Security-Breach-Notifications – Meldepflicht und Risiken
Die Pflicht zur Meldung einer Verletzung des Schutzes personenbezogener Daten ist durch die EU-Datenschutzgrundverordnung (DSGVO) im Vergleich zum alten Bundesdatenschutzgesetz (BDSG) deutlich ausgeweitet worden. Dies ist aber nur die vordergründige Änderung: Auf den zweiten Blick zeigt sich, dass sich auch die Rahmenbedingungen für die Konsequenzen einer solchen Meldung deutlich geändert haben.
Die Security-Breach-Notification wurde unlängst in den Artikeln 33 und 34 der EU-Datenschutzgrundverordnung (DSGVO) neu geregelt – die Schwelle zur Meldung an die zuständige Datenschutzaufsichtsbehörde ist dabei im Vergleich zur vorherigen Fassung des Bundesdatenschutzgesetzes (BDSGalt) deutlich gesenkt worden. Verantwortliche müssen sich deshalb heute in einem weiter gehenden Umfang mit der Frage befassen und entsprechende Prozesse vorsehen, ob eine Meldung bei einem Vorfall erforderlich ist.
Das ist aber nicht die einzige Veränderung, die bei einer Verletzung der Sicherheit personenbezogener Daten zu beachten ist: Entscheidend ist auch, dass mit der DSGVO – anders als im BDSG-alt – die Verletzung des Schutzes personenbezogener Daten (Stichwort Datensicherheit), die zuvor die Hauptursache für Meldungen war, erstmals bußgeldbewehrt ist – andere Pflichtverstöße sind ebenfalls erstmals bußgeldbewehrt. Hinzu kommt, dass die DSGVO auch die Grundlagen für Schadensersatzansprüche der von einem Vorfall Betroffenen neu geregelt hat, wodurch im Vergleich zum BDSG-alt ein höheres Risiko von Schadensersatzansprüchen besteht.
Mit anderen Worten: Datenverarbeiter müssen sensibler sein, wann eine Meldung erforderlich ist, aber sich auch die Konsequenzen dieser Meldung vor Augen führen. Dies erfordert in beiderlei Hinsicht ein Umdenken gegenüber dem BDSG-alt: Denn eine zu laxe Handhabung der Meldepflicht kann wegen Nicht-Meldung zu Sanktionen führen – andererseits sollte man Meldungen aber auch nicht zu „blauäugig“ nach dem Motto „Wenn gemeldet ist, ist alles gut“ ansehen.
Einbettung in die DSGVO
Die Security-Breach-Notification ist nicht in die Abschnitte über die allgemeinen Transparenzpflichten (Art. 12 ff. DSGVO), sondern in den Abschnitt „Sicherheit der Verarbeitung“ (Art. 32–34 DSGVO) eingebettet worden. Es handelt sich also um eine spezielle Transparenzpflicht, die zwar nicht abstrakt und proaktiv wie gemäß der Artikel 12 bis 14 DSGVO besteht, aber die Transparenz dort komplettiert, wo Betroffene nicht zwingend etwas über ihre Risiken erfahren würden, wenn keine gesetzliche Transparenzpflicht bestünde – nämlich dort, wo die zum Schutz ihrer Daten ergriffenen Maßnahmen versagen.
Hieraus ergibt sich aber auch eine Erkenntnis, die für die Anwendung der Regelungen in den Artikeln 33 und 34 DSGVO wichtig ist: Die Pflicht zur Unterrichtung Betroffener sollte nur dort bestehen, wo eine besondere Gefährdung vorliegt. Denn wenn Informationen über Verletzungen des Schutzes personenbezogener Daten in der Praxis so häufig erfolgen wie Hinweise nach den Artikeln 13 und 14 DSGVO, dann würde ihnen im Laufe der Zeit genauso wenig Aufmerksamkeit geschenkt wie jenen Hinweisen.
Wann besteht die Pflicht zur Meldung und Benachrichtigung?
