DSGVO- Experte Anderl: "Im Zweifel lieber zu viel melden"

DSGVO- Experte Anderl: "Im Zweifel lieber zu viel melden"

Axel Anderl, DSGVO-Experte

Was soll man tun, wenn in einem Unternehmen Daten abhanden kommen oder gestohlen werden? Zur Polizei oder Behörde? Rechtsanwalt Axel Anderl antwortet auf die brennendsten Fragen bei Datenverlust.

trend: Wenn einem meiner Mitarbeiter Smartphone oder Notebook abhanden kommt, die Festplatte aber verschlüsselt ist und Unbefugte keinen Zugriff auf Kundendaten bekommen können, muss ich diesen Vorfall der Datenschutzbehörde (DSB) trotzdem melden?
Axel Anderl: Nach der DSGVO muss jede Verletzung des Schutzes und der Sicherheit personenbezogener Daten innerhalb von 72 Stunden an die Datenschutzbehörde gemeldet werden. Eine solche Datenschutzverletzung liegt insbesondere dann vor, wenn der Vorfall - also etwa der Verlust des Notebooks oder des Smartphones - zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu den betroffenen personenbezogenen Daten führt oder führen kann.
Die Meldepflicht gilt daher nur, wenn sich auf dem verlorenen Gerät personenbezogene Daten befinden und aus dem Vorfall ein zumindest potenzielles Risiko für die Daten bzw. die Betroffenen droht. Daher sieht die DSGVO auch ausdrücklich vor, dass keine Meldung an die Datenschutzbehörde erstattet werden muss, wenn die Datenpanne "voraussichtlich nicht zu einem Risiko" für die Betroffenen (also etwa Kunden oder Mitarbeiter, deren Daten auf dem verlorenen Gerät gespeichert sind) führt.
Für die Praxis bedeutet das: Nur wenn mit Sicherheit feststeht, dass die verschlüsselten Daten auf dem verlorenen Gerät nicht entschlüsselt werden können und die Daten auch durch ein Backup gesichert sind (daher auch kein Datenverlust vorliegt), besteht kein Risiko für die Betroffenen und damit keine Meldepflicht. Daher wird nicht jede Verschlüsselung die Pflicht zur Meldung von Datenschutzverstößen aushebeln. Ist sie zu "schwach" oder besteht kein Backup, besteht dennoch die Meldepflicht.

trend: Was kann mir passieren, wenn ich keine Meldung an die DSB mache und einfach abwarte, ob jemand etwas merkt?
Anderl: Die Nichteinhaltung der Meldepflicht stellt einen Datenschutzverstoß dar und kann eine Geldbuße auslösen: konkret bis zu zehn Millionen oder zwei Prozent des Konzernjahresumsatzes. Für den Fall, dass die Datenschutzbehörde von der Panne Kenntnis erlangt, kann sie auch ihre (umfassenden) Kontrollrechte ausüben und generell die DSGVO-Compliance des Unternehmens prüfen. Dadurch können möglicherweise auch noch weitere Verstöße gegen datenschutzrechtliche Bestimmungen aufgedeckt werden, die zum Datenvorfall geführt haben, etwa nicht ausreichendes Sicherheitssystem oder generell unzulässige Datenverarbeitung.
Die Tendenz geht daher in Richtung, im Zweifel lieber zu viel zu melden als zu wenig. Schließlich hat eine überflüssige Meldung keinerlei Sanktionen. Eine nicht erstattete Meldung kann aber eine Kaskade unerwünschter Konsequenzen nach sich ziehen.

trend: Muss ich im Falle eines Datendiebstahls auch noch eine Anzeige bei der Polizei machen?
Anderl: Nein, eine Anzeige bei der Polizei muss datenschutzrechtlich nicht erstattet werden. In der Regel wird das aber aus versicherungsrechtlichen Gründen erforderlich sein. Daneben ist allerdings zu berücksichtigen, dass zusätzlich zur Meldung an die Datenschutzbehörde auch die Betroffenen selbst (also etwa Kunden oder Mitarbeiter, deren Daten auf dem verlorenen Gerät gespeichert sind) direkt von der Datenpanne informiert werden müssen, wenn ein "voraussichtlich hohes Risiko" für sie besteht.
Das ist etwa dann der Fall, wenn pikante Details vom Vorfall betroffen sind und eine Bloßstellung der Betroffenen droht oder ein Identitätsdiebstahl zu befürchten ist sowie finanzielle Schäden oder Reputationsschäden folgen könnten. Vor allem wenn der Data Breach sensible Daten betrifft, ist eine Benachrichtigung der Betroffenen in der Regel unumgänglich. Ist sich das Unternehmen unsicher, ob eine unmittelbare Information der Betroffenen erforderlich ist, kann es von der Datenschutzbehörde im Zuge der Meldung auch eine dazu Einschätzung anfordern. Die Behörde kann eine Benachrichtigung der Betroffenen aber auch proaktiv verpflichtend auferlegen.

ZUR PERSON

Axel Anderl , Anwalt der Kanzlei Dorda Brugger Jordis, ist ausgewiesener DSGVO- Experte und berät seit vielen Monaten Unternehmen bei der Umsetzung dieser Verordnung.


Lesen Sie auch:
DSGVO, aber sicher


Die Geschichte ist im e!trend Juni/2018 erschienen

Digital

Digitales Amt: Österreicher gehören zu den Muffeln

Wirtschaft

Facebook-Cybergeld "Libra"rüttelt die Notenbanken auf

Dropbox CEO Drew Houston (Bildmitte mit Bart) feiert den Börsengang am 23. März 2019

Digital

Dropbox am Weg zum Full-Service-Anbieter

Die Diskutanten im Odeon Theater, Wien

trend Podcast - Wirtschaft zum Hören

trend.s in Finance Talk: Wie digital ist Österreich? [Podcast]