Guidelines für die Meldung von Datenschutzverletzungen

Am 14. Januar 2021 verabschiedete der Europäische Datenschutzausschuss (EDSA) einen Entwurf für Richtlinien, die Beispiele zur Meldung von spezifischen Datenschutzverletzungen enthalten. Im Juli 2018 veröffentlichte der EDSA bereits allgemeine Hinweise zur Meldung von Datenpannen gemäß Art. 33, 34 DSGVO. Der neue Entwurf soll nun anhand von Beispielszenarien veranschaulichen, in welchen Fällen die Notwendigkeit einer Meldung konkret besteht.

Inhalt

Die Guidelines on Examples regarding Data Breach Notification (Version 1.0) beinhalten fiktive Szenarien von Datenschutzverletzungen. Der Entwurf schildert folglich mögliche Praxisfälle und evaluiert, ob die Faktenlage im individuellen Fall eine Meldung bei der Datenschutzbehörde erfordert oder nicht.

Der EDSA behandelt zunächst anschaulich Beispielsfälle zu dem Befall von Computern mit Ransomware (Seite 7 ff.). Dabei handelt es sich um eine Form von Malware, die auf befallenen Geräten Dokumente und Daten verschlüsselt. Für die Freigabe dieser Dateien verlangen Erpresser häufig ein nicht unerhebliches Lösegeld. Den dargestellten Szenarien lässt sich entnehmen, dass die Notwendigkeit einer Meldung davon abhängt, inwieweit ein angemessenes Back-Up der betroffenen Dateien besteht und ob eine unbefugte Verarbeitung derselben (z.B. Datenabfluss) stattgefunden hat.

Weitere Fallbeispiele beschäftigen sich zum Beispiel mit Problematiken wie

  • dem Abgriff von Passwörtern in einem „gehashten“ (von Hackern zum Zweck des Datenabgriffs nachgebildeten) Format einer Website (S. 16),
  • der Weitergabe von Daten durch ehemalige Beschäftigte (S. 19 f.),
  • gestohlenen Datenträgern und Papierdokumenten (S. 22 ff.) sowie
  • dem Identitätsdiebstahl (S. 30).

Auch die in der Praxis häufig vorkommende fehlerhafte Versendung von Briefpost und E-Mails an unbefugte Dritte (S. 26 ff.) wird im Richtlinienentwurf behandelt.

Bewertung

Das Dokument nimmt eine Risikobeurteilung der behandelten Szenarien vor und erleichtert Unternehmen und öffentlichen Stellen die Entscheidung, ob ein spezifischer Datenschutzverstoß der Aufsichtsbehörde zu melden ist. Auch wenn es sich bei den Richtlinien vorerst nur um einen Entwurf handelt, ist die Veröffentlichung daher begrüßenswert. Eine Ausfertigung in deutscher Sprache existiert bisher nicht, so dass insoweit ergänzend auf ältere Zusammenstellungen deutscher Datenschutzbehörden – wie auf ein entsprechendes Dokument des Hamburger Datenschutzbeauftragten aus November 2018 – zu verweisen ist.

Kanzleiexpertise

Die Kanzlei Tröber kann Sie gerne beim Umgang mit Datenpannen unterstützt. Welche Leistungen wir - von der Prävention bis zum Meldeverfahren - anbieten, haben wir im Artikel "Der richtige Umgang mit Datenpannen" für Sie zusammengestellt.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber

Der richtige Umgang mit Datenpannen und wie wir Sie dabei unterstützen können
Ein Mitarbeiter meldet, dass wichtige Kundendaten gelöscht wurden oder solche Daten in Hände unbefugter Dritter gelangt sind. Was ist nun zu tun? Panik? Wir zeigen Ihnen in unserer Übersicht den richtigen Umgang mit Datenpannen und wie wir Sie dabei – von der Prävention bis zum Abschluss eines Meldeverfahrens – unterstützen können.
DSGVO 2020 Datenpannen und Bußgeldpraxis
Datenpanne - der Super-GAU? Wann eine Datenpanne tatsächlich vorliegt, was zu tun ist und wie man welche Sanktionen vermeiden kann, erläutern Fachleute in unserer diesjährigen Veranstaltung
Datenschutzbehörden äußern sich zur Datenverarbeitung durch Arbeitgeber im Zusammenhang mit der Corona-Pandemie
Dürfen Daten von Mitarbeitern sowie Gästen und Besuchern im Zusammenhang mit der Corona-Pandemie durch Arbeitgeber verarbeitet werden? Die unabhängigen Datenschutzbehörden des Landes haben dazu nunmehr allgemeine Hinweise veröffentlicht.