Meldepflichten der Verantwortlichen Stelle - Datenverlust, -veränderung, -offenlegung etc.

1. Voraussetzungen einer Meldepflicht an die zuständige Datenschutzbehörde

Eine Pflicht zur Meldung an zuständige Datenschutzbehörde besteht, wenn der Schutz personenbezogener Daten verletzt wurde, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen (Art. 33 DSGVO).

a.       Verletzung des Schutzes personenbezogener Daten

Eine Verletzung des Schutzes personenbezogener Daten ist gem. Art 4 Nr. 12 DSGVO eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Personenbezogen sind gem. Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (datenschutzrechtlich als „betroffene Person“ oder „Betroffener“ bezeichnet) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

b.      Risikobetrachtung

Ein Risiko für persönliche Rechte und Freiheiten des Betroffen liegt vor, wenn es zu einem physischen, materiellen oder immateriellen Schaden beim Betroffenen kommen kann (Gierschmann/Schlender/Stentzel/Veil/Gierschmann, Kommentar Datenschutzgrundverordnung, 1. Aufl. 2018, Art. 33 DSGVO Rn. 28). Ein immaterieller Schaden ist insbesondere denkbar in Konstellationen, die den höchstpersönlichen Lebensbereich des Betroffenen betreffen (Gierschmann a.a.O.).

c.       Ausnahme von der Meldepflicht

Eine Ausnahme von der Meldepflicht besteht in Fällen, in denen im Einzelfall ein geringes Risiko für Rechtsgüter des Betroffenen zu sehen ist, also praktisch keine Beeinträchtigungen zu erwarten sind (Plath/Grages DSGVO-BDSG, 3. Auflage 2018, Art. 33 DSGVO Rn. 6). Hierzu hat die Artikel-29-Datenschutzgruppe (ein unabhängiges Beratungsgremium der EU-Kommission zu datenschutzrechtlichen Themen) einige relevante Aspekte zusammengestellt, unter denen das Risiko betrachtet werden kann. Zu diesen zählen u.a. die Art der Datenschutzverletzung, Art, Sensibilität und Umfang der Daten, Identifizierbarkeit der betroffenen Personen, Schwere denkbarer Folgen und besondere Eigenschaften des Verantwortlichen (WP250 Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679, S. 27 ff.). Unter die Verantwortlichen mit eher besonderen Eigenschaften fallen u.a. Stellen wie medizinische oder vergleichbare Einrichtungen, da sie in der Regel besonders sensible Daten verarbeiten (a.a.O. S. 30) und eine besondere Vertrauensposition einnehmen (Plath/Grages DSGVO-BDSG, 3. Auflage 2018, Art. 33 DSGVO Rn. 7).

d.      Prognoseentscheidung

Der Bewertung, ob im Einzelfall ein geringes Risiko für Rechtsgüter der Betroffenen droht, liegt eine Prognoseentscheidung zugrunde. Die Prognoseeinschätzung muss durch die verantwortliche Stelle in eigener Verantwortung getroffen werden. Sie trägt auch das Risiko einer etwaigen anderslautenden Bewertung durch die Datenschutzbehörden (Plath/Grages a.a.O.) mit eventuellen Bußgeldfolgen. Eine eher verbreitete Auffassung der Fachliteratur tendiert aus diesem Grund eher zu einem niederschwelligen Meldeverhalten, auch um dem Risiko etwaiger Bußgelder zu entgehen (Plath/Grages a.a.O. ; Gierschmann/Schlender/Stentzel/Veil/Gierschmann, Kommentar Datenschutzgrundverordnung, 1. Aufl. 2018, Art. 33 DSGVO Rn. 33).

e.       Frist

Die Meldung nach Art. 33 DSGVO ist unverzüglich, also ohne schuldhaftes Zögern, spätestens binnen 72 Stunden ab Kenntniserlangung von der Verletzung, zu erstatten. Für den Fall, dass binnen 72 Stunden nach Kenntniserlangung keine vollständige Meldung möglich ist – etwa weil hierzu zusätzliche Informationen nötig sind, die in diesem 72-Stunden-Zeitraum noch nicht vorliegen – kann eine vorsorgliche Meldung eingereicht werden, zu der die noch ausstehenden Informationen nachträglich nachgereicht werden (vgl. Erwägungsgrund 85 zur DSGVO).