Eine Pflicht zur Meldung und Benachrichtigung wird durch eine Verletzung des Schutzes personenbezogener Daten ausgelöst. Artikel 4 Nummer 12 DSGVO definiert das explizit wie folgt: „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Wenngleich häufig eine IT-Sicherheitsverletzung auch die Grundlage einer Verletzung des Schutzes personenbezogener Daten darstellt, ist beides doch nicht gleichbedeutend! So kann etwa eine Verletzung des Schutzes personenbezogener Daten in Betracht kommen, ohne dass eine IT-Sicherheitsverletzung vorliegt. Eine IT-Sicherheitsverletzung kann also zugleich auch eine Verletzung des Schutzes personenbezogener Daten bedeuten, ist aber nicht zwingende Voraussetzung hierfür. Wesentlich ist dabei (ebenso wie bei Art. 32 DSGVO) der Unterschied zwischen IT-Sicherheit und Datenschutz, da beide Bereiche unterschiedliche Schutzziele haben.
Hier zeigt sich zudem der Zusammenhang zur Sicherheit der Verarbeitung, die in Artikel 32 DSGVO geregelt ist: Grundvoraussetzung ist nämlich eine Verletzung der „Sicherheit der Verarbeitung“ – diese muss die Ursache für die in der zitierten Definition genannten Umstände sein. Wichtig: Die Regelung erfasst weit mehr als nur „Hacking-Fälle“. Sie ist auch nicht auf besonders schutzbedürftige Daten beschränkt, sondern gilt für jedes personenbezogene Datum.
Ein wichtiger Unterschied zu § 42a BDSG-alt ist darüber hinaus, dass keine Beschränkung auf bestimmte Datenkategorien besteht.
Die Pflicht zur Meldung und Benachrichtigung setzt nicht voraus, dass der Verantwortliche den Vorfall verschuldet hat – auch dann, wenn ein Unternehmen nichts für einen Vorfall kann, besteht die Meldepflicht. Allerdings muss man Kenntnis von dem Vorfall erlangt haben – allein, dass man von einem Vorfall hätte wissen müssen, löst die Meldepflicht nicht aus. Die Grenzziehung wird in der Praxis nicht leicht sein – hier wird man sich vor dem Versuch hüten müssen, die Augen bewusst vor einem Vorfall verschließen zu wollen. Denn hier droht ein Konflikt mit den Pflichten nach Artikel 24 DSGVO. Plumpe Ausreden werden hier jedenfalls keine Gnade finden.
Risiken für die Betroffenen
Die Artikel 33 und 34 DSGVO sprechen darüber hinaus von einem Risiko beziehungsweise einem hohen Risiko für die Rechte und Freiheiten betroffener natürlicher Personen. Ein Ausschluss von Bagatellfällen ergibt sich durch die Bezugnahme darauf, dass jedenfalls ein „einfaches“ Risiko gegeben sein muss.
Zwei wesentliche Unterschiede bestehen zwischen einerseits der Meldepflicht gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) und andererseits der Benachrichtigung der betroffenen Personen (Art. 34 DSGVO): Die Meldepflicht nach Artikel 33 DSGVO nimmt (so der Wortlaut) „ein Risiko“ für die Rechte und Freiheiten der betroffenen Person in Bezug. Hingegen besteht die Benachrichtigungspflicht nach Artikel 34 DSGVO erst bei einem „hohen Risiko“ für die Rechte und Freiheiten der betroffenen Person (vgl. Tab. 1).
Auch das Regel-Ausnahme-Verhältnis ist verschieden:
- Nach Artikel 33 DSGVO ist die Meldung der Regelfall: Die Meldepflicht wird mit der Verletzung des Schutzes personenbezogener Daten ausgelöst und besteht nur dann nicht, wenn ein Risiko verneint wird („… meldet …, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“).
- Die Benachrichtigung nach Artikel 34 DSGVO ist dagegen der Ausnahmefall: Sie ist nur erforderlich, wenn zur Verletzung des Schutzes personenbezogener Daten ein hohes Risiko hinzukommt („… voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt …“)
Was genau ein Risiko ist, definiert die DSGVO nicht explizit. Die Erwägungsgründe (ErwGr. 59 und 67 ff. vgl. https://dsgvo-gesetz.de/erwaegungsgruende/nr-59/) enthalten dazu jedoch Anhaltspunkte. Wichtig ist, dass gemäß Erwägungsgrund 76 das Risiko objektiv zu bestimmen ist, womit es ergo nicht auf die subjektive Sicht der einzelnen Person ankommen kann.
