Im Beitrag vom 07.05.2020 haben wir Sie darüber informiert, wann die Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu erfolgen hat. Heute beschäftigen wir uns mit dem Inhalt einer derartigen Meldung.
Die Meldung einer Verletzung des Schutzes personenbezogener Daten muss gemäß Art. 33 Abs. 3 DSGVO zumindest folgende Informationen enthalten:
- Buchstabe a: eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- Buchstabe b: den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- Buchstabe c: eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- Buchstabe d: eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Buchstabe a
Eine Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde muss eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze enthalten.
Zwar werden in der DSGVO keine Kategorien von betroffenen Personen oder personenbezogenen Datensätzen definiert. Die Artikel-29-Datenschutzgruppe schlägt jedoch vor, dass die Kategorien von betroffenen Personen auf die verschiedenen Arten von Personen Bezug nehmen, deren personenbezogene Daten durch eine Datenschutzverletzung beeinträchtigt wurden. Je nach verwendeten Deskriptoren könnten dazu unter anderem Kinder und andere schutzbedürftige Gruppen, Menschen mit Behinderungen, Beschäftige oder Kunden gehören. In ähnlicher Weise können sich die Kategorien personenbezogener Datensätze auf die unterschiedlichen Arten von Datensätzen beziehen, die ein Verantwortlicher besitzt, zum Beispiel Gesundheitsdaten, Ausbildungsunterlagen, Informationen zur Sozialfürsorge, Finanzdaten, Kontonummern, Reisepassnummern usw.
Das Fehlen genauer Informationen (z. B. die genaue Zahl der betroffenen Personen) darf kein Hindernis für die frühzeitige Meldung einer Datenschutzverletzung sein. Nach der DSGVO dürfen ungefähre Zahlen der betroffenen Personen und der betroffenen personenbezogenen Datensätze angegeben werden. Der Fokus sollte auf der Behebung der nachteiligen Auswirkungen der Datenschutzverletzung liegen und weniger auf genauen Zahlenangaben. Daher kann, wenn eine Datenschutzverletzung eindeutig festgestellt wurde, deren genaues Ausmaß aber noch nicht bekannt ist, die Meldung schrittweise erfolgen, um der Meldepflicht dennoch ordnungsgemäß nachzukommen.
Buchstabe b
Die Nennung des Namens und der Kontaktdaten (z. B. E-Mail-Adresse, Telefonnummer) des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle soll es der Aufsichtsbehörde ermöglichen, weitere Informationen zum Sachverhalt einzuholen.
Buchstabe c
Erwägungsgrund 85 macht deutlich, dass die Meldung unter anderem dazu dienen soll, den Schaden für natürliche Personen zu begrenzen. Wenn sich also aus den Arten von betroffenen Personen oder den Arten von personenbezogenen Daten ableiten lässt, dass eine Datenschutzverletzung einen bestimmten Schaden zur Folge haben könnte (z. B. Identitätsdiebstahl, Betrug, finanzielle Verluste, Gefährdung des Berufsgeheimnisses), ist es wichtig, diese Kategorien bei der Meldung anzugeben.
Damit wird eine Verknüpfung mit der Pflicht zur Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung hergestellt.
Buchstabe d
Gemäß Buchstabe d muss eine Meldung einer Datenschutzverletzung Informationen darüber enthalten, welche Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls welche Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen vom Verantwortlichen ergriffen worden bzw. geplant sind. Diese Maßnahmen bilden die Grundlage für eine eventuelle Beratung durch die zuständige Aufsichtsbehörde bzw. einer Anordnung von geeigneteren Abhilfemaßnahmen.
Diese Aufstellung stellt nur den Mindestumfang einer Meldung dar, im Einzelfall kann eine umfassendere Mitteilung erforderlich sein.
Die Informationen dienen der Aufsichtsbehörde als Grundlage dafür, zu entscheiden, ob die ergriffenen Maßnahmen ausreichend sind oder nicht.
Format und Verfahren der Meldung
Bei der detaillierten Regelung des Formats und der Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten sollten die Umstände der Verletzung hinreichend berücksichtigt werden, beispielsweise ob personenbezogene Daten durch geeignete technische Sicherheitsvorkehrungen geschützt waren, die die Wahrscheinlichkeit eines Identitätsbetrugs oder anderer Formen des Datenmissbrauchs wirksam verringern. Überdies sollten solche Regeln und Verfahren den berechtigten Interessen der Strafverfolgungsbehörden in Fällen Rechnung tragen, in denen die Untersuchung der Umstände einer Verletzung des Schutzes personenbezogener Daten durch eine frühzeitige Offenlegung in unnötiger Weise behindert würde (Erwägungsgrunds 88 zur Datenschutzgrundverordnung).
Im Regelfall wird es genügen, die Meldung in schriftlicher Form oder mittels verschlüsselter E-Mail zu übersenden. Erfolgt eine Informierung zunächst telefonisch, sollte baldmöglichst eine schriftliche Benachrichtigung nachgereicht werden. Dies dient auch der gemäß Art. 33 Abs. 5 bestehenden Dokumentationspflicht.