Bußgeld gegen Twitter – die 72h-Meldefrist für Datenschutzverletzungen nach Art. 33 DS-GVO kennt keine Ferien (Teil 3 von 3)

1. Benachrichtigungspflicht des Verantwortlichen gegenüber den betroffenen Personen, Art. 34 DS-GVO 

Die Meldepflicht des Verantwortlichen nach Art. 33 Abs. 1 DS-GVO soll gegenüber der Aufsichtsbehörde gewährleisten, dass die Aufsichtsbehörde im Falle einer Datenschutzverletzung überprüfen kann, ob der Verantwortliche die Vorgaben des Art. 33 DS-GVO beachtet hat. Da die Meldepflicht aber auch bezweckt, dass das Ausmaß einer Datenschutzverletzung möglichst gering gehalten werden soll, indem der Verantwortliche entsprechende Gegenmaßnahmen einleitet, kann eine solche Gegenmaßnahme auch darin bestehen, dass der Verantwortliche die betroffenen Personen über die Datenschutzverletzung informiert. Unter Umständen können die Betroffenen selbst schon vorläufig erste Abhilfemaßnahmen ergreifen, um schwerwiegende Schäden zu verhindern, z. B. durch die Sperrung eines Accounts. Dies soll durch die Benachrichtigungspflicht nach Art. 34 DS-GVO gewährleistet werden.

Fraglich ist, wann Sie als Verantwortlicher auch die betroffenen Personen über eine Datenschutzverletzung benachrichtigen müssen. Nach Art. 34 Abs. 1 DS-GVO müssen Sie dies tun, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat. Die Benachrichtigung durch Sie hat dann unverzüglich zu erfolgen.

2. Datenschutzverletzung und voraussichtlich hohes Risiko 

Anknüpfungspunkt für die Benachrichtigungspflicht ist, wie auch bei der Meldepflicht des Verantwortlichen gegenüber der Aufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO, dass eine Datenschutzverletzung vorliegt und eine Risikobeurteilung durchgeführt worden ist. Bzgl. der Voraussetzungen einer Datenschutzverletzung und der Risikobeurteilung wird daher auf den 1. Teil „Meldepflicht von Datenschutzverletzungen des Verantwortlichen gegenüber der Aufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO“ verwiesen. Denn bereits für die Meldepflicht nach Art. 33 Abs. 1 DS-GVO mussten Sie als Verantwortlicher feststellen, ob eine Datenschutzverletzung vorliegt und wenn ja, welches Risiko (gering, mittel, hoch) sich hieraus für die betroffenen Personen ergeben kann.

3. Unverzügliche Benachrichtigung, Form und Inhalt der Benachrichtigung

Der Verantwortliche hat die betroffenen Personen grundsätzlich unverzüglich von der Datenschutzverletzung zu unterrichten. Im Gegensatz zu Art. 33 Abs. 1 DS-GVO knüpft die unverzügliche Benachrichtigung jedoch nicht an das bekannt werden der Datenschutzverletzung an. Dies deshalb, weil der Verantwortliche in der Regel sich mit der Aufsichtsbehörde bzw. mit anderen Behörden (z. B. Strafverfolgungsbehörden) abstimmen soll, ob die betroffenen Personen zu benachrichtigen sind.
Sie haben daher als Verantwortlicher grundsätzlich die Möglichkeit, in enger Abstimmung mit der Aufsichtsbehörde vor der Benachrichtigung der Betroffenen eigene angemessene Maßnahmen zur Behebung bzw. Eindämmung der Datenschutzverletzung zu treffen.

Die betroffenen Personen müssen Sie über die Datenschutzverletzung nach Art. 34 Abs. 2 DS-GVO in klarer und einfacher Sprache informieren. Die Informationen über die Datenschutzverletzung müssen mindestens die Informationen enthalten, die Art. 33 Abs. 3 b, c, d DS-GVO vorschreibt. Da Art. 34 Abs. 2 DS-GVO keine Form vorschreibt, sollten Sie zu Dokumentationszwecken jedoch zumindest die Textform wählen.

