Welche Meldepflichten hat ein Verantwortlicher bei Datenschutzverletzungen? DSGVO Art. 33, 34, 82, 83
Meldepflicht gegenüber Datenschutzbehörde und gegenüber Betroffenen - Einschränkung der Meldepflicht gegenüber Betroffenen nur bei Wahrscheinlichkeit eines hohen Risikos - Meldepflicht gilt auch bei Verlust von Geräten wie Smartphone, Notebook oder USB-Stick, wenn sie personenbezogene Daten enthalten
Schon bisher Verständigungspflicht der Betroffenen
Schon im DSG 2000 gibt es gemäß § 24 Abs. 2a bei Datenschutzverletzungen eine Meldepflicht gegenüber dem Betroffenen. Dies jedoch nur im Zusammenhang mit einem hohen Risiko für den Betroffenen, wenn die Datenschutzverletzung schwerwiegend war, zahlreiche Personen betraf und wenn die Verständigung nicht allzu aufwändig ist. Eine Art Verständigungspflicht "light".
In den letzten Jahren kam es zu zahlreichen derartigen Verständigungen, unter anderem im Zusammenhang mit der GIS, einiger österreichischer Energieversorger und Verkehrsunternehmen.
Ignoriert wurde die Meldepflicht im Zusammenhang mit dem größten Datenschutzskandal der Republik, der rechtswidrigen Weitergabe von mehreren Millionen Exekutionsdatensätzen an Wirtschaftsauskunftsdienste. Hier stand das Justizministerium auf den Standpunkt, die öffentliche Berichterstattung wäre ausreichend.
Massive Ausweitung der Meldepflicht
Mit der neuen Datenschutzgrundverordnung (DSGVO) wird die Meldepflicht drastisch ausgeweitet. Zum einen besteht eine Meldepflicht bei jeder Datenschutzverletzung an die Datenschutzbehörde. Diese kann nur dann entfallen, wenn kein Risiko für die Betroffenen besteht. Schon im Fall eines geringen Risikos besteht die Meldepflicht.
Kein Risiko wird dann bestehen, wenn verlorene Daten so stark verschlüsselt sind, dass sie mit den heute bekannten Techniken nicht entschlüsselt werden können. Dies wird bei Daten auf zertifizierten Smartcards oder HSM-Systemen der Fall sein (HSM = Hardware Security Modules). Auch eine Kombination von zertifizierten biometrischen Verfahren und Zwei-Faktor-Authentisierung kann als ausreichende Sicherheitsmaßnahme angesehen werden.
Verlorene Geräte mit personenbezogenen Daten, die nur über einen Zugriffsschutz mittels Passwort verfügen, werden nicht ausreichend abgesichert sein. Auch die Schutzmechanismen bekannter Betriebssysteme sind leicht zu umgehen und daher bestenfalls unter die Rubrik Sicherheitsfolklore einzuordnen.
Gegenüber Betroffenen besteht die beschränkte Verständigungspflicht bei einem möglichen hohen Risiko "für die Rechte und Freiheiten des Betroffenen". Klargestellt wurde jedoch, dass Betroffene persönlich zu informieren sind. Nur wo dies nicht möglich ist, können vergleichbar effektive Alternativen genutzt werden.
Alternativ kann die Datenschutzbehörde Betroffene informieren, etwa wenn sich ein Verantwortlicher weigert seinen Meldepfflichten nachzukommen.
Umfassende Meldepflicht gegenüber Datenschutzbehörde
Der Datenschutzbehörde sind folgende Informationen zu geben:
- Beschreibung der Art der Datenschutzverletzung
- Name und Kontaktstelle die über den Vorfall Auskunft geben kann (Datenschutzbeauftragter oder sonstige Anlaufstelle)
- Beschreibung der wahrscheinlichen Folgen für Betroffene
- Beschreibung der ergriffenen Maßnahmen
- Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Daten-Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
Die Meldung hat binnen 72 Stunden zu erfolgen, kann aber - abhängig vom Sachverhalt - auch schrittweise erfolgen. Nur wenn die Ermittlung der Datenschutzverletzung aufwändig ist oder sonstige Unklarheiten bestehen, kann die Meldug später erfolgen. Die Verspätung ist jedoch zu begründen.
Die Meldepflicht besteht auch dann, wenn dem Verantwortlichen kein Verschulden an der Datenschutzverletzung trifft, etwa weil sich eine von ihm verwendete Software oder Hardware nachträglich als fehlerhaft oder unzuverlässig entpuppt hat.
Eingeschränkte Meldepflicht gegenüber Betroffenen
Die Meldepflicht gegenüber dem Betroffenen ist grundsätzlich ident. Nicht meldepflichtig an den Betroffenen sind jedoch Angaben über die Zahl der betroffenen Personen, der Kategorien der Personen oder die Zahl der betroffenen Datensätze.
