Meldepflicht bei Datenschutzpannen: Deutlich gestiegene Zahlen

Wenn in Behörden oder Unternehmen durch IT-Sicherheitsvorfälle oder Fehlverhalten personenbezogene Daten betroffen sind, greift die EU-Datenschutzgrundverordnung. Erste Zahlen aus Deutschland und aus Großbritannien zeigen: Seit der europaweiten Erweiterung der Meldepflicht bei Datenschutzverletzungen werden nun jede Woche hunderte Vorfälle an die nationalen Datenschutzbehörden gemeldet.

CC-BY-SA 2.0 Bureau of Reclamation

Die EU-Datenschutzgrundverordnung (DSGVO) ist seit 25. Mai dieses Jahres wirksam. Sie regelt den Umgang mit personenbezogenen Daten auf umfassende Art. Die Verordnung schafft mit Artikel 33 eine europaweite Meldepflicht für Datenschutzverletzungen und neue Dokumentationsvorschriften. Firmen und Organisationen aller Art müssen die Datenschutzbehörden in ihrem Land informieren, wenn etwa durch IT-Sicherheitsvorfälle oder durch Fehlverhalten personenbezogene Daten abgeflossen sind. Die Zahlen aus Deutschland und Großbritannien zeigen eine gestiegene Anzahl dieser Pflichtmeldungen.

Nach dem Bundesdatenschutzgesetz gab es in Deutschland bereits eine Meldepflicht, allerdings wurde diese Verpflichtung mit der EU-Datenschutzreform europaweit erheblich erweitert. Die DSGVO schreibt vor, dass den zuständigen Aufsichtsbehörden ohne langen „Verzug“ gemeldet werden muss, wenn bei öffentlichen Stellen oder in Unternehmen Datenschutzverletzungen aufgetreten sind. Länger als 72 Stunden nach der Feststellung des Vorfalls dürfen die betroffenen Organisationen nicht warten, sonst müssen sie die Gründe für die Verzögerung erklären. Handelt es sich um einen schwerwiegenden und komplexen Vorgang und es dauert daher länger als 72 Stunden, um alle Informationen zusammenzutragen, kann nach Angaben im Merkblatt der Bundesdatenschutzbeauftragten zu Meldepflichten (pdf) aber auch nachgereicht werden:

Können daher noch nicht alle Informationen auf einmal bereitgestellt werden, kann der Verantwortliche die Informationen auch schrittweise zur Verfügung stellen. Bei der schrittweisen Zurverfügungstellung darf es jedoch nicht zu einer unangemessenen weiteren Verzögerung kommen.

art 33 flowchart
Die Artikel-29-Gruppe hat den Weg für Pflichtmeldungen visualisiert.

Nachdem man Kenntnis von Vorfällen hat, muss man sich also sputen. Allerdings sind nicht alle IT-Sicherheitsprobleme oder Datenverluste auch gleich ein DSGVO-Fall: Nur wenn persönliche Daten über Menschen verloren, zerstört, verändert oder abgegriffen und damit Rechte der Betroffenen verletzt wurden, muss das als Datenschutzverletzung gemeldet werden. Typische Fälle sind unautorisierte Zugriffe, Veröffentlichungen, Veränderungen oder Löschungen von solchen personenbezogenen Daten, aber auch verlorene Zugangsmöglichkeiten, wenn man sich etwa eine Ransomware eingetreten hat.

Die Bundesdatenschutzbeauftragte hat typische Kategorien in ihrem Online-Melde-Formular bereits eingetragen. Zu diesen Kategorien gehören Datendiebstahl, Fehlentsorgung, Fehlversendung, Softwarefehler oder Verlust, aber auch Hacking, Schadcode oder Skimming.

Wie bei vielen neuen Regelungen in der DSGVO ist aber die Bagatellschwelle den betroffenen Stellen und Unternehmen oft nicht klar. Welche Daten in welcher Menge müssen denn betroffen sein, damit es meldepflichtig wird? Um das einzuschätzen, müssen die Organisationen abschätzen, welche Konsequenzen ein Vorfall haben könnte und auch, ob Menschen davon betroffen sind. Ist der Vorfall schwerwiegend, muss es in jedem Fall eine Meldung an die Datenschutzbehörde geben. Auch die Betroffenen müssen informiert werden, besonders dann, wenn für sie Risiken entstehen. Eine Ausnahme von der Meldepflicht gilt nur dann, wenn kein Risiko für die Rechte und Freiheiten natürlicher Personen (pdf) besteht.

