Bußgeld gegen Twitter – die 72h-Meldefrist für Datenschutzverletzungen nach Art. 33 DS-GVO kennt keine Ferien (Teil 1 von 3)

Betriebsferien oder Unterbesetzung - jedes Unternehmen kennt es, wenn Feiertage oder Ferien vor der Tür stehen. Es werden noch schnell die letzten Aufgaben erledigt und Vertretungspläne erstellt, wer was im Fall der Fälle zu übernehmen hat. Häufig wird hierbei jedoch der Datenschutz vergessen. Dies ist nun auch Twitter zum Verhängnis geworden. In einer dreiteiligen Beitragsreihe befasst sich unsere Datenschutzbeauftragte und Volljuristin Corinna mit den Besonderheiten der Meldefristen für Datenschutzverletzungen.

Die irische Datenschutzbehörde hat gegen Twitter ein Bußgeld in Höhe von 450.000 Euro wegen der Verletzung der Meldefrist von 72h und der Dokumentationspflicht von Datenschutzverletzungen nach Art. 33 Abs. 1, 5 DS-GVO verhängt.² Der Datenschutzverletzung lag ein Bug bei Twitter zugrunde, wodurch temporär geschützte Tweets für die Öffentlichkeit lesbar waren. Twitter selbst sei während der Weihnachtsfeiertage 2018 und Neujahr darauf aufmerksam geworden; habe jedoch nach eigenen Angaben aufgrund der Unterbesetzung im Unternehmen während der Feiertage die Meldefrist von 72h nach Art. 33 Abs. 1 DS-GVO an die Datenschutzbehörde nicht einhalten können.³

An dieser Stelle sollten Sie sich fragen: „Kann unserem Unternehmen das auch passieren?“  

Das hängt natürlich davon ab, wie gut Sie intern bzgl. des Managements von Datenschutzverletzungen aufgestellt sind. Denn grundsätzlich trifft eine Unterbesetzung von Personal für die meisten Unternehmen während der Ferien oder Feiertagen zu. Die Begründung von Twitter, warum die Meldefrist nicht eingehalten worden ist, scheint daher auf den ersten Blick nicht abwegig, sondern vielmehr plausibel; ob sie der Wahrheit entspricht, sei mal dahingestellt. Vergewissern Sie sich daher insbesondere vor den Ferien oder den Feiertagen, dass auch entsprechende Vertretungsregelungen in Bezug auf die Erkennung und Meldung von Datenschutzverletzungen bei Ihnen im Unternehmen getroffen worden sind.
 

Dreiteilige Beitragsreihe

Damit Sie sich noch einmal vor Augen führen, was in Bezug auf die Meldepflicht nach Art. 33 DS-GVO wichtig ist, haben wir dies für Sie in 3 Teilen zusammengefasst. Im 1. Teil erläutern wir die Meldepflicht von Datenschutzverletzungen des Verantwortlichen gegenüber der Aufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO, im 2. Teil befassen wir uns mit der Frage, wem gegenüber der Auftragsverarbeiter Datenschutzverletzungen zu melden hat, im 3. Teil gehen wir letztlich auf die Benachrichtigungspflicht von Datenschutzverletzungen des Verantwortlichen gegenüber den betroffenen Personen nach Art. 34 DS-GVO ein.  

In Unternehmen sollten Datenschutzverletzungen grundsätzlich nicht vorkommen, ganz auszuschließen sind sie jedoch nie. Die entscheidende Frage ist dann, wie mit der Datenschutzverletzung umgegangen wird? 
Diesbezüglich erlegt die DS-GVO in Art. 33 Abs. 1 DS-GVO dem Verantwortlichen bestimmte Pflichten auf. Ein Blick in die DS-GVO ist an dieser Stelle also hilfreich. Nach Art. 33 Abs. 1 DS-GVO hat der Verantwortliche im Falle einer Datenschutzverletzung diese unverzüglich und möglichst binnen 72h, nachdem ihm die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. 

Ausgangspunkt für die Meldepflicht nach Art. 33 Abs. 1 DS-GVO ist also eine Datenschutzverletzung. Diese wiederum ist in Art. 4 Nr. 12 DS-GVO definiert. Danach ist eine Datenschutzverletzung eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt. Es geht also bei der Auslösung der Meldepflicht um Verletzungen der Datensicherheit und nicht um sonstige Verstöße gegen die DS-GVO, bspw. eine unrechtmäßige Datenverarbeitung nach Art. 6 DS-GVO. Die Datensicherheit ist in der Regel verletzt, wenn eines der drei folgenden Schutzziele der Datensicherheit verletzt wurde: Vertraulichkeit, Verfügbarkeit oder Integrität. Die Integrität ist beeinträchtigt, wenn die personenbezogenen Daten entweder durch Befugte in unzulässiger Weise oder durch andere Ursachen unzulässig geändert worden sind. Die Verfügbarkeit, wenn die Daten für Befugte bei Bedarf nicht oder vorübergehend nicht zur Verfügung stehen. Die Vertraulichkeit, wenn Unbefugte Zugriff auf die Daten erlangen. 

