Wann sollte ich Datenschutzverletzungen melden?
Eine immer wieder gestellte Frage aus dem Kreis meiner Kontakte lautet:
Wann muss ich eigentlich eine Meldung beim Datenschutzbeuftragten über einen möglichen Datenschutzvorfall abgegeben?
Und dieser Frage ist weniger eine Frage nach dem genaue Zeitpunkt, sondern einer Frage nach der Situation. Der Zeitpunkt ist in der DSGVO genau festgelegt:
Art. 33 DSGVO Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde: Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. 2Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
Soweit der Zeitpunkt. Aber wann genau hat den eine Verletzung des Schutzes stattgefunden? Trifft das schon zu wenn:
- eine Verletzung möglich ist weil man zum Beispiel festgestellt hat das man auf seinem Internetserver eine Sicherheitslücke hatte?
- in den Logfiles sehen kann das es einen Angreifer gab?
- man erkennen kann das Daten abgeflossen sind?
Die DSGVO als rechtliches Dokument gibt hier keine technischen Vorgaben. Ich empfehle hier zusammen mit seinem Rechtsbeistand die Dokumentation des bayerischen Landesbeauftragte für den Datenschutz gemeinsam mit dem Bayerischen Landesamt für Datenschutzaufsicht zu prüfen.
Hier wird eine Empfehlung zur Verfahrensweise für die aktuellen Zero-Day-Sicherheitslücken in Microsoft Exchange Servern abgegeben. Neben technischen und organisatorischen Empfehlungen gibt es auch eine Aussage ab wann eine Meldung zu erfolgen hat. Auf Seite 7 werden die Situationen beschrieben wann keine und ab wann eine Meldung zu erfolgen hat. Ohne den Anspruch einer rechtlichen Beratung würde ich die beiden Punkte wie folgt zusammenfassen.
Keine Meldung muss abgegeben werden wenn:
- man ausgiebig geprüft hat das keine Kompromitierung stattgefunden hat oder
- kein Risiko für die Betroffenen existiert hat
Eine Meldung muss erfolgen wenn:
- man es einfach nicht weiss was passiert ist oder
- man erkennen kann, das Angreifer auf dem Server waren.
Auch wenn diese Empfehlung sich expliziert auf den Fall der betroffenen Exchange Problematik bezieht könnte man diese Empfehlung vielleicht auch für andere Fälle übernehmen.
Aber natürlich fragen Sie für so etwas auch erstmal einen Anwalt ;-)