Was muss nach einem Vorfall gemeldet werden?

Inhaltlich muss gegenüber der Datenschutzbehörde erklärt werden, welche personenbezogenen Daten betroffen sind und was genau durch den Vorfall für diese Menschen zu befürchten ist. Außerdem muss angegeben werden, welche Gegenmaßnahmen eingeleitet wurden und wer gegenüber der Meldebehörde die zuständige Kontaktperson für diese Datenschutzverletzung ist.

Das umfassende Online-Meldeformular bei der Bundesdatenschutzbeauftragten sieht viele mögliche Datenarten, vorformulierte Felder und typische Beispiele vor. Das Formular erinnert auch daran, die Betroffenen zu benachrichtigen. Gekennzeichnet ist bei allen Feldern, ob sie verpflichtend auszufüllen oder freiwillige Angaben sind.

Doch auch wenn bei Datenschutzpannen nicht auf eine Meldepflicht an die zuständige Behörde erkannt wird, weil es „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ gekommen ist, muss der Vorfall auf jeden Fall bei der betroffenen Organisation selbst festgehalten werden – auch das schreibt der Artikel 33 der DSGVO in Absatz 5 zur Dokumentation von Datenschutzvorfällen vor.

Ansteigender Trend bei Pflichtmeldungen

Für Datenschutzverstöße liegen nun erste Zahlen für Juni vor. In Großbritannien hat sich nach Angaben des zuständigen Information Commissioner’s Office (ICO) die Zahl der Vorfälle seit Wirksamwerden der strengen DSGVO-Bestimmungen vervierfacht. Knapp 1.750 Sicherheits- und Datenschutzverstöße sind der Behörde allein im Juni zur Kenntnis gebracht worden. Die betroffenen Bereiche seien vor allem der Gesundheits- und Bildungssektor und nicht näher bezeichnete Bereiche der Wirtschaft.

Das britische Behörde bietet für Meldungen eine Telefonnummer, einen Chat und ein Online-Formular mit zusätzlichen weiteren Informationen an. Dafür steht eine eigene Website zur Verfügung: Report a breach. Auch für Beschwerden über Datenschutzverstöße kann man sich an das ICO wenden: Make a complaint.

In Großbritannien werden Vorfälle nach Angaben des ICO meist per Telefon gemeldet. Das macht es Betroffenen einfach, Fragen zum weiteren Vorgehen zu stellen. Die Behörde hat allerdings im ersten Monat auch Meldungen ausgemacht, bei denen ihr eigentlich gar nicht meldepflichtige Vorgänge mitgeteilt wurden. Auch gehen zahlreiche unvollständige Berichte ein: Diejenigen, die Datenschutzverletzungen an die Behörde melden, können oft nicht genau sagen, was passiert ist und ob es überhaupt personenbezogene Daten betroffen hat.

Die letzten Zahlen aus Deutschland zeigen einen ähnlichen Trend wie in Großbritannien: Seit Inkrafttreten der DSGVO sind bis zum 22. Juni bei der Bundesbeauftragten für den Datenschutz (BfDI) 1.004 Meldungen über Datenschutzverletzungen eingegangen, wie die Pressestelle gegenüber netzpolitik.org mitteilte. Diese Meldungen werden dezentral erfasst und laufen bei der BfDI zusammen.

Ein Grund für die Zunahme der Meldungen dürfte auch die Strafandrohung sein: Wer im Bereich der Wirtschaft den Meldepflichten nicht nachkommt, dem können Strafzahlungen von mehreren Millionen Euro oder bis zu zwei Prozent des Umsatzes drohen.

In Deutschland bietet die BfDI zwar keine Melde-Telefonnummer, wie sie in Großbritannien schon seit November letzten Jahres geschaltet wurde, aber das Online-Formular auf der BfDI-Webseite sowie ein Merkblatt mit den wichtigsten Informationen (pdf). Wie beim britischen ICO kann auch bei der BfDI eine Online-Beschwerde wegen Datenschutzverstößen abgegeben werden.

