Direkt zum Inhalt wechseln

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat in einem kürzlich veröffentlichten Vermerk mit dem Titel “Umgang mit Data-Breach-Meldungen nach Art. 33 DSGVO” von Anfang September einen guten Überblick über typische Fälle von Datenschutzverstößen und deren Meldung an Behörden und Betroffene gegeben. Einzelne von der Behörde aufgelistete Beispiele geben jedoch Anlass zur Kritik.

Ein Papier aus Hamburg

Die Behörde gibt in dem Schreiben einen Überblick, in welchen Fällen ein Datenschutzverstoß nach Art. 33 DSGVO der Aufsichtsbehörde zu melden ist und beleuchtet dabei die einzelnen Prüfungspunkte.

Zurecht hält die Behörde fest, dass es für eine Pflicht zur Meldung an die zuständige Datenschutzbehörde an sich nicht viel braucht: Nötig ist nur eine “Verletzung des Schutzes personenbezogener Daten” und ein “Risiko für die Rechte und Freiheiten betroffener Personen”.

Datenschutzverstoß setzt eine Offenbarung voraus

Erfreulich klar hält die Hamburgische Aufsicht fest, was auch der Europäische Datenschutzausschuss (EDSA) schon ausführte: Nötig für einen Datenschutzvertoß im Sinne von Art. 33 DSGVO ist, dass die Daten Dritten zur Kenntnis gegeben werden.

Nicht jede rechtswidrige Datenverarbeitung ist meldepflichtig, sondern es braucht einen Data Breach, also einen Sicherheitsbruch, bei dem Daten unrechtmäßig Dritten offenbart werden oder infolge eines Sicherheitsbruchs gelöscht oder unzugänglich gemacht werden.

Wird also eine Werbe-E-Mail verschickt und stellt sich später heraus, dass die eingeholte Einwilligung unwirksam ist, ist zwar eine rechtswidrige Nutzung der E-Mail-Adresse des Empfängers erfolgt, es liegt aber gerade kein Data Breach vor.

Ein Risiko muss auch bestehen

Die Ausführungen zum Risiko für die Betroffenen fallen dagegen knapp aus. Zurecht hält die Behörde fest, dass sich das Risiko anhand einer Relation zwischen Schwere des möglichen Schadens und seiner Eintrittswahrscheinlichkeit bemisst. Je höher der anzunehmende Schaden ist, desto geringer sind die Anforderungen an die Wahrscheinlichkeit.

Das bedeutet vor allem, dass ein Risiko bestehen und objektiv festgehalten werden muss. Nicht jede Offenbarung personenbezogener Daten beinhaltet auch ein Risiko. Die vom EDSA und auch der Hamburger Behörde aufgeführten Fälle, dass die Daten ohnehin öffentlich verfügbar oder verschlüsselt sind, erfasst bei weitem nicht alle Fälle, in denen kein Risiko besteht.

Richtig ist, dass es keines hohen Risikos (wie bei Art. 34 DSGVO) bedarf. Bei nur theoretischen Risiken, die zudem eine geringe Eintrittswahrscheinlichkeit haben, besteht dagegen keine Meldepflicht. Dieser Aspekt fehlt in dem Vermerk der Aufsichtsbehörde völlig.

Viel zu pauschale Beispiele

Am Ende des Vermerks führt der hamburgische Datenschutzbeauftragte einige Beispiele auf, die als meldepflichtig eingestuft werden. So wird z. B. gesagt, dass Postversandfehler bei einer Kfz-Versicherung, die Fehlversendung eines Kontoauszugs an einen falschen Kunden und ein Werbe-E-Mail mit offenem Verteiler unter die Meldepflicht fallen würden (letztere Fall schränkt die Behörde in einer Anmerkung insofern ein, dass nur bei einer großen Empfängerzahl oder sensiblen Inhalten zu melden sei).