Datenschutzverletzungen können daher z. B. aufgrund von Hackerangriffen oder dem Verlust/Diebstahl von elektronischen Geräten oder aufgrund von Fehlversendungen von E-Mails/Briefen entstehen. Wichtig ist, dass Datenschutzverletzungen unabsichtlich (z. B. Fehlversand von E-Mails) oder absichtlich (Hackerangriff) passieren können.

Wenn eine Datenschutzverletzung vorliegt, ist fraglich, wann Sie diese Ihrer zuständigen Aufsichtsbehörde melden müssen. Die DS-GVO geht von einem Regel-Ausnahme-Prinzip aus. Grundsätzlich ist jede Datenschutzverletzung zu melden, es sei denn, dass die Datenschutzverletzung nicht zu einem Risiko für die Rechte und Freiheiten von den betroffenen Personen führt, Art. 33 Abs. 1 DS-GVO. Wann ein Risiko besteht, ist nicht in jedem Fall leicht zu beurteilen. Im Wesentlichen geht es um die Abwägung, wie wahrscheinlich ein Schadenseintritt ist und wie hoch der Schaden dann sein wird. Schäden können z. B. materielle (finanzielle Verluste) oder immaterielle (Diskriminierung, Rufschädigung) oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile sein. Hilfestellungen zur Ermittlung des Risikos gibt die Übersicht des EDSA bzw. der Artikel-29-Datenschutzgruppe, „WP250rev.01 – Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogene Daten gemäß der Verordnung (EU) 2016/678“.⁴ 

Wichtig ist, dass mit „Risiko“ nicht gemeint ist, dass gar kein Risiko bestehen muss. Dies ist bei der Verarbeitung von personenbezogenen Daten nicht möglich. Es ist vielmehr ein geringes Risiko gemeint. Das Wort „gering“ müssen Sie gedanklich bei Art. 33 Abs. 1 DS-GVO mitlesen. Ob Sie eine Datenschutzverletzung der Aufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO melden müssen, hängt von Ihrer Risikobeurteilung der Datenschutzverletzung ab. Eine Meldepflicht besteht nicht, wenn Ihre Risikoanalyse ergibt, dass für die betroffene Person ein geringes Risiko besteht. Demgegenüber müssen Sie Datenschutzverletzungen melden, wenn ein mittleres oder hohes Risiko besteht. 

Die Datenschutzverletzung müssen Sie Ihrer zuständigen Aufsichtsbehörde melden, Art. 55, 56 DS-GVO. Diese ist in der Regel die, an welcher Ihre Hauptniederlassung (insbesondere bei grenzüberschreitender Datenverarbeitung der Fall) oder einzigen Niederlassung Ihren Sitz hat.  

Damit gegen Sie nicht auch ein Bußgeld wie gegen Twitter verhängt wird, müssen Sie die Frist zur Meldung von Datenschutzverletzungen unbedingt einhalten. Nach Art. 33 Abs. 1 DS-GVO müssen Sie Datenschutzverletzungen unverzüglich und möglichst binnen 72h nach bekannt werden der zuständigen Aufsichtsbehörde melden. Wie schon erwähnt, lassen sich Datenschutzverletzungen nicht ohne Weiteres erkennen. Ihre Aufgabe ist es dann, anhand von weiteren Informationen aufzuklären, ob eine Datenschutzverletzung vorliegt. Das kostet natürlich Zeit und korreliert unter Umständen mit der 72h-Meldefrist. 