4. Ausnahmen von der Benachrichtigungspflicht 

Sie müssen jedoch nicht in jedem Fall bei dem Vorliegen einer Datenschutzverletzung im Sinne von Art. 34 Abs. 1 DS-GVO die betroffenen Personen informieren. Abs. 3 des Art. 34 DS-GVO enthält diesbezüglich Ausnahmen.²

a) Technische und organisatorische Maßnahmen (vorherige Maßnahmen)

Eine Benachrichtigungspflicht entfällt, wenn Sie die betroffenen personenbezogenen Daten durch technische und organisatorische Maßnahmen, z. B.  Verschlüsselung nach dem jeweiligen Stand der Technik, gesichert haben, Art. 34 Abs. 3 a DS-GVO. Die Verschlüsselung z. B. darf bisher aber noch nicht überwunden worden sein. Sofern die personenbezogenen Daten zwar verschlüsselt sind, aber diese Verschlüsselung nicht dem aktuellen Stand entspricht, besteht die Benachrichtigungspflicht weiter. Bei der Risikobeurteilung berücksichtigen Sie in der Regel die technischen und organisatorischen Maßnahmen, die Sie vor der Datenschutzverletzung in Bezug auf die personenbezogenen Daten getroffen haben. Diese Berücksichtigung wird zumeist, sofern die getroffenen Maßnahmen dem aktuellen Stand der Technik entsprechen bzw. angemessen sind, zu einem Ausschluss des hohen Risikos führen, wodurch Art. 34 DS-GVO grundsätzlich nicht von Ihnen zu beachten wäre. Die technischen und organisatorischen Maßnahmen sind für Kontrollmöglichkeiten der Aufsichtsbehörden zu dokumentieren.

b) Nachträgliche Maßnahmen

Eine Benachrichtigungspflicht kann für Sie auch entfallen, wenn Sie nach Eintritt der Datenschutzverletzung angemessene Maßnahmen zur Eindämmung des Risikos treffen, Art. 34 Abs. 3 b DS-GVO. Voraussetzung ist, dass durch diese Maßnahmen das hohe Risiko mit aller Wahrscheinlichkeit nicht mehr besteht und dass noch kein Schaden durch die Datenschutzverletzung bei den Betroffenen entstanden ist. Sie müssen also, wenn Ihre vorherigen technischen und organisatorischen Maßnahmen nicht ausgereicht haben, schnell in Bezug auf nachträgliche Maßnahmen handeln, sodass nicht in der Zwischenzeit Schäden bei den Betroffenen eintreten. Die ergriffenen Maßnahmen müssen Sie wieder dokumentieren, damit die Aufsichtsbehörden unter Umständen beurteilen können, ob Ihre getroffenen Maßnahmen ausreichend sind. (Beispiel für eine nachträgliche Maßnahme bei einer unbeabsichtigten Offenlegung von personenbezogenen Daten gegenüber einem Dritten: Abschluss eines NDA).

c) Öffentliche Bekanntmachung

Letztlich müssen Sie die Betroffenen nicht individuell über die Datenschutzverletzung informieren, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre, Art. 34 Abs. 3 c DS-GVO. Sie müssen die Betroffenen dann über eine öffentliche Bekanntmachung (amtliche Bekanntmachung) oder eine ähnliche Maßnahme (Bekanntmachung über das Internet) informieren, hierbei aber die Vorgaben des Art. 34 Abs. 2 DS-GVO beachten. Diese Ausnahme kommt in der Regel für Sie in Betracht, wenn eine große Anzahl von Personen durch die Datenschutzverletzung betroffen ist.

5. Befugnisse der Aufsichtsbehörde und Sanktionen

Nach Art. 34 Abs. 4 DS-GVO kann die Aufsichtsbehörde die Betroffenen informieren, wenn Sie dies nicht schon vorher getan haben.
Bei einer Missachtung der Vorgaben des Art. 34 DS-GVO kann Ihnen wieder ein Bußgeld durch die Aufsichtsbehörden drohen, Art. 83 Abs. 4a DS-GVO. Die Aufsichtsbehörden können jedoch auch wieder zusätzlich oder an Stelle des Bußgeldes andere Maßnahmen (z. B. Verwarnungen) gegen Sie gemäß Art. 58 Abs. 2 DS-GVO verhängen. 
Darüber hinaus dient die Benachrichtigungspflicht nach Art. 34 Abs. 1 DS-GVO den Betroffenen zur Geltendmachung von Schadensersatzansprüchen nach Art. 82 DS-GVO aufgrund der Datenschutzverletzungen.

_{¹Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.
²Artikel 34 DS-GVO in: Dejure [online] https://dejure.org/gesetze/DSGVO/34.html [21.12.2020].}