gehackt – muss ich meinen Kund:innen einen Datenschutzverstoß melden?

Zu einem Datenschutzverstoß kann es auch unter den besten Bedingungen kommen. Bei einem Verlust bzw. "Verletzung des Schutzes personenbezogener Daten", muss nach Art. 33 DSGVO innerhalb von 72 Stunden eine Meldung bei der Aufsichtsbehörde erfolgen. Besteht zudem ein hohes Risiko für die betroffene/n Person/en, so ist die Verletzung nach Art. 34 DSGVO auch der betroffenen Person selbst zu melden.

Ziel der Meldepflichten ist es nicht, ein Unternehmen für ein etwaiges Fehlverhalten zu bestrafen, sondern vielmehr die - sich aus der Verletzung ergebenden - Gefahren für die Betroffenen zu minimieren.

Welche Datenschutzverletzungen müssen der Aufsichtsbehörde gemeldet werden?

Wenn eine Verletzung des Schutzes personenbezogener Daten eintritt, sind diese der zuständigen Aufsichtsbehörde zu melden. Eine solche Verletzung der Sicherheit liegt vor, wenn diese zur

• Vernichtung,
• Verlust,
• Veränderung,
• unbefugten Offenlegung oder
• zum unbefugten Zugang

von personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Inhaltlich muss die Meldung an die Aufsichtsbehörde mindestens eine Beschreibung über die Art der Verletzung von personenbezogenen Daten, die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der voraussichtlichen Folgen sowie eine Beschreibung über bereits ergriffene und vorgeschlagene Maßnahmen enthalten. Die Meldung muss von den Verantwortlichen selbst erfolgen. Sollte es demnach bei einem Auftragsverarbeiter zu einer Verletzung gekommen sein, so muss die Meldung des Datenschutzverstoßes durch den Verantwortlichen (Auftraggeber) und nicht den Auftragsverarbeiter erfolgen.

Die Meldung an die Aufsichtsbehörde erfolgt unabhängig von der Meldung an die Betroffenen selbst. Den eigenen Kunden einen solchen Datenschutzverstoß zu melden, kann auch auf künftige Geschäftsbeziehungen Auswirkungen haben, deshalb sollte eine solche Meldung auch Transparent über die ergriffenen Schutzmaßnahmen aufklären, um nicht auch noch das letzte Vertrauen der Kund*innen zu verwirken.

Muss ich meine Kunden benachrichtigen?

Aus diesem Grund muss hinsichtlich der Benachrichtigungspflicht (der betroffenen Personen) eine Abwägung getroffen werden, inwieweit die persönlichen Rechte und Freiheiten der Betroffenen durch die Datenverletzung gefährdet sind. Laut Art. 34 DSGVO ist dies regelmäßig der Fall, wenn ein hohes Risiko besteht. Ein solch hohes Risiko besteht, wenn eine Prognose ergibt, dass ein geringer Schaden entweder mit hoher Wahrscheinlichkeit eintreten wird oder der Schaden (bei einer geringen Eintrittswahrscheinlichkeit) hoch ausfallen könnte.

Bei dieser Prognose ist auch einzubeziehen, ob die Benachrichtigung die Risiken für die betroffenen Personen abmildern könnte. In einem solchen Fall wäre eine Meldung an die Betroffenen ebenfalls in jedem Fall als verpflichtend anzusehen.

Im Übrigen können betroffene Personen im Sinne dieser Regelung nur natürliche Personen sein, denn anderenfalls wären keine personenbezogenen Daten betroffen.

Gibt es Ausnahmen von der
Benachrichtigungspflicht?

Von dieser Benachrichtigungspflicht gibt es nach Art. 34 Abs. 3 DSGVO einige Ausnahmen. Alle Ausnahmen stellen aber darauf ab, dass entweder bereits zuvor oder unmittelbar nach dem Vorfall Maßnahmen ergriffen wurden, welche das Risiko für die betroffenen Personen auf ein vertretbares (siehe oben) Risiko absenken. So ist bei einem Datenschutzvorfall, bei dem - nach dem Stand der Technik - verschlüsselte Daten abhandengekommen sind, in der Regel keine Benachrichtigung erforderlich.

Ist die Benachrichtigung nur mit einem enorm hohen Aufwand möglich (z.B. aufgrund der hohen Anzahl der Betroffenen) so ist ersatzweise auch eine öffentliche Bekanntmachung des Vorfalls möglich.

Zusammenfassend lässt sich festhalten, dass bei einem Datenschutzvorfall nur in Fällen mit einem sehr geringen Risiko für die Betroffenen von einer Benachrichtigung abgesehen werden kann.