Die Artikel-29-Gruppe (die nach Art. 29 der Datenschutzrichtlinie 95/46/EG eingesetzte Arbeitsgruppe der Aufsichtsbehörden der EU-Mitgliedsländer, die unter der DSGVO als Europäischer Daten Schutz Ausschuss fortwirkt) hat in ihrem Arbeitspapier „Guidelines on Personal data breach notification under Regulation 2016/679“ Anhaltspunkte für die Bewertung gegeben (wp250rev.01, https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052 ). Daran wird deutlich, dass die Bewertung im Rahmen von Artikel 33 und 34 DSGVO nicht zwingend deckungsgleich mit der Bewertung des Risikos im Rahmen der Datenschutzfolgenabschätzung (DSFA) nach Artikel 35 DSGVO ist: Ein struktureller Unterschied besteht allein schon deshalb, weil bei der DSFA eine Schadenswahrscheinlichkeit Aspekt der Bewertung ist, wohingegen diese Frage sich im Rahmen der Benachrichtigungspflichten nicht mehr stellt, da sich das Risiko bereits manifestiert hat.
Wer ist zu Meldung und Benachrichtigung verpflichtet?
Laut DSGVO ist der Verantwortliche selbst zur Meldung und Benachrichtigung verpflichtet – nicht hingegen der Datenschutzbeauftragte. Mit Blick auf die vorstehend aufgezeigte Tragweite einer (Nicht-) Meldung sollte man in der Unternehmensorganisation klar festlegen, wer für die Entscheidung über eine (Nicht-)Meldung verantwortlich ist.
Bei einer Auftragsverarbeitung besteht die Aufgabe des Auftragsverarbeiters darin, dem Verantwortlichen – also dem Auftraggeber – unverzüglich eine Verletzung des Schutzes personenbezogener Daten zu melden, wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird (Art. 33 Abs. 2 DSGVO).
Bei Konstellationen einer sogenannten „Joint Controllership“ sollte über die Melde- und Benachrichtigungspflichten nachgedacht werden. Denn dabei ist – anders als bei der Auftragsverarbeitung – jeder Datenverarbeiter ein Verantwortlicher.
Transparenzpflicht durch interne Dokumentation
Nicht übersehen werden darf, dass die DSGVO die Überprüfbarkeit durch die Datenschutzaufsichtsbehörden absichert (Art. 33 Abs. 5): Der Verantwortliche hat demnach alle Verletzungen des Schutzes personenbezogener Daten zu dokumentieren. Das Vorliegen eines Risikos (wie bei der Meldepflicht) ist für diese Dokumentationspflicht nicht Voraussetzung!
Die Dokumentation hat die im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihre Auswirkungen und die ergriffenen Abhilfemaßnahmen zu umfassen. Vorsorglich sollte in der Dokumentation auch begründet werden, warum eine Meldung nach Artikel 33 DSGVO oder Benachrichtigung nach Artikel 34 DSGVO nicht erfolgt ist.
Um es noch einmal deutlich zu betonen: Die interne Dokumentationspflicht (Art. 33 Abs. 5 DSGVO) besteht auch dann, wenn keine Meldung oder Benachrichtigung nach den Artikeln 33 beziehungsweise 34 DSGVO erfolgen muss. Voraussetzung ist allein eine Verletzung des Schutzes personenbezogener Daten.
Konsequenzen der (Nicht-)Meldung
Das rechtswidrige Unterlassen sowohl der Meldung als auch der Benachrichtigung ist mit einem Bußgeld bewehrt, und zwar „von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs …, je nachdem, welcher der Beträge höher ist.“ Eine pflichtwidrig unterlassene Benachrichtigung eines Betroffenen kann daneben auch Anknüpfungspunkt für einen Schadensersatzanspruch sein, wenn der Schaden (auch) auf die unterlassene Benachrichtigung zurückzuführen ist.
Auf den zweiten Blick: Mögliche Konsequenzen der Meldung
Diese Rechtslage darf – jedenfalls in der Beratung – jedoch nicht zur Blindheit für die Risiken einer erfolgten Meldung oder Benachrichtigung führen. Verdeutlichen Sie sich nochmals: Aufgrund der Ausweitung der Bußgeldtatbestände auf fast alle Pflichten gemäß DSGVO birgt jede Meldung und Benachrichtigung zugleich das Einräumen eines Verstoßes und damit die Grundlage für ein Bußgeld und einen Schadensersatzanspruch.
