PRIMA // BLOG

Die Gefahr von Cyberrisiken nimmt ständig zu. Neben der Gefahr für die IT-Sicherheit haben IT-Sicherheitsvorfälle auch immer eine datenschutzrechtliche Relevanz. Lesen Sie hier, wie Sie richtig reagieren und welche Vorbereitungen Sie für den Ernstfall treffen können.

Was ist ein Data Breach?

Ein Data Breach - auf Deutsch: Datenschutzvorfall oder Datenpanne ist gemäß Art. 33 Abs. 1 DSGVO „eine Verletzung des Schutzes personenbezogener Daten“, also ein Vorfall der die Sicherheit personenbezogener Daten verletzt, so dass unberechtigte Personen darauf zugreifen können. Klassische Fälle sind

• Versehentliche Falschversendung von E-Mails oder zu große offene Verteiler
• Zugriff auf IT-Systeme als Folge von Hacking oder Phishing-Attacken
• Diebstahl oder Verlust von Datenträgern, Laptops o.ä.
• Sicherheitslücken in IT-Systemen
• Ausgeblendete aber nicht gelöschte Informationen in Excel-Dokumenten

Was gilt es bei Data Breaches zu beachten?

Oberstes Gebot bei Data Breaches ist es, die Ursache schnell zu identifizieren und zu beseitigen, um die Folgen für Betroffene so gering wie möglich zu halten oder zu beseitigen und die Ausweitung des Data Breaches zu verhindern.

Wenn sich aus dem Data Breach Risiken für die Rechte und Freiheiten der Betroffenen ergeben oder das nicht ausgeschlossen werden kann, muss der Data Breach unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Das passiert relativ häufig.

Hat der Data Breach darüber hinaus voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge, müssen auch die Betroffenen unverzüglich informiert werden. Das kommt vor, ist im Vergleich zur Meldung bei der zuständigen Aufsichtsbehörde aber seltener der Fall.

Maßnahmen zur internen Erkennung und Meldung

Um angemessen auf einen Data Breach reagieren zu können, ist es besonders wichtig, dass Data Breaches intern schnell erkannt und sofort intern gemeldet werden. Das setzt voraus, dass alle Beschäftigten wissen, was ein Data Breach ist, an wen dieser intern gemeldet werden muss und wie zu melden ist. Es mach Sinn, dafür eine Anweisung, Richtlinie oder ein ähnliches Dokument zu erstellen, das den Prozess beschreibt. Dieser Prozess muss dann den Beschäftigten aber auch so kommuniziert werden, dass sie ihn kennen und befolgen können. Die Devise dafür lautet: schulen, schulen, schulen.

Interne Behandlung – Gegenmaßnahmen und Entscheidung über die Meldung

Nach der internen Meldung sollten sich unverzüglich Personen zusammenfinden und aktiv werden, die technische Gegenmaßnahmen treffen können, den Vorgang bewerten und über weitere (rechtliche) Schritte entscheiden können. So ergibt sich die Zusammensetzung des Data Breach Teams aus mehreren oder der folgenden Stakeholder:

• IT-Abteilung
• IT-Sicherheit
• Informationssicherheit
• Cyber-Versicherung
• Datenschutzbeauftragter
• Rechtsabteilung
• externe Rechts- und IT- und IT-Sicherheits-Berater
• Geschäftsleitung

Erste Priorität des Data Breach Teams sollte es immer sein, Gegenmaßnahmen zu treffen, dann das Ausmaß des Vorfalls aufzuklären und dann über die weiteren Schritte zu entscheiden. Weitere Schritte sind in der Regel

• Entscheidung über die Meldung bei der zuständigen Datenschutzbehörde (für alle Unternehmen Pflicht, wenn die Voraussetzungen vorliegen)
• Entscheidung über eine Meldung beim BSI (für KRITIS Unternehmen eine Pflicht für andere Unternehmen freiwillig möglich)
• Entscheidung über eine Strafanzeige bei der Stelle für Cyberkriminalität des zuständigen Landeskriminalamtes (keine Pflicht)
• Entscheidung über die Information der Betroffenen
• Umsetzung der Maßnahmen

Meldung von Data Breaches and Datenschutzbehörden

Wenn eine Pflicht zur Meldung nach Art. 33 DSGVO besteht, sollte die Meldung innerhalb von 72 Stunden nach der Entdeckung des Vorfalls gemeldet werden. Zur Sicherheit sollte für die Berechnung der Frist auf die erste interne Kenntnis abgestellt werden. Eine spätere Meldung ist möglich und im Zweifel auch nach 72 Stunden noch sinnvoll; dann muss aber in aller Regel begründet werden, warum die 72 Stunden Frist nicht eingehalten worden ist.

