Benachrichtigung natürlicher Personen über eine Verletzung des Schutzes personenbezogener Daten

Eine besondere Herausforderung ist die Sicherung personenbezogener Daten gegen mögliche Malware-Angriffe. Das Risiko, dass es in einer Phase der Datenverarbeitung zu einer Datenschutzverletzung kommt, betrifft daher jeden für die Verarbeitung personenbezogener Daten Verantwortlichen. Daher lohnt es sich, nicht nur geeignete Schutzmaßnahmen zu ergreifen, sondern auch die Pflichten zu kennen, die dem Verantwortlichen im Falle einer Verletzung obliegen. 

Die Verletzungen können unterschiedlicher Art sein und unterschiedliche Folgen haben. Insbesondere kann die Vertraulichkeit der Daten beeinträchtigt werden, wenn sie an Unbefugte weitergegeben oder ihnen zugänglich gemacht werden. Dies ist die typischste Form der Datenverletzung und birgt auch das größte Risiko.

Eine Verletzung kann sich auch auf die Integrität personenbezogener Daten (z.B. unbefugte Änderungen des Dateninhalts) oder ihre Zugänglichkeit (z.B. Unmöglichkeit der Nutzung der Daten durch die befugte Person) beziehen.

Unabhängig von der Art der Verletzung muss der Verantwortliche prüfen, ob die betroffene Person im Einzelfall über den Vorfall informiert werden muss. Der Verantwortliche kann auch verpflichtet sein, die Aufsichtsbehörde zu informieren. 

Gemäß Art. 33 und 34 DSGVO hat der für die Verarbeitung Verantwortliche im Falle einer Datenschutzverletzung zwei Informationspflichten zu erfüllen: gegenüber der Aufsichtsbehörde und gegenüber den von der Verletzung betroffenen Personen. Die Voraussetzungen für die Entstehung einer Informationspflicht gegenüber natürlichen Personen sind etwas anders gestaltet als bei der Benachrichtigung der Aufsichtsbehörde.

Die Informationspflicht gegenüber der Aufsichtsbehörde besteht bei jeder Verletzung, ausgenommen Situationen, in denen das Risiko einer Verletzung der Rechte und Freiheiten natürlicher Personen gering ist. Der Verantwortliche ist hingegen verpflichtet, die betroffenen Personen zu benachrichtigen, wenn sich das Risiko einer Verletzung der Rechte und Freiheiten der betroffenen Person als hoch erweist. Die Gegenüberstellung der obigen Bestimmungen führt zu dem Schluss, dass die Verpflichtung, eine natürliche Person über eine Verletzung zu benachrichtigen, viel seltener vorkommen wird als die Verpflichtung, die Verletzung dem Präsidenten der Datenschutzbehörde zu melden.

Um zu beurteilen, welche Pflichten dem Verantwortlichen in einem bestimmten Fall obliegen, sollte er eine Analyse der Risiken und Folgen der Verletzung durchführen. Die Art der von der Verletzung betroffenen Daten, die Art der Verletzung sowie das Ausmaß und die potenziellen Folgen müssen geprüft werden.

Besteht eine hohe Wahrscheinlichkeit, dass die Verletzung personenbezogener Daten zu einer Verletzung der Rechte oder Freiheiten natürlicher Personen führt, so hat der Verantwortliche nicht nur den Präsidenten der Datenschutzbehörde, sondern auch die betroffenen Personen über die Verletzung zu benachrichtigen. Erweist sich das Risiko als nicht hoch, so ist der Verantwortliche nicht verpflichtet, die betroffene Person von der Verletzung zu benachrichtigen.

Situationen, die ein hohes Risiko mit sich bringen, könnten bspw. die Veröffentlichung der PESEL-Nummer zusammen mit dem Vor- und Nachnamen und den Versicherungsunterlagen oder von Daten über den Gesundheitszustand einer bestimmten Person im Internet sein. Als eine Verletzung, die kein hohes Risiko für die Rechte und Freiheiten darstellt, betrachtete der Präsident der Datenschutzbehörde u.a. den Verlust des Arbeitszeugnisses eines Arbeitnehmers durch den Arbeitgeber. Nach Ansicht des Präsidenten der Datenschutzbehörde enthält das Arbeitszeugnis keine Daten, die zu einer Verletzung von Rechten oder Freiheiten führen könnten, so dass in diesem Fall keine Notwendigkeit besteht, die Person über die Verletzung zu informieren. 

Größere Zweifel kann ein Vorfall wecken, bei dem keine personenbezogenen Daten offengelegt wurden, sondern nur der Zugang zu ihnen verloren ging. In solchen Fällen wird ein hohes Risiko der Verletzung der Rechte und Freiheiten der betroffenen Personen weitaus seltener auftreten. Die Beurteilung der einzelne Fälle kann jedoch zu verschiedenen Schlussfolgerungen führen – insbesondere, wenn es sich um wichtige Gesundheitsdaten handelt und wenn der fehlende Zugang zu diesen Daten über einen längeren Zeitraum hinweg bestünde. 

Artikel 34 Abs. 3 DSGVO regelt Ausnahmen von den oben beschriebenen Voraussetzungen für die Pflicht zur Benachrichtigung der betroffenen Person über eine Verletzung. 

Selbst wenn eine Datenschutzverletzung vorliegt und die durchgeführte Analyse auf ein hohes Risiko der Verletzung der Rechte und Freiheiten der betroffenen Person hinweist, gibt es Fälle, in denen der Verantwortliche nicht verpflichtet ist, der Informationspflicht nachzukommen. Eine Benachrichtigung natürlicher Personen ist in folgenden Fällen nicht erforderlich: 

Im Hinblick auf die Vielfalt potenzieller Datenschutzverletzungen erfordert jeder Fall einen individuellen Ansatz und eine separate Analyse. Natürlich lohnt es sich, über eine angemessene Datensicherung nachzudenken, bevor es zu einer Verletzung kommt. Oft zeigt jedoch erst die detaillierte Analyse der Verletzung, welche zusätzlichen Schutzmaßnahmen bei dem betreffenden Unternehmer zu ergreifen sind. Es ist auch zu beachten, dass die Analyse der Verletzung Fragen im Zusammenhang mit der Erfüllung der Informationspflicht gegenüber der Aufsichtsbehörde und den betroffenen Personen umfassen sollte. Die Benachrichtigung der betroffenen Personen über eine Verletzung erfüllt nämlich ein wichtiges Ziel, das nach Erwägungsgrund 86 der Präambel der DSGVO darin besteht, es natürlichen Personen zu ermöglichen, die erforderlichen Vorkehrungen gegen die möglichen Folgen einer Verletzung zu treffen.