Die Datenschutz-Aufsichtsbehörden registrieren seit Einführung der DSGVO im Mai 2017 einen ungewöhnlich starken Anstieg der Meldungen zu Datenschutzverletzungen. Laut einer Übersicht der EU-Kommission wurden EU-weit seither mehr als 40.000 Datenpannen gemeldet. Die weitaus meisten davon in Deutschland. Bis Ende 2018 gab es in Deutschland insgesamt 12.256 Meldungen von Datenschutzpannen. Genaue Statistiken der einzelnen Bundesländer fehlen, doch laut einer unverbindlichen Auskunft des BayLDA gingen bei ihm etwa 2.005 Meldungen ein. Der Landesdatenschutzbeauftragte von NRW registrierte um die 1.032, der in Baden-Württemberg etwa 700, der hessische 640, Sachsen-Anhalt bekam etwa 50 Meldungen, Saarland und Thüringen etwa 70. Schlusslicht war Bremen mit 29 Meldungen. Die Tendenz ist generell steigend. Insgesamt wurden in Deutschland im ersten Halbjahr 2019 schon wieder in etwa die gleiche Anzahl von Meldungen wie im ganzen vorangegangenen Zeitraum Mai bis Dezember 2018 abgegeben. Die Anzahl der Meldungen in den europäischen Nachbarstaaten sieht vergleichsweise noch human aus. Im Nachbarland Frankreich wurden im Jahr 2018 lediglich 1.170 Meldungen abgegeben, in Italien sogar nur 946. Woher diese Unterschiede kommen ist nicht bekannt. Zu den am häufigsten gemeldeten Datenpannen zählen dabei Hacker-Angriffe, (auch durch Malware und Trojaner), Postfehlversand, E-Mail-Fehlversand und Diebstahl von Datenträgern. Hinzu kommen E-Mail-Versand mit offenem Adressverteiler, Fax-Fehlversand sowie der Verlust von Datenträgern. Die genauen Ursachen für diese inmmense Steigerung der Meldungen in Deutschland sind nicht bekannt. Es wird aber vermutet, dass die Sensibilität und Aufmerksamkeit von datenverarbeitenden Unternehmen in Sachen Datenschutz inzwischen größer geworden ist. Vielleicht ist der Anstieg aber auch darauf zurückzuführen, dass die Strafen bei Verstößen gegen Datenschutzvorschriften empfindlich höher geworden sind. Bei Verstößen gegen die Meldepflicht drohen gemäß gem. Art. 83 Abs. 4 a DSGVO immerhin Geldbußen von bis zu 10. 000. 000 EUR oder im Fall eines Unternehmens von bis zu 2 % des des Jahresumsatzes aus dem vorangegangenen Geschäftsjahr. Möglicherweise fällt den Verantwortlichen auch die Unterscheidung schwer, wann ein meldepflichtiger Datenschutzverstoß vorliegt und wann nicht. Aus dieser Unsicherheit heraus könnten von den Unternehmen, um möglicherweise Sanktionen vorzubeugen, sicherheitshalber auch nicht meldepflichtinen Datenpannen gemeldet werden. .
Meldepflichten nach Art. 33 DSGVO (§ 65 BDSG neu)
Mit Einführung der DSGVO im Mai 2018 wurden die für Daten verarbeitende Stellen bestehenden Informationspflichten nach Bundesdatenschutzgesetz erheblich verschärft. Kam es nach alter Rechtslage zu einer Datenpanne, musste gemäß § 42a BDSG alt unverzüglich die zuständige Datenschutzaufsichtsbehörde informiert werden. § 42a BDSG griff aber nicht bei jeder Datenpanne, sondern nur wenn besonders sensible Daten, beispielsweise Gesundheitsdaten, einem Berufsgeheimnis unterliegende oder sich auf strafbare Handlungen beziehende personenbezogene Daten davon betroffen waren. Im Unterschied dazu gilt die neue Meldepflicht nach Art. 33 DSGVO bereits bei jeglicher Verletzung personenbezogener Daten. Die im alten § 42a BDSG noch normierten Erfordernisse des unrechtmäßigen Übermittelns oder der unrechtmäßigen Kenntnisnahme durch Dritte sind entfallen. Unternehmen müssen jetzt unverzüglich bzw. möglichst binnen 72 Stunden nach Bekanntwerden, dass personenbezogene Daten verletzt wurden, die zuständige Datenschutz-Aufsichtsbehörde darüber informieren. Die Meldepflicht kann bereits bei einem einfachen Datenverlust, z. B. durch versehentliche Löschung oder Vernichtung von Daten, bestehen. Art. 33 Abs. 5 DSGVO beinhaltet auch eine nachvollziehbare umfassende Dokumentationspflicht zur Art der Datenpanne, deren Auswirkungen und den ergriffenen Abhilfemaßnahmen. Gemäß Art. 34 DSGVO sind auch die von der Datenschutzverletzung Betroffenen unverzüglich zu unterrichten. Das ist immer dann der Fall, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen besteht.