Art. 33 DSGVO sieht keine besondere Form der Meldung vor. Die Aufsichtsbehörden haben dafür aber Online-Meldeformulare und es empfiehlt sich, diese zu nutzen, weil die Aufsichtsbehörden die Meldung so in einer Form bekommen, die eine schnelle Bearbeitung und im Idealfall Erledigung ermöglichen. Genau das muss das Ziel der Meldung sein.

Hier geht es zu den Meldeformularen der 17 deutschen Datenschutzbehörden:

• ​Bund​
• ​Baden-Württemberg​
• ​Bayern​
• ​Berlin​
• ​Brandenburg​
• ​Bremen​
• ​Hamburg​
• ​Hessen​
• ​Mecklenburg-Vorpommern​
• ​Niedersachsen​
• ​Nordrhein-Westfalen​
• ​Rheinland-Pfalz​
• ​Saarland​
• ​Sachsen​
• ​Sachsen-Anhalt​
• ​Schleswig-Holstein​
• ​Thüringen

Information von Betroffenen

Die Information der Betroffenen hat gemäß Art. 34 Abs. 1 DSGVO zu erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Dann sind die Betroffenen in klarer, einfacher Sprache über den Vorfall zu informieren. Die Information sollte wenigstens diese Informationen enthalten:

• Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
• soweit möglich Kategorien und der ungefähren Zahl der betroffenen Personen und Daten
• Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
• Beschreibung der wahrscheinlichen Folgen
• Beschreibung der ergriffenen oder vorgeschlagenen Gegenmaßnahmen

Es gibt Ausnahmen, in denen eine persönliche Information nicht erfolgen muss. Diese sind aber mit Vorsicht zu genießen.

• Sie haben geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen, durch die der Zugang zu den Daten verhindert wird, insbesondere durch Verschlüsselung.
• Sie haben Maßnahmen getroffen, die dazu führen, dass die Gefahr für Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht.
• Die Benachrichtigung wäre mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die Betroffene vergleichbar wirksam informiert werden.

Macht melden frei und was sind die Folgen bei unterlassener Meldung?

Die Frage, ob ein Vorfall gemeldet wird oft intensiv im Data Breach Team diskutiert. Die Sorge, die insbesondere Geschäftsleitung, Rechtabteilung und IT-Verantwortliche oft haben ist es, sich die Datenschutzaufsicht und damit viele Probleme ins Haus zu holen oder womöglich Auflagen und Sanktionen zu provozieren. Es wird dann häufig versucht, den Vorfall oder die Folgen kleinzureden, um eine Meldung vermeiden zu können.

Diese Sorgen sind in aller Regel unbegründet. § 43 Abs. 4 BDSG enthält ein Beweisverwertungsverbot für Inhalte der Meldung, das trotz europarechtlicher Kritik an der Vorschrift nach unserem Eindruck von den Datenschutzbehörden beachtet wird. Insofern gilt: Was gemeldet wird, kann nicht gegen den Verantwortlichen verwendet werden.

Zudem sind die Reaktionen der Datenschutzbehörden auf Meldungen in der Regel deutlich harmloser als oft befürchtet wird. Häufig erhält man eine Eingangsbestätigung, gelegentlich Rückfragen, ebenfalls gelegentlich die Mitteilung, dass der Vorgang geprüft und beendet wurde. Es ist möglich, dass sich an eine Meldung ein aufsichtsbehördliches Verfahren anschließt, das ist im Verhältnis zu den abgesetzten Meldungen aber eher selten der Fall.

Betroffene haben eine Reihe von Rechten, die sie gegenüber Verantwortlichen geltend machen können. Wenn Sie Betroffenenanfragen erhalten ist es wichtig, damit richtig umzugehen, damit daraus kein größeres Problem für Ihr Unternehmen und Ihre Datenschutz-Organisation wird. Lesen Sie hier, was es zu beachten gilt.

Wie muss das Auskunftsbegehren gestellt sein?

Es gibt praktisch keine formalen Anforderungen an Betroffenenanfragen. Betroffene können diese schriftlich, elektronisch oder mündlich stellen. Wichtig für die Bearbeitung ist es, zu verstehen, worum es den Betroffenen geht. Das klingt logisch, kann in der Praxis aber bereits die erste Herausforderung sein. Stellen Sie sich daher die Frage, was die Betroffenen wirklich wollen. Wenn Betroffenenanfragen nicht klar sind, müssen Sie diese auslegen. In Betracht kommen dafür insbesondere Anfragen zu den Betroffenenrechten

• Auskunft gemäß Art. 15 Abs. 1 DSVO
• Herausgabe einer Datenkopie gemäß Art. 15 Abs. 3 DSGVO
• Berichtigung Art. 16 DSGVO
• Löschung Art. 17 DSGVO
• Einschränkung der Verarbeitung bzw. Sperrung ihrer personenbezogenen Daten (Art. 18 DSGVO) oder
• Datenübertragung (Art. 20 DSGVO)

Denkbar und in der Praxis ein häufiger fall ist auch, dass Betroffene die Sperrung ihrer E-Mail oder Telefonnummer für Webemailings oder -anrufe wünschen.

