Datenpannen bei „Büroversehen“
Geschrieben von Jan Steinbach, veröffentlicht am 03.05.2019Auch bei E-Mail-Rundschreiben, bei denen die Empfänger in das CC-Feld anstatt in das BCC-Feld eingetragen werden, handelt es sich um eine Datenpanne. Muss diese gemeldet werden?
Mit der Einführung der DSGVO soll der Datenschutz in der alltäglichen Praxis wirksam durchgesetzt werden. Ein wirksamer Datenschutz kann aber nicht bedeuten, dass es nie zu Ausfällen und Pannen kommen kann. Ein Restrisiko bleibt stets bestehen und wird vom Gesetz auch anerkannt: Art. 4 Nr. 12 DSGVO spricht insoweit von „Verletzung des Schutzes personenbezogener Daten“. Dabei ist es irrelevant, ob die Verletzung rechtswidrig oder schuldhaft erfolgte. Vielmehr geht es allein um einen angemessenen Umgang mit dem jederzeit bestehenden Risiko einer Datenschutzpanne.
Kommt es zu einer Datenschutzpanne, ist der Verantwortliche, je nach Schwere der Panne, zu verschiedenen Reaktionen verpflichtet. Diese ergeben sich aus den Art. 33 und 34 DSGVO. Dabei legt Art. 33 DSGVO den Grundsatz fest, dass die zuständige Datenschutzbehörde über den Vorfall zu informieren ist – und zwar unverzüglich bzw. binnen 72 Stunden ab Kenntnisnahme. Eine Informationspflicht besteht jedoch nicht, wenn die Panne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Es handelt sich hierbei um einen, für die DSGVO typischen, risikobasierten Ansatz.
Entgegen der gesetzlichen Vermutung, dass eine Meldung bei der Aufsichtsbehörde nötig ist, ist in der Praxis kleinerer und mittelständischer Unternehmen wohl häufiger die Ausnahme anzutreffen, so dass die Datenpanne lediglich dokumentiert werden muss. Dennoch muss der Verantwortliche eigenständig entscheiden, ob eine Meldung notwendig ist oder nicht. Dabei muss er das Risiko für eine Verletzung der Rechte und Freiheiten anhand von Art, Umfang und Umständen der Verletzung sowie des mögliche Schadensausmaßes, insbesondere der Menge und Art der betroffenen Daten, bestimmen. Denkbare Schäden für die betroffene Person sind in Erwägungsgrund 85 konkretisiert: z.B. Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste und noch einige weitere.
In der Praxis sind Datenschutzpannen im Rahmen kleiner Versehen, wie das Setzen eines Empfängers in das CC-Feld, anstatt des Bcc-Feldes beim Versenden von E-Mails oder das Verwenden einer falschen E-Mail-Adresse, häufig. Ob der Vorfall meldepflichtig ist oder nicht, hängt letztlich vom Einzelfall ab: wie viele Personen sind betroffen? Welche Kategorien von Daten sind versehentlich offengelegt worden? Gegenüber wie vielen unzuständigen Personen wurden diese Daten offengelegt? Feste Regeln oder Abgrenzungen können danach nicht festgesetzt werden. Eine gewisse Richtschnur bietet eine sog. Data-Breach-Meldung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheiten, in der einige Beispiele von denkbaren Datenpannen und die daraus resultierenden Handlungspflichten gelistet werden. Doch auch hier kommt es bei nicht offensichtlich schwerwiegenden Pannen letztlich auf die Ausmaße im konkreten Einzelfall an.
Aus diesem Grund ist jede Verletzung des Schutzes personenbezogener Daten genau zu dokumentieren. Zudem sollte der Verantwortliche eine Begründung angeben, weshalb im konkreten Einzelfall eine Meldung bei der Aufsichtsbehörde unterbleiben kann. Der Inhalt der Dokumentation wird durch die Voraussetzungen des Art. 33 Abs. 3 DSGVO weiter konkretisiert. Eine Dokumentation ist auch deshalb wichtig, weil nur so der Verantwortliche geeignete Verteidigungsmittel gegen ein drohendes Bußgeld einsetzen kann.
Auf unserer Datenschutz-Plattform liegt für unsere Mandanten ein Protokoll zur Dokumentation einer Datenpanne bereit. Gerne unterstützen wir Sie bei der Einschätzung des Risikos und dem Bearbeiten des Protokolls, sowie der Bewertung, ob darüber hinaus gehende Maßnahmen erforderlich sind.