a) „Bekannt werden“ der Datenschutzverletzung 

Die Frist von 72h wird ab dem Zeitpunkt ausgelöst, an welchem Ihnen die Datenschutzverletzung bekannt wird. Dies ist der Fall, wenn aufgrund von hinreichenden Anhaltspunkten eine hohe Wahrscheinlichkeit für eine Datenschutzverletzung besteht. Damit reicht ein bloßer Verdacht grundsätzlich nicht aus, um die Frist auszulösen. Sie dürfen aber auch nicht so viel Zeit mit der Aufklärung verbringen, bis die Datenschutzverletzung positiv feststeht, da dann je nach Auslegung Ihrer Aufsichtsbehörde die Frist schon zu laufen begonnen hat. Informieren Sie sich daher schon vor möglichen Datenschutzverletzungen, wie lange gegebenenfalls eine erste Aufklärung dauern darf, ohne die Frist von 72h auszulösen (teilweise werden 24h angenommen).  
Insbesondere bei größeren Unternehmen ist fraglich, wann dem Verantwortlichen die Datenschutzverletzung bekannt wird. In der Regel geschieht dies über die Wissenszurechnung im Unternehmen. Sie müssen sich also als Verantwortlicher die Kenntnis etwaiger Beschäftigten von Datenschutzverletzungen unter Umständen zurechnen lassen. Wann eine Wissenszurechnung erfolgt, ist abhängig vom Einzelfall, insbesondere der Größe des Unternehmens. Sie kann jedoch angenommen werden, wenn bestimmte Führungskräfte neben der Geschäftsführung bzw. vor der Geschäftsführung Kenntnis von Datenschutzverletzungen haben.  

b) Unverzügliche Meldung und möglichst binnen 72h 

Eine bekannt gewordene Datenschutzverletzung müssen Sie der zuständigen Aufsichtsbehörde grundsätzlich unverzüglich und möglichst binnen 72h melden. Unverzüglich bedeutet so viel wie „ohne schuldhaftes Zögern“, welches insbesondere eine Rolle spielt, wenn gravierende Datenschutzverletzungen vorliegen oder die Datenschutzverletzungen leicht für Sie zu erkennen sind. Die 72h-Frist sollten Sie grundsätzlich einhalten, um Sanktionen wie gegen Twitter zu vermeiden. Wenn Sie die Frist nicht einhalten, müssen Sie gegenüber der Aufsichtsbehörde begründen, warum Sie dies nicht konnten, Art. 33 Abs. 1 DS-GVO. Unterbesetzung als Begründung wird nach dem Bußgeld gegen Twitter wohl kaum akzeptiert werden.

Die 72h-Frist dürfen Sie nicht nach den üblichen Regelungen des BGB (§§ 187 ff. BGB) berechnen, da es sich um eine europäisch angeordnete Frist handelt. Die Fristberechnung erfolgt nach Art. 2 ff. Fristen-VO (Verordnung [EWG, Euratom] Nr. 1182/71 des Rates vom 3. Juni 1971 zur Festlegung der Regeln für die Fristen, Daten und Termine). Fristbeginn und Fristende sind in Art. 3 Fristen-VO geregelt. Danach ist auf die 72h-Frist bezogen die Stunde nicht miteinzuberechnen, in welche der Zeitpunkt des Bekanntwerdens der Datenschutzverletzung fällt. 

Beispiel:  Ihnen wird eine Datenschutzverletzung am 18.12.2020 um 13:25 Uhr bekannt. Die Frist beginnt nicht um 13:25 Uhr zu laufen, sondern um 14:00 Uhr und endet am 21.12.2020 um 14:00 Uhr. Wichtig ist, dass im Gegensatz zu § 193 BGB die 72h-Frist sich nicht verlängert, wenn das Ende auf einen Samstag, Sonntag oder Feiertag fällt, da eine entsprechende Regelung in der Fristen-VO in Bezug auf eine Stundenfrist fehlt. Dies müssen Sie insbesondere bei anstehenden Ferien oder Feiertagen beachten. 

Welche Informationen Sie bzgl. der Datenschutzverletzung an die Aufsichtsbehörde übermitteln müssen, ergibt sich aus Art. 33 Abs. 3 DS-GVO. Art. 33 Abs. 3 DS-GVO enthält diesbezüglich die Mindestinhalte.⁵ Wenn Sie über mehr Informationen verfügen, sollten Sie diese der Aufsichtsbehörde mitteilen. Denn die Informationen dienen der Aufsichtsbehörde zur Prüfung, ob die von Ihnen getroffenen Maßnahmen ausreichend sind. Oftmals wirkt sich eine Kooperation mit den Aufsichtsbehörden auch positiv auf die Höhe einer möglichen Sanktion aus. Bzgl. der betroffenen Personen müssen Sie diese nicht namentlich nennen, sondern es reicht die Aufzählung der betroffenen Kategorien, z. B. Kundschaftsdaten, Beschäftigte.
Hinsichtlich der Form der Meldung macht Art. 33 Abs. 3 DS-GVO Ihnen keine konkreten Vorgaben. Aus Nachweisgründen empfiehlt sich jedoch zumindest die Textform. In der Regel bieten so gut wie fast alle Aufsichtsbehörden an, dass die Meldung einer Datenschutzverletzung über ein Online-Formular erfolgen kann. Es lohnt sich daher, sich einmal mit dem Meldeformular der Aufsichtsbehörde vertraut zu machen.

