kann es danach nicht geben. Insofern ist die in Artikel 33 DS-GVO gewählte Formulierung „nicht zu einem Risiko“ von ihrem Sinn und Zweck ausgehend als „nur zu einem geringen Risiko führend“ zu verstehen. Damit ergeben sich für die Risikobeurteilung die Abstufungen „geringes Risiko“, „Risiko“ und „hohes Risiko“. Kommt der Verantwortliche in seiner Risikoanalyse zu dem Ergebnis, dass nur ein geringes Risiko vorliegt, ist keine Meldung an die Aufsichtsbehörde erforderlich.

Ein geringes Risiko liegt vor, wenn sowohl der mögliche Schaden als auch dessen Eintrittswahrscheinlichkeit als gering bis überschaubar eingeschätzt werden.

Der Bereich des geringen Risikos wird in dem Kurzpapier Nr. 18 „Risiko für die Rechte und Freiheiten natürlicher Personen“ durch eine Risikomatrix veranschaulicht. Es können allerdings auch Situationen eintreten, in denen der mögliche Schaden als gering eingeschätzt wird, aber der Eintritt des Schadens relativ wahrscheinlich ist. Analog kann es dazu kommen, dass die Eintrittswahrscheinlichkeit als gering eingeschätzt wird, aber der potentielle Schaden besonders schwer wiegen würde. In solchen Fällen ist eine besonders sorgfältige Einzelfallbetrachtung notwendig.

Beispiel?

Ein Laptop mit medizinischen Befunden wird einem Arzt entwendet. Die Daten auf der Festplatte des Laptops sind mit einem kryptographischen Verfahren nach dem Stand der Technik sicher verschlüsselt und alle gespeicherten Daten sind in einem Backup vorhanden.

Eine Offenbarung der auf dem Laptop gespeicherten Befunde würde für die betroffenen Patienten einen hohen Schaden bedeuten. Allerdings ist davon auszugehen, dass der Schadenseintritt höchst unwahrscheinlich ist, wenn die Befunde – im obigen Sinne – sicher verschlüsselt sind. Ein Schaden durch den Verlust kann ausgeschlossen werden, da die Daten im Backup weiterhin verfügbar sind. In diesem Fall kann der Verantwortliche nach eigenem Ermessen von einer Meldung bei der Aufsichtsbehörde absehen.

Kommt ein Verantwortlicher im Rahmen der Risikobewertung zu dem Ergebnis, dass keine Meldung bei der Aufsichtsbehörde erforderlich ist, so hat er dennoch den Datenschutzvorfall und die Ergebnisse seiner Risikoanalyse intern zu dokumentieren und die entsprechenden Maßnahmen zu ergreifen, um einen solchen Vorfall zukünftig zu vermeiden.

Wird uns eine Verletzung des Schutzes personenbezogener Daten gemeldet, prüfen wir zunächst, ob die Meldung alle Informationen enthält, um die folgenden Fragen beantworten zu können:

  • Wurde der Vorfall hinreichend und in angemessener Zeit (72-Stunden-Frist) vom Verantwortlichen untersucht?
  • Wurde der Umfang der Datenpanne und ihre möglichen Auswirkungen für die betroffenen Personen angemessen erfasst?
  • Wurde das Risiko für die Rechte und Freiheiten natürlicher Personen in angemessenem Umfang analysiert?
  • Wurde die Datenpanne im Falle einer Meldepflicht unverzüglich und möglichst binnen 72 Stunden nach dem Bekanntwerden gemeldet?
  • Wurde im Falle einer Meldung nach 72 Stunden nach dem Bekanntwerden die Verzögerung nachvollziehbar begründet?
  • Wurden ausreichende technischer und organisatorischer Maßnahmen getroffen, um die Datenpanne zu beheben und die nachteiligen Folgen für betroffene Personen abzumildern?
  • Wurde die Benachrichtigungspflicht nach Art. 34 DS-GVO beachtet? Oder: Erscheint eine Information an die betroffenen Personen – auch unabhängig von einer Benachrichtigungspflicht nach Art. 34 DS-GVO – für angezeigt, damit die betroffenen Personen in ihrer eigenen Sphäre Schutzmaßnahmen treffen können?
  • Wurden angemessene und geeignete Maßnahmen getroffen, um eine solche Datenpanne künftig zu verhindern?

Gegebenenfalls fordern wir den Verantwortlichen auf uns weitere Informationen bereitzustellen, etwa forensische Untersuchungsberichte.

Für Inhalte, die im Rahmen einer Meldung oder einer Benachrichtigung zwingend mitzuteilen sind, gilt ein Beweisverwertungsverbot (§ 42 Absatz 4 und § 43 Absatz 4 Bundesdatenschutzgesetz). Das bedeutet: Meldungen nach Artikel 33 Datenschutz-Grundverordnung und Benachrichtigungen nach Artikel 34 Absatz 1 Datenschutz-Grundverordnung dürfen in Straf- und Ordnungswidrigkeitenverfahren gegen Meldepflichtige und Benachrichtigende oder ihre Angehörige im Sinne des § 52 Absatz 1 Strafprozessordnung nur mit ihrer Zustimmung verwendet werden. Nicht dem Beweisverwertungsverbot unterliegen jedoch die über die Pflichtangaben hinausgehenden freiwilligen Angaben in einer Meldung oder Benachrichtigung. Gleiches gilt für Beschwerden, die uns zu einer Datenpanne erreichen. Diese können gegebenenfalls zur Einleitung eines Ordnungswidrigkeitenverfahrens führen, beispielweise aufgrund von mangelnden oder fehlenden technischen und organisatorischen Maßnahmen. Unabhängig davon kann aufgrund eines Verstoßes gegen die Artikel 33 und 34 Datenschutz-Grundverordnung ein Ordnungswidrigkeitenverfahren eingeleitet werden.