 

2.       Voraussetzungen einer Meldepflicht an die betroffene/n Person/en

a.       Prognose eines hohen Risikos für Rechtsgüter der Betroffenen

Die Pflicht zur Meldung der Schutzverletzung an betroffene Personen gem. Art 34 DSGVO knüpft an die Pflicht zur Meldung an die Datenschutzbehörde gem. Art. 33 DSGVO an. Liegt zusätzlich zu den Voraussetzungen einer Meldepflicht an die Datenschutzbehörde ein voraussichtlich hohes Risiko einer Rechtsgutsverletzung der Betroffenen vor, löst dies zusätzlich die Pflicht zur Meldung an die Betroffenen aus. Dem Betroffenen soll so die Möglichkeit gegeben werden, evtl. erforderliche Vorkehrungen zur Abwendung von Schäden selbst vornehmen zu können (Plath/Grages DSGVO-BDSG, 3. Auflage 2018, Art. 34 DSGVO Rn. 3).

b.      Kriterien der Prognoseentscheidung

Bisher gibt es noch keine konkreten Kriterien, nach denen sich ein voraussichtlich hohes Risiko bemisst (Gierschmann/Schlender/Stentzel/Veil/Gierschmann, Kommentar Datenschutzgrundverordnung, 1. Aufl. 2018, Art. 34 DSGVO Rn. 19). Die Artikel-29-Datenschutzgruppe schlägt zur Bewertung parallele Gesichtspunkte zu der Wertung, die hinsichtlich Art. 33 DSGVO getroffen werden muss, vor. Hierzu zählen u.a. die Art der Datenschutzverletzung, Art, Sensibilität und Umfang der Daten, Identifizierbarkeit der betroffenen Personen, Schwere denkbarer Folgen und besondere Eigenschaften des Verantwortlichen (WP250 Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679, S. 27 ff.). Erwägungsgrund 75 zur DSGVO nennt als zusätzlich heranziehbare Kriterien u.a. das Risiko von Diskriminierung, Identitätsdiebstahl, finanziellem Verlust, Rufschädigung, erhebliche wirtschaftliche oder gesellschaftliche Nachteile und den Kontrollverlust des Betroffenen über die Daten (vgl. auch Gierschmann a.a.O. Rn. 24).

Grundsätzlich muss eine Einzelfallanalyse vorgenommen werden, die das Risiko für jeden Betroffenen einzeln abschätzt. Dabei ist auch die Frage der Wahrscheinlichkeit eines Schadenseintritts heranzuziehen (Gierschmann a.a.O. Rn. 27).

Gem. Art. 34 Abs. 4 DSGVO kann die Datenschutzbehörde aus einer eigenen Prognose die Unterrichtung der Betroffenen anordnen oder diese selbst durchführen.

c.       Ausnahme von der Meldepflicht

Unter bestimmten Voraussetzungen kann die Meldung an die Betroffenen entbehrlich sein. So etwa wenn ein Drittzugriff durch Verschlüsselung der Daten ausgeschlossen ist oder der Verantwortliche durch nachträgliche Maßnahmen dafür sorgt, dass das hohe Risiko für die Rechtsgüter der Betroffenen aller Wahrscheinlichkeit nach nicht mehr besteht (Plath/Grages DSGVO-BDSG, 3. Auflage 2018, Art. 34 DSGVO Rn. 10).

d.      Frist

Die Meldung muss unverzüglich, also ohne schuldhaftes Zögern, erstattet werden. Auch wenn Art. 34 im Gegensatz zu Art. 33 DSGVO keine konkrete Frist bestimmt, geht die Fachliteratur davon aus, dass auch hier ein Zeitfenster von 72 Stunden nach Kenntniserlangung nicht überschritten werden sollte (Plath/Grages a.a.O. Rn. 6). Die Datenschutzbehörde ist berechtigt, bei ausbleibender oder fehlerhafter Meldung Bußgelder zu verhängen.