Die Verletzung des Schutzes personenbezogener Daten kann erhebliche wirtschaftliche und immaterielle Konsequenzen für den Betroffenen haben. Wenn durch die Datenpanne etwa finanzielle Verluste oder die Offenlegung privater Informationen drohen, trifft den Verantwortlichen daher nach Maßgabe des Art. 34 Abs. 1 DSGVO eine Benachrichtigungspflicht gegenüber dem Betroffenen. Die Benachrichtigung soll es dem Betroffenen ermöglichen, auf bestehende Risiken zu reagieren sowie selbst zum Schutz seiner Freiheiten und Rechte durch geeignete Vorkehrungen beizutragen. Art. 34 Abs. 1 DSGVO statuiert die vom Bundesgesetzgeber bereits nach § 42a BDSG geregelte Informationspflicht des Verantwortlichen und konkretisiert Inhalt und Anforderungen. Im Einzelnen
Wann hat die neue Informationspflicht zu erfolgen?
Art. 34 Abs. 1 DSGVO spricht von einem für die Rechte und Freiheiten der betroffenen Person hohen Risiko, das sich durch die aufgetretene Datenpanne zu verwirklichen droht. Wann genau ein hohes Risiko gegeben ist, lässt die DSGVO hierbei offen: Es wird regelmäßig dann anzunehmen sein, wenn eine Prognose ergibt, dass mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten der betroffenen Person eintritt. Maßgeblich ist hierbei auch, ob und inwieweit weitere Verletzungen durch die Benachrichtigung vermieden werden können. Damit liegt die Grenze bei der Informationspflicht höher als bei der Meldepflicht nach Art. 33 DSGVO, wonach jedes Risiko die Meldepflicht des Verantwortlichen begründet. Hiermit berücksichtigt der Gesetzgeber die etwaige Störung des Vertrauensverhältnisses zwischen Verantwortlichem und Betroffenem sowie die administrative Belastung des Verantwortlichen.
Nach Art. 34 Abs. 3 DSGVO kann die Benachrichtigung unter bestimmten Voraussetzungen entbehrlich sein, sodass der Betroffene nicht informiert werden muss. Eine Informationspflicht darf unterbleiben, wenn der Verantwortliche gemäß Abs. 3 lit. a) vorab durch eine Verschlüsselung oder gemäß Abs. 3 lit. b) nachträglich durch geeignete Sicherheitsmaßnahmen dafür gesorgt hat, dass das hohe Risiko „aller Wahrscheinlichkeit nach“ nicht mehr besteht. Nach Abs. 3 lit. c) kann die Informationspflicht auch wegfallen, wenn diese nur mit einem unverhältnismäßigen Aufwand umgesetzt werden könnte. In diesen Fällen genügt eine öffentliche Bekanntmachung durch den Verantwortlichen in den Medien, etwa durch eine Zeitungsanzeige oder über die Unternehmenswebsite.
Der Verantwortliche hat den Begriff des hohen Risikos selbst auszulegen. Ob die Information erfolgen muss, hat er somit nach eigenem Ermessen zu entscheiden. Unterschätzt er das Risiko der Datenpanne und kommt er seiner Informationspflicht daher nicht (hinreichend) nach, kann er sich nach Maßgabe des Art. 83 Abs. 4 lit. a) DSGVO schadensersatzpflichtig machen.
Wie hat die neue Informationspflicht zu erfolgen?
In formeller Hinsicht hat die Information einfach und verständlich erfolgen. Der Betroffene muss verstehen, was passiert ist, um einschätzen zu können, welche Risiken für ihn durch das Ereignis bestehen und welche Maßnahmen er ergreifen kann um eventuell eintretende Schäden zu verhindern.
Inhaltlich erfordert die Informationspflicht mit einem Verweis auf Art. 33 Abs. 3 lit. b), c) und d) DSGVO die dort genannten Informationen, nämlich die Art der Verletzung, die Benennung des Datenschutzbeauftragten oder einer anderen Kontaktperson, die Beschreibung der wahrscheinlichen Folgen und schließlich die Beschreibung der ergriffenen Maßnahmen zur Begegnung und Behebung des Problems. Hinsichtlich des genauen Umfangs dieser Informationen kann die zuständige Aufsichtsbehörde konsultiert werden.
Die Benachrichtigung soll unverzüglich erfolgen. Zu einer Überschreitung des Zeitabstandes zwischen Kenntnisnahme und Information von 72 Stunden darf es wie in Art. 33 DSGVO nur im Ausnahmefall kommen.
Was ändert sich für den Verantwortlichen?
Im Wesentlichen ergeben sich zwei Unterschiede zur einfachgesetzlichen Informationspflicht nach § 42a BDSG: Mit Inkrafttreten der DSGVO werden von der „neuen“ Informationspflicht nicht nur Risikodaten, sondern alle personenbezogenen Daten umfasst, die Gegenstand eines sicherheitsrelevanten Ereignisses werden können. Außerdem wird sie nicht nur durch die unrechtmäßige Offenlegung an Dritte, sondern schon dann ausgelöst, wenn es etwa nur um interne und nicht zwingend unrechtmäßige Datenpannen – wie zum Beispiel einen Datenverlust – geht.
Unglücklicherweise wird der Begriff des hohen Risikos und somit die Begründung der Informationspflicht nicht weiter konkretisiert. Es bleiben aus diesem Grund die Leitlinien und Empfehlungen des europäischen Datenschutzausschusses abzuwarten, die zu mehr Rechtssicherheit zu Gunsten des Verantwortlichen beitragen werden.
Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Beratung Datenschutzrecht