Datenschutz: Orientierungshilfe des Bayerischen Landesbeauftragten zu Melde- und Benachrichtigungspflichten bei Datenpannen

Der Bayerische Landesbeauftragte für den Datenschutz legt mit seiner Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ eine umfassende Erläuterung zur Anwendung der Artikel 33 und 34 DSGVO vor. Mit zahlreichen praktischen Anwendungsbeispielen und Empfehlungen bietet die Orientierungshilfe praxisnahe Unterstützung bei der Beurteilung möglicher Verletzungen  des Schutzes personenbezogener Daten und bei der Risikobeurteilung bei Vorliegen einer Melde- oder Benachrichtigungspflicht.

Dass die Beurteilung und Meldung von Datenpannen hohe Anforderungen an Verantwortliche stellt ist auch den Aufsichtsbehörden bewusst (mehr zu den Prüf-, Dokumentations- und Meldeanforderungen auch in diesem Blog-Beitrag). Die hohe Relevanz des Themas wird zudem offensichtlich, wenn der Bayerische Landesbeauftragte für den Datenschutz in seiner Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ bereits im Vorwort anführt, dass er „von bayerischen öffentlichen Stellen nahezu täglich Meldungen nach Art. 33 DSGVO“ erhalte.

Obwohl sich die nun vorgelegte Orientierungshilfe konkret an bayerische öffentliche Stellen wendet, können die Prüfungsschritte zur Beurteilung einer möglichen Melde- oder Benachrichtigungspflicht im Rahmen einer Verletzungshandlung ohne viel Phantasie auch auf nicht-öffentliche Stellen angewandt werden.

Aufbau der Orientierungshilfe

Beginnend bei den Merkmalen von Datenschutzverletzungen als Anknüpfungspunkt möglicher Meldepflichten gegenüber den Aufsichtsbehörden gemäß Artikel 33 DSGVO und Benachrichtigungspflichten gegenüber den Betroffenen gemäß Artikel 34 DSGVO, über die Risikobeurteilung bei Vorliegen einer Datenschutzverletzung, der Meldung und Benachrichtigung selber bis hin zum Aufbau der gesetzlich geforderten Dokumentation beleuchtet die Orientierungshilfe auf immerhin 64 Seiten einen großen Teil der für die Praxis relevanten Fragen und Probleme.

Verletzungsverhalten und Verletzungserfolg

Während in zahlreichen Handreichungen und Arbeitshilfen bislang insbesondere auf Zeitpunkt, Art, Inhalt und Umfang der Meldung sowie auf mögliche Sanktionen fokussiert wird, räumt Thomas Petri, der Bayerische Landesbeauftragte für den Datenschutz, der Prüfung des Verletzungsverhaltens selber und der Beurteilung des Verletzungserfolges als „Voraussetzung“ einer möglichen Datensicherheitsverletzung Raum ein. Der ausdrückliche Hinweis darauf, dass nicht in jedem Verstoß gegen datenschutzrechtliche Vorschriften eine „Verletzung“ i.S.d. Artikel 4 Nr. 12 DSGVO gegeben ist, sondern dass hier (nur und ausschließlich) Verletzungen der Sicherheit (!) personenbezogener Daten angesprochen sind, wird in der Orientierungshilfe sehr deutlich herausgearbeitet.

Die vorgeschlagene Beurteilung eines möglichen Verletzungsverhaltens entlang der Fragen nach einer Nichtbeachtung normativer Vorgaben, der Überwindung technischer Vorkehrungen oder dem Vorliegen organisatorischen Fehlverhaltes gibt ein Prüfungsschema vor, dass auch von juristisch weniger erfahrenen Datenschutzbeauftragten sicher angewandt werden kann.

Risk Assessment basiert auf bekannten Strukturen

Mit der vorgeschlagenen Risikobeurteilung bei Meldepflicht und Benachrichtigungspflicht schließt der Bayerische Landesdatenschutzbeauftragte begrifflich und systematisch an die bereits im Kurzpapier XVIII Datenschutz-Folgenabschätzung entwickelte Risikomatrix zur Darstellung des Schutzniveaus für Datenschutzrisiken im Rahmen von Datenschutz-Folgenabschätzungen (DSFA) nach Artikel 35 DSGVO an, die so auch vom Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) unter anderem im Leitfaden Risk Assessment & Datenschutz-Folgenabschätzung vertreten wird. 

Durch die hierdurch erreichbare Wiederholung der systematischen Logik bei Risikobeurteilungen kann in der Praxis gerade bei diesem zum Teil „theoretischen“ und durchaus komplexen Thema eine begrüßenswerte Routine erreicht werden, die allen Beteiligten mehr Anwendungs- und Dokumentationssicherheit gibt.

Fazit

Mit seiner Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ legt der Bayerische Landesbeauftragte für den Datenschutz eine praxisnahe Hilfe vor, die stark durch die Beratungsanfragen und Verletzungsmeldungen des ersten Jahres unter der DSGVO geprägt scheint. Die Prüfschritte werden durch verständliche und knappe Beispiele greifbar und die klare sprachliche Darstellung dokumentiert eine bewusste Ausrichtung auf das Verständnis beim Leser statt auf eine komplexe juristische Diktion.

„Leichte Kost“ ist die Orientierungshilfe indes dennoch nicht. Mit einem Umfang von über 60 Seiten dient sie sicherlich eher der systematischen Entwicklung von Prüf- und Meldeprozessen als der schnellen Hilfe bei (möglichen) Datenpannen. Wie bereits in früheren Blog-Beiträgen empfohlen, sollten die notwendigen und gesetzlich geforderten Abläufe und Prozesse frühzeitig entwickelt werden, damit, vergleichbar mit Erste‐Hilfe‐ und Brandschutzübungen, im „Ernstfall“ jeder weiß, „wo er hin greifen muss“.

 Autor: Matthias Herkert, Leiter Fachbereich Consulting und externer Datenschutzbeauftragter