Die DSGVO und die Meldepflicht dürften in Zukunft dafür sorgen, dass neue Einblicke möglich werden: Wenn die Vorfälle in den Jahresberichten der europäischen Behörden ausgewertet werden, besteht die Chance, die Datenschutzverletzungen nicht nur quantitativ, sondern auch qualitativ zu bewerten. Unabhängig davon, ob die hohen Meldezahlen des ersten vollen DSGVO-Monats auch künftig auf diesem Niveau bleiben, wird künftig deutlich werden, welche Organisationen aus welchen Gründen der Meldepflicht nachkommen mussten und welche Konsequenzen daraus folgten. Man darf gespannt sein, in welcher Form die europäischen Datenschutzbehörden die Vorfälle aufarbeiten.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Hallo Constanze,

    „Ein Grund für die Zunahme der Meldungen dürfte auch die Strafandrohung sein: Wer im Bereich der Wirtschaft den Meldepflichten nicht nachkommt, dem können Strafzahlungen von mehreren Millionen Euro oder bis zu zwei Prozent des Umsatzes drohen.“

    Du bist möglicherweise auf dem Holzweg.

    „Die neue europäischen Datenschutz-Grundverordnung, die vor zwei Monaten in Kraft trat, sorgt weiter für Verunsicherung. Zunächst sollen wegen möglicher Verstöße aber keine Bußgelder erhoben werden, sagt Dagmar Hartge, die Datenschutzbeauftragte Brandenburgs.“

    P.S: „Sie regelte den Umgang“ da ist ein e zuviel. Sie tuts noch immer…

    1. Danke, habe ich korrigiert.

      Was die Strafen angeht, widerspricht sich das Zitat der Brandenburger Datenschutzbeauftragten nicht unbedingt mit der Aussage im Artikel. Was sie sagte, ist ja schlicht, dass es zunächst keine Bußgelder geben soll. Nun dürfte eine gewisse Schonfrist, die ich allerdings auch durchaus kritisch sehe, aber wohl vorüber sein.

      Ich zitiere zu der Frage der Bußgelder das oben auch verlinkte Merkblatt der BfDI, die Aussagen finden sich aber sehr ähnlich bei anderen europäischen Datenschutzbehörden sowie bei einigen Landesdatenschutzbeauftragten:

      „Ist ein Verstoß gegen die Melde- und Benachrichtigungspflichten aus Art. 33, 34 DSGVO bußgeldbewehrt?

      Bei einem Verstoß gegen die Melde- und Benachrichtigungspflichten aus Art. 33, 34 DSGVO können bei Vorliegen der notwendigen Voraussetzungen gemäß Art. 83 Abs. 4 DSGVO Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher Betrag höher ist.“

      1. Da das Interview gerade frisch war, ist in Bbg die Schonfrist wohl noch auf einen unbestimmten Zeitraum eingerichtet.
        Zudem ist die LDA sowieso chronisch unterbesetzt, so das sehenden Auges Verstöße nicht geahndet werden (können). – Am eigenen Leib erlebt.

        Gruß René

  2. Im Übrigen sollte die Aussage von Frau Hartge im Kontext des gesamten Interviews gelesen werden:

    „Kleine Auftaktverstöße, wo oft Unwissen vorherrschte, werden wir nicht sanktionieren“, so die Behördenchefin.“ Es sei nicht die Zielrichtung der Grundverordnung, „die Kleinen an den Pranger zu stellen.“ Bußgelder seien richtig und fair, wenn es sich um schwere Verstöße gegen den Datenschutz handele.“

    http://www.maz-online.de/Brandenburg/Brandenburgs-Datenschutzbeauftragte-Dagmar-Hartge-will-vorerst-kleinere-Verstoesse-gegen-die-Datenschutz-Grundversordnung-nicht-sanktionieren

    1. Kurze Info: Ich hatte gestern meinen Post ebenfalls mit dem Link versehen und zudem noch einen Satz dazu geschrieben, das die Presseseite der LDA am 8.6. den letzten Eintrag hat.
      Irgendwie ist da was schief gegangen…

      Natürlich kann man das im Kontext sehen, aber wo wird die notwendige Abgrenzung vollzogen? Und vor allem mit welcher Begründung?
      Der bedauerliche Einzelfall ist meißt keiner.

      Gruß René

      1. Nein, in dem Kommentar gestern war kein Link eingefügt. (Der Kommentar ging unverändert raus.)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.