Überwiegend wird es sich dabei um eine Verletzung der Pflichten zur Sicherheit der Verarbeitung handeln (Art. 32 DSGVO), die ihrerseits bußgeldbewehrt ist. Faktische Konsequenz: Mit der Meldung wird ein bußgeldbewehrter Verstoß gestanden. Auch aus dieser Perspektive sollte man sich Artikel 83 DSGVO „Allgemeine Bedingungen für die Verhängung von Geldbußen“ noch einmal genauer vergegenwärtigen.
Die Gefahr für den Verantwortlichen und letztlich auch für den Auftragsverarbeiter, dass sich an die Meldung oder Benachrichtigung ein Bußgeldverfahren oder eine Schadensersatzforderung anschließt, steigt mit dem Risiko, das für die Rechte und Freiheiten der betroffenen Person aufgrund des Vorfalls besteht.
Inhalte einer Meldung/ Benachrichtigung
Wenn es darum geht, die Risiken einer Meldung oder Benachrichtigung ins Auge zu fassen, ist auch ein Blick auf deren Inhalt anzuraten. In diesem Kontext sind folgende Teile der Benachrichtigungs- und Dokumentationspflicht hervorzuheben:
- Art der Verletzung des Schutzes personenbezogener Daten und (soweit möglich) Angabe der Kategorien sowie der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze (Art. 33 Abs. 3 lit. a DSGVO
- Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (Art. 33 Abs. 3 lit. b DSGVO)
- Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 3 lit. c DSGVO)
- Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen (Art. 33 Abs. 3 lit. d DSGVO).
- Für eine Benachrichtigung nach Artikel 34 DSGVO gilt: „… beschreibt in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten und enthält mindestens die in Artikel 33 Absatz 3 Buchstaben b, c und d genannten Informationen und Empfehlungen.“
Dass dieser Inhalt so interessant ist, wenn es um die Risiken einer Meldung geht, ergibt sich aus den Bußgeldzumessungskriterien (Art. 83 Abs. 2 DSGVO), denn die Inhalte der Meldung sind gleichzeitig auch wesentlich für die Bußgeldbemessung. Der Meldende liefert diese der Aufsichtsbehörde also quasi „frei Haus“.
Durch Betroffene drohen zudem Schadensersatzansprüche (nach Art. 82 DSGVO und darüber hinaus auch aus einem eventuellen Vertrag sowie weiteren Anspruchsgrundlagen des Bürgerlichen Gesetzbuchs – BGB). Ob danach nur die betroffenen Personen – also diejenigen, deren Daten verarbeitet wurden – oder auch weitere Personen anspruchsberechtigt sind, ist noch umstritten. Faktische Konsequenz ist jedoch: Mit der Benachrichtigung werden die Tatsachen mitgeteilt, die zur Begründung einer Schadensersatzforderung erforderlich sind.
Zu bedenken ist auch, dass die Meldung und Benachrichtigung wie eine Art Geständnis wirken und verwertet werden können. Das Argument, eine Meldung sei so ja nicht gemeint gewesen, sollte man nicht als sichere Ausrede betrachten. Darüber hinaus würde ein solches Argument das Risiko des Vorwurfs eines Verstoßes gegen die Artikel 33 und 34 DSGVO Bergen.
Ein Schadensersatz ist nicht auf materielle Schäden beschränkt, sondern umfasst auch immaterielle Schäden (Stichwort: Schmerzensgeld). Wenngleich die deutsche Rechtsprechung bisher bei immateriellen Schäden zurückhaltend war, kann sich das unter der DSGVO und der erforderlichen EU-weit einheitlichen Anwendung ändern. Überdies haften dafür gegebenenfalls auch die beteiligten Auftragsverarbeiter und Joint Controller (Art. 82 DSGVO).
Beweisverwendungsverbot des BDSG
Das aktuelle Bundesdatenschutzgesetz enthält ein sogenanntes Beweisverwendungsverbot: „Eine Meldung nach Artikel 33 der Verordnung (EU) 2016/679 oder eine Benachrichtigung nach Artikel 34 Absatz 1 der Verordnung (EU) 2016/679 darf in einem Strafverfahren gegen den Meldepflichtigen oder Benachrichtigenden oder seine in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden verwendet werden.“ (§ 42 Abs. 4 BDSG bzw. analog für Bußgelder in § 43 Abs. 4 BDSG, vgl. www.gesetze-im-internet. de/bdsg_2018/).
