Bußgeld gegen Twitter – die 72h-Meldefrist für Datenschutzverletzungen nach Art. 33 DS-GVO kennt keine Ferien (Teil 3 von 3)
Autor:in
Corinna StankeBetriebsferien oder Unterbesetzung - jedes Unternehmen kennt es, wenn Feiertage oder Ferien vor der Tür stehen. Es werden noch schnell die letzten Aufgaben erledigt und Vertretungspläne erstellt, wer was im Fall der Fälle zu übernehmen hat. Häufig wird hierbei jedoch der Datenschutz vergessen. Dies ist nun auch Twitter zum Verhängnis geworden. In einer dreiteiligen Beitragsreihe befasst sich unsere Datenschutzbeauftragte und Volljuristin Corinna mit den Besonderheiten der Meldefristen für Datenschutzverletzungen.
Teil 3 – Benachrichtigungspflicht von Datenschutzverletzungen des Verantwortlichen gegenüber den betroffenen Personen nach Art. 34 DS-GVO
Im 1. Teil und 2. Teil sind wir anlässlich der Datenschutzverletzung von Twitter auf die Meldepflicht des Verantwortlichen gegenüber der Aufsichtsbehörde und die Meldepflicht des Auftragsverarbeiters1 gegenüber dem Verantwortlichen nach Art. 33 DS-GVO eingegangen.
In diesem 3. und letzten Teil steht die Benachrichtigungspflicht des Verantwortlichen gegenüber den betroffenen Personen nach Art. 34 DS-GVO im Fokus.
Dreiteilige Beitragsreihe
Damit Sie sich noch einmal vor Augen führen, was in Bezug auf die Meldepflicht nach Art. 33 DS-GVO wichtig ist, haben wir dies für Sie in 3 Teilen zusammengefasst. Im 1. Teil erläutern wir die Meldepflicht von Datenschutzverletzungen des Verantwortlichen gegenüber der Aufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO, im 2. Teil befassen wir uns mit der Frage, wem gegenüber der Auftragsverarbeiter Datenschutzverletzungen zu melden hat, im 3. Teil gehen wir letztlich auf die Benachrichtigungspflicht von Datenschutzverletzungen des Verantwortlichen gegenüber den betroffenen Personen nach Art. 34 DS-GVO ein.
1. Benachrichtigungspflicht des Verantwortlichen gegenüber den betroffenen Personen, Art. 34 DS-GVO
Die Meldepflicht des Verantwortlichen nach Art. 33 Abs. 1 DS-GVO soll gegenüber der Aufsichtsbehörde gewährleisten, dass die Aufsichtsbehörde im Falle einer Datenschutzverletzung überprüfen kann, ob der Verantwortliche die Vorgaben des Art. 33 DS-GVO beachtet hat. Da die Meldepflicht aber auch bezweckt, dass das Ausmaß einer Datenschutzverletzung möglichst gering gehalten werden soll, indem der Verantwortliche entsprechende Gegenmaßnahmen einleitet, kann eine solche Gegenmaßnahme auch darin bestehen, dass der Verantwortliche die betroffenen Personen über die Datenschutzverletzung informiert. Unter Umständen können die Betroffenen selbst schon vorläufig erste Abhilfemaßnahmen ergreifen, um schwerwiegende Schäden zu verhindern, z. B. durch die Sperrung eines Accounts. Dies soll durch die Benachrichtigungspflicht nach Art. 34 DS-GVO gewährleistet werden.
Fraglich ist, wann Sie als Verantwortlicher auch die betroffenen Personen über eine Datenschutzverletzung benachrichtigen müssen. Nach Art. 34 Abs. 1 DS-GVO müssen Sie dies tun, wenn die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat. Die Benachrichtigung durch Sie hat dann unverzüglich zu erfolgen.
2. Datenschutzverletzung und voraussichtlich hohes Risiko
Anknüpfungspunkt für die Benachrichtigungspflicht ist, wie auch bei der Meldepflicht des Verantwortlichen gegenüber der Aufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO, dass eine Datenschutzverletzung vorliegt und eine Risikobeurteilung durchgeführt worden ist. Bzgl. der Voraussetzungen einer Datenschutzverletzung und der Risikobeurteilung wird daher auf den 1. Teil „Meldepflicht von Datenschutzverletzungen des Verantwortlichen gegenüber der Aufsichtsbehörde nach Art. 33 Abs. 1 DS-GVO“ verwiesen. Denn bereits für die Meldepflicht nach Art. 33 Abs. 1 DS-GVO mussten Sie als Verantwortlicher feststellen, ob eine Datenschutzverletzung vorliegt und wenn ja, welches Risiko (gering, mittel, hoch) sich hieraus für die betroffenen Personen ergeben kann.
3. Unverzügliche Benachrichtigung, Form und Inhalt der Benachrichtigung
Der Verantwortliche hat die betroffenen Personen grundsätzlich unverzüglich von der Datenschutzverletzung zu unterrichten. Im Gegensatz zu Art. 33 Abs. 1 DS-GVO knüpft die unverzügliche Benachrichtigung jedoch nicht an das bekannt werden der Datenschutzverletzung an. Dies deshalb, weil der Verantwortliche in der Regel sich mit der Aufsichtsbehörde bzw. mit anderen Behörden (z. B. Strafverfolgungsbehörden) abstimmen soll, ob die betroffenen Personen zu benachrichtigen sind.
Sie haben daher als Verantwortlicher grundsätzlich die Möglichkeit, in enger Abstimmung mit der Aufsichtsbehörde vor der Benachrichtigung der Betroffenen eigene angemessene Maßnahmen zur Behebung bzw. Eindämmung der Datenschutzverletzung zu treffen.
