Wer muss einen Datenschutzvorfall melden? DSB oder Verantwortlicher?

Bei der Verarbeitung von personenbezogenen Daten muss der Datenschutz stets beachtet werden. Dazu ist die Daten verarbeitende Stelle gesetzlich verpflichtet. Wenn doch einmal der Schutz dieser Daten verletzt wird, ist der Vorfall im Regelfall gemäß Art. 33 und Art. 34 DSGVO der zuständigen Aufsichtsbehörde und den betroffenen Personen zu melden.

Doch wer nimmt eigentlich diese Meldung vor – der Verantwortliche oder der Datenschutzbeauftragte?

Wann liegt eine Datenpanne vor?

Die Verletzung des Schutzes personenbezogener Daten ist grundsätzlich jedes Ereignis, durch das die Vertraulichkeit personenbezogener Daten eingeschränkt wurde und somit ein Verlust,

• eine Veränderung,
• die Offenlegung
• oder der unrechtmäßige Zugang

von verarbeiteten personenbezogenen Daten möglich erscheint. Die Rede ist auch von einer sogenannten Datenpanne oder einem Datenschutzvorfall.

Liegt eine Datenpanne vor, ist es unerheblich, ob sie unrechtmäßig oder fahrlässig und von wem sie herbeigeführt wurde. Beispiele sind der Verlust eines Datenträgers (Laptops, USB-Stick, Firmenhandy) das Abgreifen von Daten durch einen Hackerangriff oder das versehentliche Vertauschen der Empfängeradresse eines Briefes, der personenbezogene Daten enthält.

Einordnung der Datenpanne durch den Datenschutzbeauftragten

Da Datenpannen mit Risiken für betroffene Personen verbunden sind, ist eine schnelle Aufklärung und das Ergreifen von Maßnahmen notwendig, um das Risiko zu verringern und den betroffenen Personen die Möglichkeit zu geben, sich vor möglichen Schäden zu schützen. Die DSGVO bestimmt hierfür in Art. 33 Abs. 1 S. 1 DSGVO eine Frist von 72 Stunden, binnen der die Datenpanne der zuständigen Aufsichtsbehörde gemeldet werden muss.

Doch nicht immer ist zwingend eine Meldung bei der Aufsichtsbehörde vorzunehmen. Sie kann ausnahmsweise unterbleiben, wenn die Verletzung des Datenschutzes voraussichtlich nicht zu einem Risiko der Rechte und Freiheiten der betroffenen Personen führt.

Ist hingegen sogar ein hohes Risiko für die betroffenen Personen zu erwarten, sind neben der Aufsichtsbehörde gemäß Art. 34 Abs. 1 DSGVO unverzüglich auch die betroffenen Personen zu benachrichtigen.

Entscheidend ist also die umfassende Bewertung des Vorfalls. Grundvoraussetzung hierfür ist ein geordneter Ablauf, den wir im Folgenden skizzieren möchten:

Losgetreten wird der Prozess durch die Kenntniserlangung des Datenschutzkoordinators über die Datenpanne, beispielsweise durch Mitteilung eines Mitarbeiters oder eines Auftragsverarbeiters. Wenn nach erster Prüfung nicht ausgeschlossen werden kann, dass personenbezogene Daten betroffen sind, sind die Geschäftsführung und der Datenschutzbeauftragte hinzuzuziehen. Dem Datenschutzkoordinator kommt in dieser Phase eine besondere Rolle zu. Er sammelt alle relevanten Eckdaten zur Einordnung des Vorfalls und koordiniert die Kommunikation mit dem Datenschutzbeauftragten und der Geschäftsführung. Dem Datenschutzbeauftragten obliegt die rechtliche Einordnung des Ereignisses hinsichtlich der Schwere und des Risikos für die betroffenen Personen. Seine fachmännische Einschätzung ist richtungweisend, ob die Datenpanne meldepflichtig ist und ob gegebenenfalls auch die betroffenen Personen zu benachrichtigen sind.

Gleichzeitig, erfolgt in Zusammenarbeit mit dem Datenschutzbeauftragten die ausführliche Dokumentation des Vorfalls. Diese ist nach Art. 33 Abs. 5 DSGVO unabhängig einer Meldepflicht vorzunehmen.

Wer ist für die Meldung zuständig? 

Dem Datenschutzbeauftragten kommt in diesem Prozess eine tragende Rolle zu. Seine Aufgaben werden in Art. 38 und Art. 39 DSGVO geregelt. Sie umfassen unter anderem:

die Unterrichtung und Beratung des Unternehmens

die Überwachung der Einhaltung von datenschutzrechtlichen Vorgaben und

die Zusammenarbeit mit der Aufsichtsbehörde.

Die Stellung des Datenschutzbeauftragten darf jedoch nicht falsch verstanden werden. Er fungiert lediglich als Schnittstelle zwischen Verantwortlichen und Aufsichtsbehörde und nimmt durch seine Fachkompetenz eine Art Vermittlerrolle ein, indem er beide Seiten effektiv bei Problemlösungen unterstützt. Dies beinhaltet auf Seiten des Verantwortlichen auch die Unterstützung bei der Einordnung von Datenpannen – jedoch nicht die konkrete Meldung.

Die gesetzliche Pflicht zur Meldung der Datenpanne bei der zuständigen Aufsichtsbehörde trifft nach Art. 33 Abs. 1 S. 1 DSGVO und § 65 BDSG den für die Datenverarbeitung Verantwortlichen. Also jenen, der nach Art. 4 Nr. 7 DSGVO über die Zwecke und Mittel der Verarbeitung entscheidet.

Fazit 

Den für die Datenverarbeitung Verantwortlichen trifft durch die DSGVO die Pflicht, mögliche Datenpannen aufzuarbeiten, einzuordnen und der zuständigen Aufsichtsbehörde und den betroffenen Personen zu melden. Der Datenschutzbeauftragte steht dem Verantwortlichen hierbei prozessbegleitend, insbesondere für die rechtliche Einordnung, unterstützend zur Seite.

Daneben steht es jeder betroffenen Person, aber auch jeder dritten Person (wie z.B. dem Datenschutzbeauftragten) frei, Beschwerde über einen konkreten Datenverarbeitungsvorgang bei den Aufsichtsbehörden einzulegen.

Wir als WS Datenschutz sind Ihnen gerne bei der Aufarbeitung und Einordnung von Datenschutzpannen behilflich und unterstützen Sie bei der Meldung an die zuständige Aufsichtsbehörde oder dem Verfassen eines Benachrichtigungsschreibens an betroffene Personen. Kommen Sie gerne auf uns zu.