Die Meldepflicht kann entfallen, wenn kein hohes Risiko für den Betroffenen besteht oder nachträgliche Maßnahmen das Risiko reduzieren. Dies wird dann der Fall sein, wenn Zugangskennungen nach Korrumpierung unverzüglich gesperrt werden.
Die Meldung kann auch entfallen, wenn technische und/oder organisatorische Sicherheitsmaßnahmen den Zugriff auf die betroffenen Daten verhindern. Dies wird bei geeigneten Verschlüsselungen der Fall sein.
Internes Datenschutzmanagement erforderlich
Das eigentliche Problem der umfassenden Meldepflichten sind weniger die einzelnen Datenschutzverletzungen, als die Verpflichtung rasch zu reagieren.
Schon der Verlust eines Mobiltelefons kann Meldepflicht auslösen. Bisher war der Verlust eines Firmenhandys eine interne Angelegenheit zwischen Mitarbeiter, seinem Vorgesetzten und der Einkaufsabteilung. Schlimmstenfalls wurde die Kostenstelle der Mitarbeiterabteilung mit einigen hundert Euro Aufwand belastet und das Handy beim Mobilfunkbetreiber gesperrt bzw. abgemeldet.
Jetzt muss geprüft werden, in welchem Umfang personenbezogene Daten betroffen sind und rasch jedenfalls an die Datenschutzbehörde gemeldet werden. Das Informationsmanagement bei Verlust von Datenträgern MUSS im Unternehmen innerbetrieblich zentral gesteuert werden. In großen Unternehmen mit vielen Standorten eine echte Herausforderung, auf die man sich schon jetzt vorbereiten sollte. Bei der ersten Datenschutzverletzung ist es zu spät.
Zahlreiche Datenschutzschwachstellen möglich
Neben verlorenen Datenträgern (Smartphone, USB-Stick, Notebook, DVD, ausgedruckte Listen) gibt es zahllose weitere Bereiche, die zu Datenschutzverletzungen führen können.
Potentielle Schwachstellen (Auszug):
- fehlerhafte Eingabemasken, die zu falsch ermittelten Daten führen
- ungeeignete biometrische Identifikationssysteme, die den falschen Personen Zugriff/Zugang gewähren
- Sicherheitslücken auf Grund fehlerhafter Hard- oder Software
- fehlerhafte Scoringmechanismen, die falsche Bewertungen durchführen
- fehlerhafte Lösch- und Backup-Prozesse, die keine Wiederherstellung notwendiger Daten erlauben
- unzureichende Sicherungsmechanismen, die Angriffe durch externe und interne Täter erlauben
- fehlerhaft adressierte eMails
Neben einem effizienten Meldeverfahren sind daher die Datenverarbeiter mehr als bisher gefordert Datenschutzschwachstellen zu identifizieren und versuchte Verletzungen zu erkennen.
In Hochsicherheitsbereichen, etwa im Gesundheitswesen, werden Verarbeiter ohne einem Dokumentenmanagementsystem, Verschlüsselung und elektronischer Signatur, qualifizierte Zeitstempelsysteme, Intrution-Detection-Systeme, redundante Verständigungssysteme und revisionssicherem Logging nicht auskommen.
Die DSGVO verlangt nichts davon ausdrücklich, um jedoch auditierbar zu bleiben oder auch eine Datenschutz-Zertifizierung zu bekommen, wird darum kein Weg herum führen.
Hohe Sanktionsdrohung
Eine Missachtung der Meldepflichten ist mit Geldbußen bis 10 Millionen Euro oder 2 % des Jahresumsatzes zu ahnden, je nachdem was höher ist.
Zusätzlich können Betroffene Schadenersatz verlangen. Dies gilt für erlitterne materielle Schäden, etwa Zusatzkosten die durch Ausstellung neuer Dokumente oder Zahlungshilfsmittel (Kreditkarten) entstehen können.
Der Schadensersatzanspruch gilt jedoch auch für "immaterielle" Schäden, also für die Verunsicherungen und Sorgen die eine derartige Datenschutzverletzung auslösen. Im Gegensatz zu früher ist dabei eine "bloßstellende Veröffentlichung" persönlicher Daten nicht mehr Erfordernis für den Schadensersatzanspruch.
Es gibt zwar keine Untergrenze in der Schadenshöhe, es gibt aber auch keine Obergrenze. Ein minimaler Pauschalwert von 1.000,- Euro für die erlittenen "immateriellen" Schäden je Person ist angesichts bisheriger OGH-Enscheidungen realistisch. Sind mehrere tausend Menschen davon betroffen, kann sich die Schadensersatzforderung rasch in Millionenhöhe bewegen.
|