Die richtige Auslegung des Begehrens der Betroffenen ist der erste Schritt zur richtigen Beantwortung. Um Missverständnissen vorzubeugen, macht es für die Beantwortung oft Sinn, das Ergebnis der Auslegung den Betroffenen bei der Beantwortung mitzuteilen. Eine Formulierung dafür kann sein:

„Vielen Dank für Ihre E-Mail. Wir verstehen Ihr Anliegen als Auskunftsbegehren gemäß Art. 15 Abs. 1 DSGVO.“

Wir sehen uns hier die besonders relevanten Fälle der Auskunft gemäß Art. 15 Abs. 1 DSVO und Herausgabe einer Datenkopie gemäß Art. 15 Abs. 3 DSGVO genauer an.

Identitätsprüfung

Damit die Beantwortung des Auskunftsbegehrens nicht selbst zum Compliance-Bumerang wird, ist es wichtig, die Auskunft nur an den Betroffenen zu erteilen. Das fordert auch Art. 12 Abs. 6 DSGVO. In der Praxis kommt es immer wieder vor, dass geschiedene Ehepartner, der/die Ex, andere Familienangehöre oder völlig fremde Auskunftsbegehren stellen. Diese ohne Identitätsprüfung zu beantworten kann leicht zum Supergau führen.

Prüfen Sie daher, mit wem Sie es auf der anderen Seite zu tun haben. Bei Anfragen der eigenen Beschäftigten, Kunden, die Sie persönlich kennen oder anderen persönlich bekannten Personen ist das kein Problem. Kennen Sie die Anfragenden nicht persönlich, müssen Sie sich fragen, ob es begründete Zweifel an der Identität gibt. Das kann etwa der Fall sein, wenn eine Anfrage von einem anderen als dem bei Ihnen bekannten E-Mail-Account versendet wird oder eine E-Mail nahe legt, dass es sich um eine andere Person handelt weil z.B. von dem E-Mail-Account petra.maier@ eine Betroffenenanfrage für den Betroffenen Björn Müller gestellt wird.

Bestehen begründete Zweifel, muss die Identität verifiziert werden. Dabei gilt der Grundsatz, je sensibler die zu beauskunftende Information, desto höher die Anforderungen an die Identifizierung. In Betracht kommen dafür insbesondere

• Abfrage von zusätzlichen Informationen (Frage nach Geburtstag, bitte eine E-Mail von einem bekannten E-Mail-Account zu schicken,
• Anmeldung und Bestätigung über verifizierten Account oder
• Post-/Video-Ident und die Übersendung von Ausweisdokumenten bei besonders sensiblen Auskünften.

Prüfung der Vollmacht bei Auskunftsbegehren von Anwälten

In der Praxis kommt es relativ häufig vor, dass Auskunftsansprüche durch Anwälte gestellt werden. Das ist zulässig. Der Verantwortlicher sollte dann sicherstellen, dass eine Vollmacht für das Stellen der Auskunftsanfrage und für den Empfang der Auskunft vorliegt. Wird keine Originalvollmacht vorgelegt, sondern nur ein Fax o.ä., kann man die Auskunft gem. § 174 BGB „unverzüglich“ zurückweisen (siehe dazu OLG Stuttgart Urteil vom 31.03.2021 - Az.: 9 U 34/21). Die Auskunftsfrist (siehe unten) beginnt dann erst mit Übermittlung einer Originalvollmacht.

Enthält die Vollmacht keinen klaren Hinweis, dass auch die Auskunft an den Anwalt erteilt werden darf, sollte man im Zweifel die Auskunft nicht an den Anwalt schicken, sondern direkt an die Betroffenen.

Was ist zu beauskunften?

Bei Auskunftsanfragen ist zuerst immer die Frage zu beantworten, ob personenbezogene Daten des Betroffenen verarbeitet werden. Das ist entweder zu bestätigen oder zu verneinen.

