Korrekte Ermittlung eines Falls von Datenschutzverletzung

Grzegorz Gęborek

12. October 2021

Fälle einer Verletzung des Schutzes personenbezogener Daten können in jeder Organisation auftreten. Abhängig von vielen Faktoren – wie den Ursachen, dem Umfang oder dem Risiko bestimmter Folgen – können sie mit Pflichten verbunden sein, die in der DSGVO für Verantwortliche für die Verarbeitung personenbezogener Daten festgelegt sind.

Von entscheidender Bedeutung im Falle einer Verletzung ist die Zeit, innerhalb der der Verantwortliche den Fall beurteilen muss, indem er die erforderlichen Informationen sammelt und eine Risikoanalyse durchführt. Die gesetzliche Frist zur Meldung einer Verletzung bei der Aufsichtsbehörde (bis zu 72 Stunden) kann sich als nicht ausreichend erweisen. Die Nicht- oder Schlechterfüllung dieser Pflicht kann Verwaltungsstrafen nach sich ziehen.

Im Jahr 2021 ist zu beobachten, dass der Präsident der Datenschutzbehörde eine Vielzahl von Verwaltungsstrafen verhängt hat – sei es aufgrund der unterlassenen Meldung einer Verletzung des Schutzes personenbezogener Daten oder aufgrund  fehlender Zusammenarbeit mit der Aufsichtsbehörde. Die verhängten Strafen liegen unterhalb der in der DSGVO vorgesehenen Obergrenze der Verwaltungsstrafen und betragen zwischen 20.000 und über 100.000 PLN. Die Entscheidungen der Datenschutzbehörde liefern den Verantwortlichen wertvolle Hinweise im Bereich der Fallbeurteilung und der richtigen Vorgehensweise beim Umgang mit einer Verletzung des Schutzes personenbezogener Daten und der Zusammenarbeit mit der Aufsichtsbehörde.

Jeder Fall einer Verletzung des Schutzes personenbezogener Daten ist individuell zu behandeln.  Bei den meisten dieser Verletzungen können jedoch bestimmte Muster und Regelmäßigkeiten festgestellt werden, die sich auf die Pflichten des Verantwortlichen auswirken. Beachtenswert sind die Leitlinien des Europäischen Datenschutzausschusses (EDSA) 1/2021 zu Beispielen für die Meldung von Datenschutzverletzungen, die im ersten Quartal 2021 in die öffentliche Konsultation gelangt sind. Diese Leitlinien stellen einen Versuch dar, repräsentative Fälle von Verletzungen mitsamt einer Beurteilung der Pflichten des Verantwortlichen zu katalogisieren, einschließlich: Stellungnahmen zu der Notwendigkeit, einen Fall der Aufsichtsbehörde zu melden oder die betroffenen Personen zu benachrichtigen.

Die Entscheidung über die Notwendigkeit, Verletzungen des Schutzes personenbezogener Daten dem Präsident der Datenschutzbehörde und den betroffenen Personen zu melden, liegt beim Verantwortlichen. Bei der Entscheidung, einen bestimmten Fall nicht dem Präsident der Datenschutzbehörde zu melden, trägt der Verantwortliche das Risiko einer abweichenden Beurteilung des Falls durch die Behörde. Es ist besonders wichtig, den gesamten Prozess zu dokumentieren, einschließlich der Durchführung der Risikoanalyse, die es erlaubte, die Verletzung nicht dem Präsidenten der Datenschutzbehörde zu melden.

Analyse von Fällen

Die Analyse ausgewählter Entscheidungen des Präsidenten der Datenschutzbehörde im Jahr 2021 lässt einige interessante Schlussfolgerungen zu:

1. Ein unkritischer Ansatz kann sich für den Verantwortlichen nachteilig auswirken. Das Durchsickern von PESEL-Nummern birgt ein hohes Risiko der Verletzung von Rechten und Freiheiten.

So geschah es im Falle einer Stiftung, die mit einer Geldstrafe von 13.000 PLN belegt wurde, weil sie die Aufsichtsbehörde nicht unverzüglich über eine Verletzung des Schutzes personenbezogener Daten und die betroffenen Personen nicht über den Vorfall informierte (https://uodo.gov.pl/pl/138/2118).

