Diese Frage musste sich ein Elektronikversandhändler kürzlich stellen, als er herausfand, dass Unbekannte aufgrund einer Lücke im Sicherheitssystem Zugriff auf seine Datenbank mit rund 14 Millionen Datensätzen hatten.
Ein Datenschutzvorfall liegt nach Art. 4 Nr. 12 DSGVO vor, wenn personenbezogene Daten verlorengegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden. Beispiele sind etwa der Verlust eines Laptops, einen erfolgreichen Hackerangriff oder einen Diebstahl von Dokumenten oder Datenträgern.
Art. 34 Abs. 1 DSGVO bestimmt, dass wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge“ hat, so ist die betroffene Person über eine Verletzung unverzüglich zu benachrichtigen. Es muss also festgestellt werden, ob ein „hohes Risiko“ besteht.
Bei einem „normalen Risiko“ muss „lediglich“ die Aufsichtsbehörde spätestens innerhalb 72 Stunden informiert werden, Art 33 DSGVO. Eine Dokumentation muss in jedem Fall erfolgen.
Die DSGVO regelt nicht selbst die Maßstäbe, an denen eine Risikobewertung stattfinden muss. Hierfür dienen Unterschiedliche Orientierungshilfen wie das Kurzpapier Nr. 18 (https://www.datenschutzzentrum.de/artikel/1225-Kurzpapier-Nr.-18-Risiko-fuer-die-Rechte-und-Freiheiten-natuerlicher-Personen.html) oder sonstige Orientierungshilfen (wie bspw.:https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Meldepflichten.pdf).
Auch eine Absprache hierüber mit der Aufsichtsbehörde kann Aufschluss bringen, um das weitere Vorgehen festzulegen.
Gemäß Art. 34 Abs. 3 DSGVO besteht dagegen keine Meldepflicht, wenn technische und organisatorische Maßnahmen getroffen werden, wenn durch nachgelagerte Maßnahmen sichergestellt wird, dass höchstwahrscheinlich kein Risiko mehr besteht oder wenn ein großer Personenkreis betroffen ist, der nur schwer zu ermitteln ist. Dann käme möglicherweise eine öffentliche Bekanntmachung in Betracht.
Eine Meldepflicht muss stets im Einzelfall festgestellt werden.
Es muss abgewogen werden, dass einerseits die Reputation des Unternehmens durch eine Offenlegung von Datenvorfällen gefährdet werden kann, jedoch die Betroffenen ein Interesse an einer gewissen Transparenz haben. So entschied sich der Elektronikversandhändler „im Sinne eines guten und partnerschaftlichen Umgangs“ dazu, seine Kunden über den Vorfall in Kenntnis zu setzen, obwohl kein hohes Risiko angenommen wurde.
Auch dieser Vorfall des Elektronikversandhändlers zeigt wieder die immense Bedeutung eines lückenlos funktionierenden Sicherheitssystems.
Ein Datenschutzvorfall sollte bestenfalls unverzüglich dem Datenschutzbeauftragten für ein weiteres Vorgehen angezeigt werden. Hierfür kann eine Vorlage dienen, die ein schnelles Erfassen der wichtigsten Informationen erleichtert.
-> VORLAGE? Beispiel:
