Eine Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO hat bei Datenschutzverletzungen immer zu erfolgen, es sei denn, dass die Datenpanne „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führt.
Auch zwei Jahre nach Anwendbarkeit der Datenschutz-Grundverordnung herrscht vielerorts nach Unsicherheit darüber, wann eine Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde zu erfolgen hat.
Gemäß Art. 4 Nr. 12 DSGVO stellt eine „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit dar, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Somit ist eine Datenschutzverletzung nicht mit einem Verstoß gegen datenschutzrechtliche Vorschriften gleichzusetzen, vielmehr wird ausschließlich der Aspekt der Datensicherheit in den Blick genommen.
Die Gesetzesdefinition setzt voraus, dass eine Verletzung eingetreten ist. Ob sie zu einem Schaden geführt hat, spielt keine Rolle. Auch, um welche Art personenbezogener Daten (ob sehr sensibel oder nicht) es sich handelt, ist nicht entscheidend. Die Meldepflicht besteht immer. Keine Rolle spielt auch, ob eine Datenpanne beabsichtigt war oder nicht.
Bei der Feststellung einer Datensicherheitsverletzung – einer gängigeren Terminologie folgend als „Datenschutzverletzung“ bezeichnet – muss zwischen Verletzungsverhalten und Verletzungserfolg unterschieden werden.
Ein Verhalten ist als Verletzung der Sicherheit zu werten, wenn die betreffende Person normative – insbesondere organisatorische – Vorgaben nicht beachtet oder technische Vorkehrungen überwindet, die der Verantwortliche jeweils nach Art. 32 DSGVO getroffen hat.
Der Verletzungserfolg liegt häufig darin, dass die Datenverfügbarkeit, die Datenintegrität oder die Datenvertraulichkeit beeinträchtigt sind.
Zur Abschätzung, ob eine Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, muss eine Risikobewertung durchgeführt werden. Dabei besteht die Herausforderung, objektive Kriterien für Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen festzulegen.
Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde (egal ob er sie verschuldet hat), diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Art. 33 Abs. 1 Satz 1 DSGVO).
Grund für diese Meldungspflicht ist gemäß Satz 1 des Erwägungsgrunds 85 zur Datenschutz-Grundverordnung, dass eine Verletzung des Schutzes personenbezogener Daten — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen kann, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.
Die entsprechende Meldung kann zu einem Tätigwerden der Aufsichtsbehörde im Einklang mit ihren in dieser Verordnung festgelegten Aufgaben und Befugnissen führen (Satz 3 des Erwägungsgrunds 87 zur Datenschutz-Grundverordnung).
Die Mitteilung muss auch dann erfolgen, falls die durch die Meldung verfügbar werdenden Informationen zur Verarbeitung zur Einleitung eines Strafverfahrens führen können.
Die Meldepflicht entsteht zu dem Zeitpunkt, zu welchem der Verantwortliche von dem meldepflichtigen Ereignis Kenntnis erlangt hat. Nach Auffassung der Artikel-29-Datenschutzgruppe ist anzunehmen, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde, wenn der betreffende Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat.
Ein Ereignis ist erst dann als Datenschutzverletzung zu behandeln, sobald es als eine solche identifiziert werden kann. Vor diesem Zeitpunkt kann die Datenschutzverletzung dem Verantwortlichen grundsätzlich nicht bekannt werden.
Aus aufsichtsbehördlicher Sicht kann bei Datenschutzverletzungen, die nicht auf den ersten Blick – und sei es auch nur vorläufig – einzuordnen sind, eine Aufklärungsphase von höchstens 24 Stunden ab dem Auftreten hinreichender Anhaltspunkte in Anspruch genommen werden.
Die Meldung ist nach Art. 33 Abs. 1 Satz 1 DSGVO unverzüglich, mithin ohne schuldhaftes Zögern, zu erstatten.
Die in Art. 33 Abs. 1 Satz 1 DSGVO enthaltene 72-Stunden-Frist ist eine Richtgröße, an deren Überschreitung eine Begründungspflicht (Art. 33 Abs. 1 Satz 2 DSGVO) anknüpft (die etwa dann zu erfüllen sein kann, wenn sich die 72-Stunden-Frist einmal gerade über die Weihnachtstage erstreckt).
Die Frist läuft an einem Feiertag, Sonntag oder Samstag (Sonnabend) weiter. Endet die 72-Stunden-Frist an einem Feiertag, Sonntag oder Samstag, verlängert sie sich nicht bis zum nächsten Arbeitstag.
Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist nach Art. 33 Abs. 1 Satz 2 DSGVO eine Begründung für die Verzögerung beizufügen.