Was auf den ersten Blick gut klingt, kann sich auf den zweiten Blick jedoch als Enttäuschung erweisen (ausführlich erläutert in [1]): Geschützt ist nur der Verantwortliche – also nicht die Geschäftsleitung und nicht der Handelnde, obwohl auch gegen diese Personen Bußgelder in Betracht kommen. Darüber hinaus gibt es zu Parallelregelungen in anderen Gesetzen die Auslegung, dass nur das nicht verwendet werden darf, was die Strafverfolgungsbehörde ohne die Meldung nicht selbst hätte ermitteln dürfen. Darüber hinaus werden sich Stimmen finden, die argumentieren, dass dieses Beweisverwendungsverbot gegen die DSGVO verstößt. Nach deutschen verfassungsrechtlichen Grundsätzen sowie der Europäischen Menschenrechtskonvention darf aber niemand gezwungen werden, sich selbst zu belasten.
Selbst wenn zu hoffen bleibt, dass dieses Beweisverwendungsverbot großzügig ausgelegt wird, kann dies letztlich erst die Praxis zeigen. Hierauf sollte in der Beratung jedenfalls nicht „in blindem Vertrauen“ Bezug genommen werden.
Gegen die Begründung von Schadensersatzansprüchen durch Betroffene anhand der Informationen aus einer Benachrichtigung an sie schützen diese Regelungen ohnehin nicht – das Beweisverwendungsverbot gilt nur in einem Strafoder Ordnungswidrigkeitsverfahren gegen den Meldepflichtigen oder Benachrichtigenden.
Bußgeldreduzierende Auswirkungen
Laut DSGVO sind bei der Bußgeldbemessung „jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens“ (Art. 83 Abs. 2 lit. c) und die „Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat“ (Art. 83 Abs. 2 lit. h) zu berücksichtigen.
Diese Regelungen könnte man so handhaben, dass die Erfüllung der Melde- und/oder Benachrichtigungspflicht sowohl beim „Ob“ als auch bei der Bemessung der Höhe eines Bußgeldes zugunsten des Meldenden berücksichtigt werden. Sicherlich wird es aber auch Stimmen geben, die anführen, dass die Erfüllung einer ohnehin bestehenden gesetzlichen Pflicht (also Art. 33, 34 DSGVO) nicht auch noch belohnt werden darf.
Fazit
Für den Schutz Betroffener ist die Melde- und Benachrichtigungspflicht zur Stärkung des Datenschutzes wichtig: Durch sie wird gerade dort Transparenz geschaffen und eine Schutzlücke geschlossen, wo man sich nicht selbst schützen kann. Denn Betroffene würden eigenständig keine Kenntnis von der Verletzung der Sicherheit ihrer personenbezogenen Daten erlangen können.
Dennoch bedeuten die Meldung und Benachrichtigung für die dazu Verpflichteten ein „hartes Los“ – gerade auch deshalb, weil die Pflicht hierzu auch dann besteht, wenn der Verpflichtete nichts für den Vorfall kann.
In der Praxis müssen bei Meldung und Benachrichtigung auch die möglichen Konsequenzen ins Auge gefasst werden. Denn damit kann der eigentliche Ärger – nämlich Bußgeldverfahren und/oder Schadensersatzprozesse – erst so richtig beginnen. Das Bundesdatenschutzgesetz sieht zwar ein Beweisverwendungsverbot vor (§ 42 Abs. 4 und § 43 Abs. 4 BDSG) – ein blindes Vertrauen hierauf ist nicht angezeigt. Den Schutzumfang durch dieses Verbot muss die Praxis erst noch zeigen.
Dr. Jens Eckhardt (eckhardt@derra-d.de) ist Rechtsanwalt und Fachanwalt für IT-Recht bei dmp – Derra Meyer & Partner Rechtsanwälte (www.derra.eu) sowie Datenschutz-Auditor (TÜV), Compliance-Officer (TÜV) und Mitglied im Vorstand des Berufsverbandes der Datenschutzbeauftragten Deutschlands(BvD) e. V. (www.bvdnet.de).
Literatur
[1] Dr. Jens Eckhardt, Konrad Menz, Bußgeldsanktionen der DS-GVO, DuD – Datenschutz und Datensicherheit 03/2018, S. 139