Dies lässt sich so pauschal schwer halten: Der typische Fehlversand-Fall ist ein Fall der Fehlkuvertierung, bei dem die Kuvertiermaschine oder Menschenhand, zwei Schreiben in denselben Briefumschlag stecken. Durch dieses Versehen bekommt Frau Müller also in der Folge ein Schreiben, das eigentlich an Herrn Meier gerichtet ist. In fast allen Fällen wird ein solcher Vorfall nur deshalb aufgedeckt, weil sich besagte Frau Müller bei dem Absender meldet und mehr oder weniger empört mitteilt, dass sie ein Schreiben für einen Herrn Meier in der Hand halte.

Natürlich hängt die rechtliche Bewertung letztlich von dem konkreten Inhalt des Schreibens ab, dennoch ist es schon einigermaßen schwer zu begründen, worin in einem solchen Szenario ein Risiko für Herrn Meier liegen soll, wenn sich Frau Müller unter Offenbarung ihrer Identität meldet und das Schreiben auf entsprechende Aufforderung vernichtet.

Der hamburgische Beauftragte führt hierzu noch aus, dass eine Bitte um Vernichtung oder Löschung des versehentlich erhaltenen Dokuments nicht gleichzustellen ist, mit der Sicherheit, dass der Bitte auch Taten folgen. Die Tatsache allerdings, dass sich Frau Müller zu erkennen gegeben hat und im Anschluss daran, trotzdem die Daten zum Nachteil des Herrn Meier verwertet, kann als atypischer Fall angesehen werden. Durch ihr vorheriges Verhalten hätte sie sich ansonsten einerseits selbst als für die vermeintliche Schädigung Hauptverdächtige ins Spiel gebracht. Die Wahrscheinlichkeit, dass sich ein (welches?) Risiko bei Herrn Meier durch den Fehlversand materialisiert, ist minimal. Wieso sollte Frau Müller zuerst den Erhalt ihr fremder Informationen anzeigen, um dann einer Bitte um Vernichtung des Schreibens nicht Folge zu leisten und die darin enthaltenen Information missbräuchlich zu verwenden? Offenbar war es vielmehr ihr Anliegen, auf das Versehen aufmerksam zu machen und Anweisungen zum weiteren Vorgehen zu erhalten.

Zudem verwundert die strenge Ansicht der Behörde auch auf Rechtsfolgenseite: Es ist kaum im Sinne der Behörde, solche tausendfach vorkommenden Datenschutzverstöße gemeldet zu bekommen. Schon jetzt erhalten wir bei vielen solcher „Allerweltsverstöße“ nicht einmal eine Eingangsbestätigung der Behörde.

Fazit

Es gibt sicher Fälle, in denen ein Risiko anzunehmen sein wird, wobei insbesondere der Inhalt des Schreibens entscheidend ist. Handelt es sich z. B. um Kontoauszüge, aus denen Art. 9 DSGVO Daten erkennbar werden, etwa wegen Überweisungen an Gewerkschaften oder Kirchen, muss man wohl von einem Risiko ausgehen. Der Regelfall ist aber genau umgekehrt, als es die Hamburger Behörde in ihrer Stellungnahme suggeriert.

Die Meldepflicht muss im Einzelfall danach bewertet werden, ob typischerweise aus den versehentlich offengelegten Daten besondere Rückschlüsse auf die Person gezogen werden können und für eine Schädigung der Betroffenen auch tatsächlich ein Risiko besteht. Eine pauschalisierte Betrachtung der Fälle, wie in dem Schreiben angedacht, eignet sich jedoch nicht zur rechtlichen Bewertung und generellen Annahme einer Meldepflicht.

Wichtig ist, dass alle Datenschutzverstöße kurz begutachtet werden und jeweils entschieden wird, ob die Voraussetzungen von Art. 33 DSGVO vorliegen. Auch wenn nicht gemeldet wird, bedarf es einer ordentlichen Dokumentation.

Für eine große Bank und viele andere Mandanten begutachten wir jeden Tag solche (und viele andere) Fälle und geben eine Entscheidungsgrundlage, ob gemeldet werden soll oder nicht. Wenn wir auch Ihr Unternehmen dabei unterstützen können, melden Sie sich gern unter schirmbacher@haerting.de.