Werden personenbezogenen Daten verarbeitet, kommt es für den Inhalt der Auskunft darauf an, was Betroffene verlangen. Auskunft nach Art. 15 Abs. 1 DSGVO, Herausgabe von Datenkopien nach Art. 15 Abs. 3 DSGVO oder eine besonders spezifizierte Auskunft. Verantwortliche können Betroffene auffordern/bitten zu spezifizieren, welche Informationen beauskunftet werden sollen oder auf welche Verarbeitungen sich das Begehren bezieht. Das kann helfen, eine schnelle und den Wünschen der Betroffenen entsprechende Auskunft sicherzustellen. Es führt aber nicht dazu, dass Betroffene Anspruch auf weniger als die ursprüngliche begehrte Informationen haben.

Wird Auskunft nach Art. 15 Abs. 1 DSGVO verlangt, muss Information gemäß dem Katalog von Art. 15 Abs. 1 DSGVO bereitgestellt werden, über

• Verarbeitungszwecke,
• Kategorien personenbezogener Daten, die verarbeitet werden,
• Empfängern oder Kategorien von Empfängern der personenbezogenen Daten (im Zweifel nach Wahl der Betroffenen),
• die geplante Dauer, für die die personenbezogenen Daten gespeichert werden oder die Kriterien für die Festlegung dieser Dauer,
• das Bestehen von Betroffenenrechten und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
• Herkunft der Daten,
  
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Wird Herausgabe von Datenkopien nach Art. 15 Abs. 3 DSGVO verlangt, müssen Kopien der Daten herausgegeben werden. Bezieht sich die Anfrage auf Dokumente, muss nach der Rechtsprechung des EuGH auch eine Kopie des Dokuments selbst bereitgestellt werden, soweit das für die Kontrolle der Datenverarbeitung notwendig ist.

Wird weniger als der Inhalt von Art. 15 Abs. 1 DSGVO oder Art. 15 Abs. 3 DSGVO begehrt, muss entsprechend weniger beauskunftet werden.

Frist und Form der Beauskunftung

Für die Auskunft besteht gemäß Art. 12 Abs. 3 DSGVO eine Frist von einem Monat ab Eingang des Auskunftsbegehrens. Die Frist kann bei einer besonderen Komplexität oder hohen Anzahl von Anfragen auf bis zu drei Monate verlängert werden. In der Praxis bietet es sich an, direkt nach Erhalt eines Begehrens eine Eingangsbestätigung zu schicken und anzukündigen, sich innerhalb eines Monats zu melden, um die Erwartungen zu managen und Beschwerden bei Datenschutzbehörden zu vermeiden. Das gilt natürlich besonders, wenn Betroffene selbst kürzere Fristen setzen.

Für die Übermittlung der Auskunft ist es wichtig, einen sicheren Kanal zu wählen, damit die Inhalte der Auskunft geschützt sind. Je sensibler die Inhalte, desto höher sind die Anforderungen. Bei dem häufigen Fall der Übermittlung per E-Mail sollte man im Zweifel eine angemessene Verschlüsselung vorsehen.

Die Auskunft ist abhängig von der Art der Kommunikation mit den Betroffenen schriftlich, elektronisch oder mündlich zu erteilen. Im Zweifel sollte der von Betroffenen gewählte oder soweit erkennbar gewünschte Kanal genutzt werden. Datenkopien sind in der Regel in einem gängigen elektronischen Format zu übermitteln.

Wann kann man die Auskunft verweigern?

Es gibt Fälle, in denen die Auskunft verweigert oder ein Entgelt dafür verlangt werden kann. Das sind

• offensichtlich unbegründete Begehren und
• exzessive Anträgen.

Diese Ausnahmen liegen selten vor und werden in der Rechtsprechung sehr zurückhalten angewendet. Es ist also ein sehr stumpfes Schwert, um sich gegen Auskunftsbegehren zu wehren.

Was passiert, wenn man nicht beauskunftet?

Nicht beantwortete Auskunftsbegehren sind die Sollbruchstelle jeder Datenschutz-Organisation und sollten vermieden werden. Insbesondere wenn es bereits einen Konflikt mit Betroffenen gibt, landen nicht beantwortetet Auskunftsbegehren häufig bei den Datenschutzbehörden. Dann sollte man eine gute Begründung – oder Ausrede parat haben, sonst drohen Bußgelder bis zu EUR 20 Millionen oder 4% des Unternehmensumsatzes. Zusätzlich können Betroffene materiellen und immateriellen Schadensersatz geltend machen. Es gibt erste Urteile, in denen Schadensersatzansprüche wegen verspäteter Auskunft zugesprochen wurden, z.B. EUR 10.000 durch das Arbeitsgericht Oldenburg Urteil vom 9. Februar 2023 – Az. 3 Ca 150/21.