Datenschutztag in Köln zeigt: noch immer Unsicherheit bei der Meldung von Datenpannen

Die DSGVO trifft auf die Praxis. Beim Datenschutztag in Köln, am 24.09.2019 besprachen Experten konkrete Umsetzungserfahrungen mit den neuen Vorschriften. Erstaunlich viel ist noch offen. Streitpunkt ist insbesondere die Meldepflicht bei Datenpannen.

Verliert ein Unternehmen personenbezogene Daten und macht sie so Dritten zugänglich, so muss es den Vorfall innerhalb 72h der zuständigen Aufsichtsbehörde melden. Doch gerade diese Meldepflicht bei Datenpannen ist oft der größte Unsicherheitsfaktor in den Unternehmen.

So sei es noch nicht jedem klar, dass diese Vorfälle sofort abgearbeitet werden müssten – selbst wenn es Überstunden verursache, erklärte ein Unternehmenssprecher. Immerhin seien die Vorstände und Geschäftsführer mittlerweile sensibilisiert. Dazu habe auch die Angst geführt, persönlich für Schäden finanziell haftbar gemacht zu werden.

Welche Vorfälle konkret meldepflichtig sind, ist noch unklar. Dabei wird von der Möglichkeit der Meldung mittlerweile sehr häufig Gebrauch gemacht.

Ein Hauptgrund dafür sind die kursierenden Trojaner. Gerade kleinere Unternehmen hätten trotz der alltäglichen Gefahr bis heute keine Krisenpläne für einen solchen Fall. Doch wenn sich eine Schadsoftware auf dem Unternehmensserver ausgebreitet haben, sei dies nicht immer automatisch eine meldepflichtige Datenpanne. Zumindest sollten Unternehmen stets von Profis und ihrem DSB prüfen lassen, ob überhaupt personenbezogene Daten abgeflossen sind!

Meldung befreit nicht von Haftung

Eine Fehlannahme von Unternehmen ist auch, dass eine amtliche Meldung von der Haftung befreie. Mittlerweile haben auch Aufsichtsbehörden deutlich mehr Routine und Personal mit solchen Meldungen umzugehen und stellten mitunter unangenehme Nachfragen, die dann zu Bußgeldverfahren führen könnten.

Zu den Bußgeldern ist unverändert viel offen. Obwohl mittlerweile einige Unternehmen hohe Bußgelder zahlen mussten, gibt es keine Orientierung, wie hoch konkret eine Strafe für einen Verstoß ist. “Es bleibt dabei, dass wir keinen Bußgeldkatalog haben”, erklärte Maria Christina Rost von der hessischen Datenschutzaufsicht. Zu Spekulationen über einen vermeintlich offiziellen Bußgeldrechner konnte sich Rost nicht äußern, versicherte aber, dass es stets bei der Einzelfallprüfung durch die Landesaufsichtsbehörden bleibe.

Die Entscheidung liegt bei der verantwortlichen Stelle

Gerade in diesem Zusammenhang weisen wir auch darauf hin, dass die Entscheidung, ob eine Datenpanne meldepflichtig ist oder nicht, stets eine Entscheidung der verantwortlichen Stelle ist. Der Datenschutzbeauftragte berät aber dabei mit seiner Fachkenntnis.

Eine Unterstützung bei der Beantwortung, ob eine Datenpanne Meldepflichtig ist oder nicht, gibt  ein Leitfaden der Artikel-29-Datenschutzgruppe, dem früheren Zusammenschluss der europäischen Datenschutzbehörden, aus dem Herbst 2017. Das Papier – an dieser Stelle noch immer aktuell – enthält Beispiele für Vorgänge, die zu einer Mitteilungspflicht führen können, wie etwa:

  • Entwendung von Login-Daten und Kaufhistorien von einem internationalen Online-Anbieter
  • Als Ergebnis eines Online-Angriffs kann ein Krankenhaus für 30 Stunden nicht mehr auf Gesundheitsdaten zugreifen.
  • Versand von Personendaten von über 5000 Studierenden an die falsche Mailingliste mit hunderten von Empfängern
  • Versand von Marketing-E-Mails in größerem Umfang. Dabei sind sämtliche Empfänger erkennbar.

Weiter als diese Beispiele ging die niedersächsische Datenschutzbehörde, die damals in einem Online-Formular zur Meldung von Datenschutzverstößen und Datenpannen auch Vorgänge wie die unrichtige Entsorgung personenbezogener Daten auf Papier, das Anzeigen der Daten falscher Betroffener in einem Kundenportal oder schon die mündliche Bekanntgabe personenbezogener Daten an die falsche Person aufweist.

Theoretisch ist auch jeder Verlust von Smartphones, Tablets oder Laptops sowie USB-Sticks anzuzeigen. Dabei geht man davon aus, dass sich darauf personenbezogene Daten befinden, etwa von Kunden. Noch ungeklärt ist dabei die Frage, ob dies auch dann gilt, wenn das Gerät oder zumindest die Daten verschlüsselt sind. Es spricht einiges dafür, dass in diesem Fall nicht von einer Meldepflicht auszugehen ist, da kein relevantes Risiko für die Betroffenen besteht. Ob dies die Datenschutzbehörden auch so sehen, ist noch völlig offen.

This post is also available in: Englisch