Ungeliebte Klassiker eines Datenschutzvorfalls sind der Versand einer vertraulichen E-Mail mit personenbezogenen Daten an einen falschen Empfänger* oder der Verlust eines unverschlüsselten USB-Sticks mit sensiblen Daten.
Bei der ersten Datenschutzpanne wird vermutlich der falsche Empfänger* rasch darauf hinweisen, dass hier etwas schiefgelaufen ist. Und ab diesem Zeitpunkt startet die Meldefrist von 72 Stunden, denn solche Vorfälle sind grundsätzlich nach Art. 33 DSGVO meldepflichtig – selbst wenn der falsche Empfänger* zusichert, die Mail sofort gelöscht und den Inhalt nicht vollständig gelesen zu haben. Der Verantwortliche muss dies der zuständigen Aufsichtsbehörde mitteilen und je nach Inhalt der Mail auch dem Betroffenen.
Schwieriger wird es, wenn ein Datenschutzverstoß zu einem erheblich späteren Zeitpunkt als er eingetreten ist, bekannt wird. Hat der Verantwortliche dann automatisch die Meldefrist überschritten und es drohen Bußgelder? Nein.
Denn in Art. 33 Abs. 1 S. 1 DSGVO heißt es: "Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, …"
Das bedeutet, wie so oft, dass der konkrete Einzelfall entscheidend ist, ab wann die Uhr bei einem meldepflichtigen Vorfall tickt. Besteht erst einmal nur ein vager Verdacht, muss dieser zwar sofort geprüft werden, ist aber zu dem Zeitpunkt noch nicht meldepflichtig. Sobald sich allerdings ein "angemessener Grad an Sicherheit" eines Datenschutzvorfalls ergibt, muss an die zuständige Aufsichtsbehörde und je nach Schweregrad auch an den Betroffenen gemeldet werden.
Im Falle des verlorenen USB-Sticks, der wiedergefunden wird, startet die Meldefrist, sobald der Vorfall dem Verantwortlichen bekannt wird. Allerdings gilt dies nur, wenn die Daten nicht ausreichend verschlüsselt waren. Waren sie es, ist dieser Vorfall nicht meldepflichtig.
Problematisch bei der knapp bemessenen Meldefrist ist somit nicht so sehr der Zeitpunkt des Vorfalls, sondern die Definition, ab wann der Verantwortliche Kenntnis davon hat. Es gibt aktuell noch keine einheitliche Sprachregelung der Aufsichtsbehörden, ab welchem Zeitpunkt dem Verantwortlichen Kenntnis von einem Datenschutzvorfall zugerechnet werden kann. Muss er persönlich Kenntnis von dem Vorfall haben? Oder genügt es bereits, wenn eine beliebige Person im Unternehmen Kenntnis erlangt, damit die Meldefrist startet?
Betrachtet man die bisherigen Stellungnahmen der Datenschutzbehörden, sollte man unbedingt davon ausgehen, dass nicht zwingend die persönliche Kenntnisnahme zählt, sondern bereits, dass bestimmte Funktionseinheiten oder Funktionsträger* Kenntnis von einem Vorfall erhalten. Eine verbindliche Aussage zum Fristbeginn im Rahmen von Datenschutzvorfällen ist derzeit noch nicht möglich.
Fazit: Nur eine ausreichende Sensibilität aller Mitarbeiter* und ein umfassendes Risikobewusstsein im Unternehmen, kann im Falle eines Falles vor unangenehmen Folgen bewahren.
Wir bei REISSWOLF schulen oft und intensiv alle unsere Mitarbeiter* zu diesem Thema. Und wenn Sie mögen, können auch Sie mehr hierzu erfahren in unserem kostenlosen Best-Practice-Webinar "Meldepflicht von Mitarbeitern* bei IT-Sicherheits- und Datenschutzvorfällen".
*w/m/d