Was muss gemäß gem. Art. 33 Abs. 3 DSGVO gemeldet werden?
Der Inhalt der Meldung muss Folgendes beinhalten:
- Eine genaue Sachverhaltsschilderung der Datenpanne. Zusätzlich sind die Datenkategorien und die Zahl der Betroffenen sowie der betroffenen Datensätze anzugeben.
- Name und Kontaktdaten des Datenschutzbeauftragten oder alternativ eines sonstigen Ansprechpartners für weitere Nachfragen.
- Eine genaue Beschreibung der wahrscheinlichen Auswirkungen der Datenpanne.
- Eine genaue Auflistung und Beschreibung der vom Unternehmen ergriffenen oder geplanten Maßnahmen zur Behebung oder Beschränkung der durch die Datenpanne möglichen nachteiligen Folgen.
- Wenn voraussichtlich ein hohes Risiko für die Betroffenen besteht, sind diese in klarer und einfacher Sprache über die Datenpanne zu unterrichten.
Gibt es Ausnahmen von den Meldepflichten nach Art. 33, 34 DSGVO?
Die Meldepflicht nach 34 DSGVO entfällt, wenn die zugrunde liegende Datenschutzverletzung voraussichtlich kein oder nur ein geringes Risiko für die Rechte und Freiheiten des Betroffenen beinhaltet. In der Regel genügt es dann, die geringfügigen oder vielleicht zunächst geringfügig erscheinenden Datenschutzverletzungen im Unternehmen intern zu registrieren und zu dokumentieren das kein oder nur ein geringes Risiko für die Betroffenen bestand. Das dient einem späteren Nachweis, dass auf die Datenschutzverletzung DSGVO-konform reagiert wurde. Aber unabhängig davon dass der Betroffene aus diesen Gründen nicht benachrichtigt werden musste, bleibt die Meldepflicht gegenüber der Datenschutzaufsichtsbehörde nach Art. 33 DSGVO aber weiter bestehen. Auch wenn Unternehmen ihrer Meldepflicht ordnungsgemäß nachkommen, besteht die Möglichkeit, dass die Aufsichtsbehörde dennoch Bußgelder verhängt. Auf den ersten Blick vielleicht harmlos erscheinende Datenpannen können sich als gravierend herausstellen, aber auch umgekehrt. Grundsätzlich entscheiden die Aufsichtsbehörden selbst ob und wie sie Datenschutzverletzungen weiter verfolgen. Vielleicht hat auch dieser Umstand zum rasanten Anstieg der Meldungen zu Datenschutzverletzungen geführt. Die Unternehmen in Deutschland gehen einfach auf Nummer sicher.
Fazit zum Thema Datenpannen durch Datenschutzverletzungen:
Unternehmen sollten auf Grundlage einer Risikoanalyse die Datenschutzverletzungen in Risikogruppen einteilen. Zum Beispiel anhand der Kriterien das die Datenpanne überhaupt keinen Schaden zur Folge haben kann oder wenn ein möglicher Schaden wahrscheinlich aber nicht eintreten wird. Immer wenn die Risikoanalyse ergibt, dass wenn die Verletzung aller Voraussicht nach kein Risiko für die Rechte und Freiheiten des Betroffenen mit sich bringt, kann die Meldung unterbleiben. Vielleicht kann damit der wachsende Trend steigender Meldungen zu Datenschutzverletzungen gebrochen werden.