Guidelines für die Meldung von Datenschutzverletzungen

26.02.2021 – von Lucia Thielemann (wiss. Mitarbeiterin)
Am 14. Januar 2021 verabschiedete der Europäische Datenschutzausschuss (EDSA) einen Entwurf für Richtlinien, die Beispiele zur Meldung von spezifischen Datenschutzverletzungen enthalten. Im Juli 2018 veröffentlichte der EDSA bereits allgemeine Hinweise zur Meldung von Datenpannen gemäß Art. 33, 34 DSGVO. Der neue Entwurf soll nun anhand von Beispielszenarien veranschaulichen, in welchen Fällen die Notwendigkeit einer Meldung konkret besteht.

Inhalt

Die Guidelines on Examples regarding Data Breach Notification (Version 1.0) beinhalten fiktive Szenarien von Datenschutzverletzungen. Der Entwurf schildert folglich mögliche Praxisfälle und evaluiert, ob die Faktenlage im individuellen Fall eine Meldung bei der Datenschutzbehörde erfordert oder nicht.

Der EDSA behandelt zunächst anschaulich Beispielsfälle zu dem Befall von Computern mit Ransomware (Seite 7 ff.). Dabei handelt es sich um eine Form von Malware, die auf befallenen Geräten Dokumente und Daten verschlüsselt. Für die Freigabe dieser Dateien verlangen Erpresser häufig ein nicht unerhebliches Lösegeld. Den dargestellten Szenarien lässt sich entnehmen, dass die Notwendigkeit einer Meldung davon abhängt, inwieweit ein angemessenes Back-Up der betroffenen Dateien besteht und ob eine unbefugte Verarbeitung derselben (z.B. Datenabfluss) stattgefunden hat.

Weitere Fallbeispiele beschäftigen sich zum Beispiel mit Problematiken wie

  • dem Abgriff von Passwörtern in einem „gehashten“ (von Hackern zum Zweck des Datenabgriffs nachgebildeten) Format einer Website (S. 16),
  • der Weitergabe von Daten durch ehemalige Beschäftigte (S. 19 f.),
  • gestohlenen Datenträgern und Papierdokumenten (S. 22 ff.) sowie
  • dem Identitätsdiebstahl (S. 30).

Auch die in der Praxis häufig vorkommende fehlerhafte Versendung von Briefpost und E-Mails an unbefugte Dritte (S. 26 ff.) wird im Richtlinienentwurf behandelt.

Bewertung

Das Dokument nimmt eine Risikobeurteilung der behandelten Szenarien vor und erleichtert Unternehmen und öffentlichen Stellen die Entscheidung, ob ein spezifischer Datenschutzverstoß der Aufsichtsbehörde zu melden ist. Auch wenn es sich bei den Richtlinien vorerst nur um einen Entwurf handelt, ist die Veröffentlichung daher begrüßenswert. Eine Ausfertigung in deutscher Sprache existiert bisher nicht, so dass insoweit ergänzend auf ältere Zusammenstellungen deutscher Datenschutzbehörden – wie auf ein entsprechendes Dokument des Hamburger Datenschutzbeauftragten aus November 2018 – zu verweisen ist.

Kanzleiexpertise

Die Kanzlei Tröber kann Sie gerne beim Umgang mit Datenpannen unterstützt. Welche Leistungen wir - von der Prävention bis zum Meldeverfahren - anbieten, haben wir im Artikel "Der richtige Umgang mit Datenpannen" für Sie zusammengestellt.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Datenschutzrecht  // 13.02.2020
Der richtige Umgang mit Datenpannen und wie wir Sie dabei unterstützen können
Events  // 03.02.2020
DSGVO 2020 Datenpannen und Bußgeldpraxis

DSGVO Update 3.0

Datenschutzrecht  // 20.03.2020
Datenschutzbehörden äußern sich zur Datenverarbeitung durch Arbeitgeber im Zusammenhang mit der Corona-Pandemie