Datenschutzverletzung – Was ist nun zu tun?

Die DSGVO ist seit knapp 6 Wochen in Anwendung und schon kam es zu einer Datenschutzverletzung bei der österreichischen Nummer 1 bei Markenelektronik. Laut Benachrichtigung der Firma zum Datensicherheitsvorfall (data breach notification) besteht der Verdacht, dass Kundendaten in krimineller Absicht von den Webservern des Unternehmens entwendet wurden. Im gleichen Atemzug versucht das Unternehmen zu beruhigen und teilt mit, dass „zu keinem Zeitpunkt relevante Zahlungsdaten (Kreditkarte, Kontonummer, Paypal-Account usw.) gespeichert wurden und diese daher nicht betroffen sind.“

Bei der Verletzung des Schutzes personenbezogener Daten sieht die DSGVO zwei wesentliche Pflichten für den Verantwortlichen vor:

  1. Meldung bei der Aufsichtsbehörde (Art 33 DSGVO)
  2. Benachrichtigung der betroffenen Personen (Art 34 DSGVO)

Meldung bei der Aufsichtsbehörde

Im Falle einer Datenschutzverletzung mit einem voraussichtlichen Risiko für die Rechte und Freiheiten natürlicher Personen hat der Verantwortliche diese unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der Datenschutzbehörde zu melden. Die Datenschutzbehörde stellt hierfür ein eigenes Formular zur Meldung der Verletzung des Schutzes personenbezogener Daten zur Verfügung.

Eine entsprechende, unverzügliche Meldepflicht bei einer bekannt gewordenen Datenschutzverletzung trifft ebenfalls den Auftragsverarbeiter gegenüber dem Verantwortlichen. Die Meldung bei der Datenschutzbehörde hat allerdings immer durch den Verantwortlichen zu erfolgen. Den Datenschutzbeauftragten trifft keine Meldepflicht, aber sehr wohl die Aufgabe zur Zusammenarbeit im Zuge etwaiger Ermittlungen der Aufsichtsbehörde im Zusammenhang mit dem Datenschutzvorfall.

Informationen bei einer Meldung einer Datenschutzverletzung

Art 33 Abs 3 sieht vor, dass die Meldung zumindest nachfolgende Informationen enthält:

  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Dokumentationspflicht bei Datenschutzverletzung

Zusätzlich zur Meldepflicht trifft den Verantwortlichen auch noch eine Dokumentationspflicht bei Datenschutzverletzungen. Insbesondere sind alle im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und ergriffene Abhilfemaßnahmen zu erfassen. Die Dokumentation dient der Aufsichtsbehörde zur Überprüfung der Einhaltung der Bestimmungen zur Meldung der Verletzung des Schutzes personenbezogener Daten. Eine sorgfältige und umfangreiche Dokumentation sollte sich bei einer etwaigen Geldbuße strafmildernd auswirken.

Benachrichtigung der betroffenen Personen

Bei einer Datenschutzverletzung mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen ist im Hinblick auf transparente Information und der Möglichkeit zur Ergreifung eigener Schutzmaßnahmen die betroffene Person vom Verantwortlichen unverzüglich zu benachrichtigen.

Die Benachrichtigung hat in klarer und einfacher Sprache die Art der Datenschutzverletzung und zumindest die, in den Punkten 2. – 4. angeführten Informationen der Meldung an die Aufsichtsbehörde zu enthalten.

Eine Benachrichtigung der betroffenen Personen ist nicht erforderlich, wenn

  1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und die von der Verletzung betroffenen personenbezogenen Daten dadurch unzugänglich gemacht wurden, etwa durch Verschlüsselung,
  2. der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
  3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

Die Benachrichtigung sollte neben der Beschreibung der Datenschutzverletzung auch Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen für die betroffene Person enthalten. Empfehlenswert ist aus Sicht des Verantwortlichen zudem eine enge Absprache der Vorgehensweise mit der Aufsichtsbehörde bzw Strafverfolgungsbehörden. Auch hierbei fungiert ein Datenschutzbeauftragter als Anlaufstelle für die mit dem Datenschutzvorfall befassten Behörden.

Im konkreten, oben angeführten Fall, wurden vom Verantwortlichen als unmittelbare Sicherheitsmaßnahme die Passwörter der Kunden im Webshop außer Kraft gesetzt. Diese Maßnahme ist insofern bemerkenswert, da sie die Vermutung nahelegt, dass, im schlimmsten Fall, ungeschützte Kundenpasswörter ebenfalls entwendet wurden. Angesichts der Angewohnheit zahlreicher Internetnutzer gleiche Anmeldedaten bei verschiedenen Online-Shops zu verwenden, würde das Risiko für einen etwaigen Identitätsbetrug erheblich erhöht werden.