Fachanwalt Andreas Becker informiert
Speicherkarte mit unverschlüsselten Daten gestohlen – was tun?
Eine Autopanne kennt jeder, aber eine Datenpanne? Als Laie könnte man auf die Idee kommen, dass der unfreiwillige Verlust von Daten in erster Linie ärgerlich ist. Tatsächlich kann ein solcher Fall richtig teuer werden, wenn man sich nicht an Melde- und Informationspflichten hält.
Es ist eine alltägliche, aber unangenehme Situation: Der USB-Stick mit den Kundendaten oder der Laptop mit der Buchhaltung samt Kontodaten ist in der Bahn liegen geblieben. Natürlich waren die gespeicherten Daten nicht verschlüsselt. Oder: Dem sonst so zuverlässigen Mitarbeiter geraten die Kunden-E-Mail-Adressen in einer Mail mit wichtigen Informationen statt in den Blindversand (bcc) in den offenen (cc). Was nun?
Rechtlich handelt es sich bei solchen Vorgängen um Datenpannen, die unter bestimmten Umständen meldepflichtig nach Art. 33 Datenschutz-Grundverordnung (DSGVO) gegenüber der zuständigen Aufsichtsbehörde und informationspflichtig nach Art. 34 DSGVO gegenüber den betroffenen Kunden sein können.
Vorsicht Meldepflicht
Eine Meldepflicht besteht, sobald eine Verletzung des Schutzes personenbezogener Daten durch einen sogenannten Data Breach eintritt, soll heißen eine Verletzung der Datensicherheit durch Vernichtung, Verlust, Veränderung, Offenlegung oder Zugang gegenüber Unbefugten. Nicht darunter fallen etwa beabsichtigte Systemabschaltungen. Sofern Dritte die Möglichkeit erhalten, Daten des Betriebs einzusehen, für die sie keine Befugnis haben, liegt eine Verletzung personenbezogener Daten vor.
Zudem muss durch den Data Breach ein Risiko für Rechte und/oder Freiheiten des Betroffenen entstanden sein. Dies bemisst sich danach, wie groß die Datenpanne und der dadurch möglicherweise zu erwartende Schaden sind. Ob es sich um ein hohes oder niedriges Risiko für die Betroffenenrechte handelt, spielt für die Meldepflicht gegenüber der Aufsichtsbehörde keine Rolle, wohl aber für die Informationspflicht gegenüber dem Betroffenen. Je nach Schwere des Data Breach muss dieser dem Betroffenen angezeigt werden.
Was muss ich tun?
Die formalen Anforderungen an eine Meldung sind folgende:
-Eine Benachrichtigung muss binnen 72 Stunden erfolgen,
-Die Meldung muss eine Beschreibung der Art der Verletzung beinhalten,
-Die Zahl der betroffenen Personen und der Datensätze,
-Einen Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle sowie
-eine Beschreibung, welche Folgen entstehen können und
-welche Maßnahmen zur Behebung oder Abmilderung der Verletzung ergriffen wurden.
Eine Informationspflicht an Kunden besteht, wenn ein hohes Risiko für die persönlichen Rechte eingetreten ist. Ein hohes Risiko liegt vor, wenn persönliche Daten der Kunden für Dritte zugänglich sind. Bei einer Information an die Betroffenen ist Folgendes zu beachten:
-Die Information muss in einer angemessenen Frist erfolgen.
-Die Information muss Folgendes enthalten:
-eine Beschreibung der Art der Verletzung, (z. B. gestohlener Datenstick),
-Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle,
-eine Beschreibung der wahrscheinlichen Folgen die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung,
-die Meldung hat in klarer und einfacher Sprache zu erfolgen.
Für eine Einschätzung, welche "klassischen" Datenpannen wem gemeldet werden müssen, hat die Hamburgische Beauftragte für Datenschutz und Informationsfreiheit eine Übersicht herausgegeben, abrufbar unter:
bit.ly/2sK5Ryb. Nur der Aufsichtsbehörde zu melden ist danach i. d. R. etwa der an den falschen Adressaten gesandte Kontoauszug.
Unverschlüsselte Daten immer meldepflichtig
Die E-Mail mit offenem (cc) statt blindem (bc) Verteiler hingegen unterliegt sowohl der Melde- als auch der Informationspflicht, es sei denn, es wurde kein sensibler Inhalt verschickt. Nicht meldepflichtig ist beispielsweise der verlorene USB-Stick, sofern die gespeicherten Daten wirksam gegen unbefugten Zugriff verschlüsselt oder geschützt wurden. Sind die Daten unverschlüsselt, besteht eine Meldepflicht. Datenzugriffe durch eine Cyber-Attacke sind meldepflichtig. Die betroffenen Kunden und Lieferanten müssen über die Cyber-Attacke informiert werden, wenn sensible Daten gestohlen werden. Sollte eine Software-Attacke erfolgen (Erpressungstrojaner), mit der die Kundendaten und weitere Daten verschlüsselt werden, besteht eine Informationspflicht gegenüber den Betroffenen und eine Meldepflicht. Auch die Entsorgung eines alten PC mit der Festplatte, die unverschlüsselte Daten der Kunden enthält, kann Melde- und Informationspflichten auslösen.
Zur Erfüllung der Meldepflicht gegenüber der Aufsichtsbehörde genügt die Mitteilung mittels online zur Verfügung gestellter Meldeformulare oder in sonstiger schriftlicher Form unter Wahrung der Frist (unverzüglich nach Kenntnisnahme des eingetretenen Data Breach, spätestens jedoch 72 Stunden danach). Ein Fristversäumnis ist unter Angabe außergewöhnlicher Gründe, die zu dem Versäumnis geführt haben, zu erklären.
Die Folgen eines Data Breachs können zum einen Schadensersatzforderungen der Betroffenen und zum anderen die Verhängung von Bußgeldern seitens der Aufsichtsbehörde sein. Die Datenschutz-Grundverordnung sieht für die Nichterfüllung von Meldepflichten ein Bußgeld von bis zu 10 Mio. EUR oder 2 % des Umsatzes des letzten Geschäftsjahres vor.
aus
FussbodenTechnik 03/19
(Recht)