Die betroffenen Personen müssen Sie über die Datenschutzverletzung nach Art. 34 Abs. 2 DS-GVO in klarer und einfacher Sprache informieren. Die Informationen über die Datenschutzverletzung müssen mindestens die Informationen enthalten, die Art. 33 Abs. 3 b, c, d DS-GVO vorschreibt. Da Art. 34 Abs. 2 DS-GVO keine Form vorschreibt, sollten Sie zu Dokumentationszwecken jedoch zumindest die Textform wählen.
4. Ausnahmen von der Benachrichtigungspflicht
Sie müssen jedoch nicht in jedem Fall bei dem Vorliegen einer Datenschutzverletzung im Sinne von Art. 34 Abs. 1 DS-GVO die betroffenen Personen informieren. Abs. 3 des Art. 34 DS-GVO enthält diesbezüglich Ausnahmen.2
a) Technische und organisatorische Maßnahmen (vorherige Maßnahmen)
Eine Benachrichtigungspflicht entfällt, wenn Sie die betroffenen personenbezogenen Daten durch technische und organisatorische Maßnahmen, z. B. Verschlüsselung nach dem jeweiligen Stand der Technik, gesichert haben, Art. 34 Abs. 3 a DS-GVO. Die Verschlüsselung z. B. darf bisher aber noch nicht überwunden worden sein. Sofern die personenbezogenen Daten zwar verschlüsselt sind, aber diese Verschlüsselung nicht dem aktuellen Stand entspricht, besteht die Benachrichtigungspflicht weiter. Bei der Risikobeurteilung berücksichtigen Sie in der Regel die technischen und organisatorischen Maßnahmen, die Sie vor der Datenschutzverletzung in Bezug auf die personenbezogenen Daten getroffen haben. Diese Berücksichtigung wird zumeist, sofern die getroffenen Maßnahmen dem aktuellen Stand der Technik entsprechen bzw. angemessen sind, zu einem Ausschluss des hohen Risikos führen, wodurch Art. 34 DS-GVO grundsätzlich nicht von Ihnen zu beachten wäre. Die technischen und organisatorischen Maßnahmen sind für Kontrollmöglichkeiten der Aufsichtsbehörden zu dokumentieren.
b) Nachträgliche Maßnahmen
Eine Benachrichtigungspflicht kann für Sie auch entfallen, wenn Sie nach Eintritt der Datenschutzverletzung angemessene Maßnahmen zur Eindämmung des Risikos treffen, Art. 34 Abs. 3 b DS-GVO. Voraussetzung ist, dass durch diese Maßnahmen das hohe Risiko mit aller Wahrscheinlichkeit nicht mehr besteht und dass noch kein Schaden durch die Datenschutzverletzung bei den Betroffenen entstanden ist. Sie müssen also, wenn Ihre vorherigen technischen und organisatorischen Maßnahmen nicht ausgereicht haben, schnell in Bezug auf nachträgliche Maßnahmen handeln, sodass nicht in der Zwischenzeit Schäden bei den Betroffenen eintreten. Die ergriffenen Maßnahmen müssen Sie wieder dokumentieren, damit die Aufsichtsbehörden unter Umständen beurteilen können, ob Ihre getroffenen Maßnahmen ausreichend sind. (Beispiel für eine nachträgliche Maßnahme bei einer unbeabsichtigten Offenlegung von personenbezogenen Daten gegenüber einem Dritten: Abschluss eines NDA).
c) Öffentliche Bekanntmachung
Letztlich müssen Sie die Betroffenen nicht individuell über die Datenschutzverletzung informieren, wenn dies mit einem unverhältnismäßigen Aufwand verbunden wäre, Art. 34 Abs. 3 c DS-GVO. Sie müssen die Betroffenen dann über eine öffentliche Bekanntmachung (amtliche Bekanntmachung) oder eine ähnliche Maßnahme (Bekanntmachung über das Internet) informieren, hierbei aber die Vorgaben des Art. 34 Abs. 2 DS-GVO beachten. Diese Ausnahme kommt in der Regel für Sie in Betracht, wenn eine große Anzahl von Personen durch die Datenschutzverletzung betroffen ist.
5. Befugnisse der Aufsichtsbehörde und Sanktionen
Nach Art. 34 Abs. 4 DS-GVO kann die Aufsichtsbehörde die Betroffenen informieren, wenn Sie dies nicht schon vorher getan haben.
Bei einer Missachtung der Vorgaben des Art. 34 DS-GVO kann Ihnen wieder ein Bußgeld durch die Aufsichtsbehörden drohen, Art. 83 Abs. 4a DS-GVO. Die Aufsichtsbehörden können jedoch auch wieder zusätzlich oder an Stelle des Bußgeldes andere Maßnahmen (z. B. Verwarnungen) gegen Sie gemäß Art. 58 Abs. 2 DS-GVO verhängen.
Darüber hinaus dient die Benachrichtigungspflicht nach Art. 34 Abs. 1 DS-GVO den Betroffenen zur Geltendmachung von Schadensersatzansprüchen nach Art. 82 DS-GVO aufgrund der Datenschutzverletzungen.
1Aus Gründen der Lesbarkeit wurde im Text die männliche Form gewählt, nichtsdestoweniger beziehen sich die Angaben auf Angehörige aller Geschlechter.
2Artikel 34 DS-GVO in: Dejure [online] https://dejure.org/gesetze/DSGVO/34.html [21.12.2020].