Der Verantwortliche argumentierte, dass das interne Verfahren ein geringes Risiko einer Verletzung von Rechten und Freiheiten ergeben habe. Der Präsident der Datenschutzbehörde stimmte dieser Beurteilung nicht zu. Die verlorenen Daten betrafen 96 Personen und enthielten neben den allgemeinen Daten auch die PESEL-Nummern. Vor dem Hintergrund des relativ verfestigten Standpunkts des Präsidenten der Datenschutzbehörde kann man im Falle eines Durchsickerns personenbezogener Daten einschließlich der PESEL-Nummern von keinem anderen Risiko als einem hohen ausgehen.

Die durchgeführte Risikoanalyse erweckte die Zweifel der Aufsichtsbehörde, da sie nicht korrekt durchgeführt wurde.

2. Der Präsident der Datenschutzbehörde überprüft die Methodik der Risikoanalyse und stellt sie in Frage, wenn sie inkorrekt ist. Die Risikoanalyse muss zuverlässig sein und darf nicht nur das Nichtbestehen einer Pflicht des Verantwortlichen zur Benachrichtigung des Präsidenten der Datenschutzbehörde und der natürlichen Personen begründen.

Davon musste sich eine Versicherungsgesellschaft überzeugen (https://uodo.gov.pl/pl/138/2096), der der Präsident der Datenschutzbehörde eine Strafe in Höhe von ca. 160.000 PLN auferlegte, da sie eine Verletzung des Schutzes personenbezogener Daten nicht gemeldet hatte. Darüber hinaus wurde die Gesellschaft bestraft, weil sie die betroffene Person nicht über die Verletzung informierte, wozu sie von der Aufsichtsbehörde verpflichtet worden war. Die Behörde betonte, dass der Verantwortliche das Risiko unter Anwendung eines selbständig entwickelten Formulars beurteilt hat. Gleichzeitig stellte der Präsident der Datenschutzbehörde die von der Gesellschaft durchgeführte Risikoanalyse in Frage, mit der Begründung, sie sei nicht ordnungsgemäß durchgeführt worden.

Das Hauptproblem waren nicht Fehler in der Analyse, sondern:

• die zu niedrige Ansetzung der Ergebnisse bei einzelnen Kriterien;
• die Nichtberücksichtigung wichtiger Faktoren bei einzelnen Kriterien;
• die Berücksichtigung von Faktoren, die nicht anzuwenden waren.

Die Behörde stellte fest, dass eine solche Analyse nicht für die Beurteilung geeignet war, ob eine bestimmte Verletzung dem Präsidenten der Datenschutzbehörde zu melden ist und zu der Pflicht führt, die betroffenen natürlichen Personen zu benachrichtigen. Gleichzeitig stellte sie fest, dass der Zweck der Analyse im Wesentlichen eher darin bestand, zu begründen, dass die Verletzung nicht der Aufsichtsbehörde und den betroffenen Personen zu melden ist.

3. Fehlende Zusammenarbeit mit dem Präsidenten der Datenschutzbehörde oder eine Erschwerung der Kontrolle kann zu Bestrafung führen.

2021 erließ der Präsident der Datenschutzbehörde relativ viele Entscheidungen über die Bestrafung von Unternehmen, die nicht mit dem Präsidenten der Datenschutzbehörde zusammenarbeiteten oder sich weigerten, zusammenzuarbeiten. Diese Strafen beliefen sich überwiegend auf 22.000 PLN. Bemerkenswert ist das Urteil des Woiwodschaftsverwaltungsgerichts Warschau vom 23. Februar 2021, in dem das Gericht den Standpunkt und alle Argumente des Präsidenten der Datenschutzbehörde aus dem Bescheid über die Verhängung einer Geldstrafe in Höhe von 100.000 PLN gegen den Hauptvermesser des Landes wegen der Verhinderung einer Kontrolle vollständig teilte. Das Gericht bewertete auch das Vorgehen des Hauptvermessers des Landes im Bereich der Zusammenarbeit mit der Datenschutzbehörde sowie alle seine in der Beschwerde gegen den Bescheid der Aufsichtsbehörde vorgebrachten Argumente kritisch.

Sollten Sie Fragen zum Schutz personenbezogener Daten haben, so nehmen Sie bitte Kontakt mit den Experten von Rödl & Partner auf.