Kommt es zu einer Datenpanne, etwa durch einen Hackerangriff, eine zu rasch versandte Email an einen falschen Empfänger oder durch den Verlust eines Smartphones, sind Unternehmen verpflichtet, rasch zu handeln: Die Verletzung des Schutzes der personenbezogenen Daten ist unverzüglich und möglichst binnen 72 Stunden, nachdem diese dem Verantwortlichen bekannt wurde, der zuständigen Aufsichtsbehörde zu melden. Nur für den Fall, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, kann die Meldung entfallen. Sofern die Verletzung des Schutzes der personenbezogenen Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten von natürlichen Personen zur Folge hat, ist auch die betroffene Person unverzüglich zu benachrichtigen.
Um bei einer Datenpanne DSGVO-konform reagieren zu können, ist es neben der Implementierung von technischen Maßnahmen ebenso erforderlich, ein einheitliches Verständnis für den richtigen Umgang mit personenbezogenen Daten sowie für das Vorliegen einer Datenpanne im Unternehmen zu schaffen. Nur gut geschulte und sensibilisierte Mitarbeiter werden Unregelmäßigkeiten in der Verarbeitung personenbezogener Daten erkennen und diese im Ernstfall auch an den Verantwortlichen melden.
Sollte eine Datenpanne bekannt werden, ist im Rahmen einer Risikoabschätzung zu beurteilen, ob diese festgestellte Unregelmäßigkeit tatsächlich auch eine Melde- bzw Benachrichtigungspflicht des Verantwortlichen auslöst. Als Voraussetzung für eine Meldepflicht definiert die DSGVO die Verletzung des Schutzes personenbezogener Daten als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Rechte und Freiheiten natürlicher Personen werden verletzt, wenn ein physischer, materieller oder immaterieller Schaden eintreten kann. Als Beispiele für einen Schaden für natürliche Personen nennt der Erwägungsgrund 85 den Kontrollverlust über ihre personenbezogenen Daten oder die Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder –betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erheblich wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.
Für die Beurteilung des Risikos für die Rechte und Freiheiten natürlicher Personen ist auf den typischen Geschehensablauf abzustellen. Im Idealfall erfolgt diese einzelfallbezogene Beurteilung (Risikoidentifikation, Abschätzung von Eintrittswahrscheinlichkeit und Schwere möglicher Schäden, Zuordnung zur Risikoabstufung) mittels vorab definierter Prozesse anhand einer Musterdokumentation. Dies, um durch eine möglichst systematische Vorgehensweise im Ernstfall rasch reagieren zu können. Orientiert sich die Musterdokumentation am Mindestinhalt der Meldung an die Aufsichtsbehörde (Art 33 Abs 3 DSGVO), können zusätzliche Synergien geschaffen werden.
Folgende Fakten sollten zügig erhoben werden:
- Beschreibung der Verletzung (Zeitpunkt oder Zeitraum, Ursache, Ort);
- Art der Verletzung (Verletzung der Vertraulichkeit, Integrität, Verfügbarkeit);
- Kategorien und ungefähre Zahl der betroffenen Personen (zB Mitarbeiter, Kunden);
- betroffene Kategorien (zB Bank- und Kreditkartendaten, Benutzererkennungen und Passwörter, Gesundheitsdaten) und ungefähre Zahl der betroffenen personenbezogenen Datensätze
- beteiligte Auftragsverarbeiter bzw gemeinsame Verantwortliche;
- mögliche/wahrscheinliche Folgen und Auswirkungen der Datenschutzverletzung (zB Kontrollverlust, Diskriminierung, finanzielle Verluste);
- ergriffene und vorgeschlagene Maßnahmen zur Behebung der Verletzung bzw zur Abmilderung der möglichen nachteiligen Auswirkungen;
- bestehende technische und organisatorische Sicherheitsmaßnahmen;
- Zeitpunkt der Feststellung der Datenpanne.
Eine detaillierte Aufarbeitung des Sachverhalts stellt nicht nur die Basis für die notwendige Risikobeurteilung dar, sondern ist zur Erfüllung der Rechenschaftspflicht bzw der Nachweispflicht für den Fall von Nicht-Meldungen erforderlich. Sollte der Verantwortliche im Zuge der Risikobeurteilung zum Ergebnis gelangen, dass keine „Data Breach Notification“ an die Aufsichtsbehörde zu erstatten ist, weil die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, kann die Dokumentation des Sachverhalts sowie dessen Beurteilung als Nachweis für eine ordnungsgemäße Entscheidungsfindung gegenüber der Behörde dienen.
Mag. Claudia Fleischhacker-Hofko