Bitte beachten Sie, wenn Sie nicht alle Informationen zusammen der Aufsichtsbehörde übermitteln können, dass Sie diese auch nachliefern können, Art. 33 Abs. 4 DS-GVO. Dadurch soll gewährleistet werden, dass Verantwortliche die 72h-Frist (absichtlich) nicht einhalten, weil sie annehmen, dass sie alle Informationen zusammen bereitstellen müssen. Ziel der Meldepflicht ist es aber, dass das Ausmaß der Datenschutzverletzung für die betroffenen Personen möglichst gering gehalten wird. Daher kann es auch ausreichend sein, wenn nur ein Teil der Informationen an die zuständige Aufsichtsbehörde übermittelt wird, damit diese alleine oder gemeinsam mit dem Verantwortlichen feststellen kann, ob die betroffenen Personen nach Art. 34 DS-GVO benachrichtigt werden sollten, z. B. weil sie das Ausmaß der Datenschutzverletzung durch ein eigenes Tätigwerden eingrenzen können (z. B. Passwortänderung). 

Letztlich müssen Sie alles, was im Zusammenhang mit einer (möglichen) Datenschutzverletzung steht, dokumentieren. Dies schreibt Art. 33 Abs. 5 DS-GVO ausdrücklich vor. Das Bußgeld gegen Twitter wurde auch verhängt, weil es die Dokumentationspflichten nach Art. 33 Abs. 5 DS-GVO vernachlässigt hatte. Sie müssen daher intern regeln, wie z. B. (mögliche) Datenschutzverletzungen zu dokumentieren sind. Art. 33 Abs. 5 DS-GVO schreibt bzgl. der Dokumentation keine konkrete Form vor. Da die Aufsichtsbehörden aber anhand der Dokumentation überprüfen müssen, ob die Vorgaben des Art. 33 DS-GVO von Ihnen eingehalten worden sind, sollten Sie zumindest auf eine elektronische Dokumentation setzen. Zu dokumentieren sind nicht nur Datenschutzverletzungen, die positiv feststehen, sondern auch dann, wenn sie noch nicht feststehen. Erst aufgrund dieser Informationen kann die Aufsichtsbehörde beurteilen, ob Sie zu Recht eine Meldung an diese unterlassen haben. Ratsam ist es daher, dass Sie intern ein Formular für die Meldung von Datenschutzverletzungen verwenden. Inhaltlich können Sie sich an den Mindestvorgaben des Art. 33 Abs. 3 DS-GVO orientieren. Gleichzeitig ist es wichtig, dass Sie festlegen, wie die Informationen innerhalb Ihres Unternehmens weiterzuleiten sind und welche Fachabteilungen informiert werden müssen.

Unterweisen Sie Ihre Beschäftigten daher, wie mit einer Datenschutzverletzung umzugehen ist, und dass auch vermeintlich unerhebliche Datenschutzverletzungen dokumentiert werden müssen. Beziehen Sie natürlich, wenn vorhanden, auch Ihren betrieblichen Datenschutzbeauftragten mit ein. 

Die Aufsichtsbehörden können bei einer Missachtung der Vorgaben des Art. 33 DS-GVO gegen Sie ein Bußgeld nach Art. 83 Abs. 4a DS-GVO verhängen. Sie können auch zusätzlich oder an Stelle des Bußgeldes andere Maßnahmen (z. B. Verwarnungen) gegen Sie gemäß Art. 58 Abs. 2 DS-GVO verhängen.

_{¹ Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.
² Decision Twitter Inquiry in: Data Protection [online] https://www.dataprotection.ie/en/news-media/press-releases/data-protection-commission-announces-decision-twitter-inquiry [21.12.2020].
³ Twitter fined 550k in: Techcrunch [online] https://techcrunch.com/2020/12/15/twitter-fined-550k-over-a-data-breach-in-irelands-first-major-gdpr-decision/ [21.12.2020].
⁴ WP29-Leitlinien in: Datenschutzkonferenz Online [online] https://www.datenschutzkonferenz-online.de/wp29-leitlinien.html [21.12.2020].
⁵ Artikel 33 in: Dejure [online] https://dejure.org/gesetze/DSGVO/33.html [21.12.2020].}