2023-05-23

„Data Breach“ – Umgang mit der Notifikation

Die Technologie schreitet stetig voran und führt uns Menschen immer mehr vor Augen, dass unsere Daten das „Gold“ des 21. Jahrhunderts sind! Wer eine Vielzahl an Daten verarbeitet, hat ein breites Wissen und wer Wissen hat, hat Macht!
Die Schattenseite an der Verarbeitung einer Vielzahl an Daten zeigt sich im Falle einer Verletzung des Schutzes personenbezogener Daten. Nicht nur, dass das Ansehen und damit die wirtschaftliche Stärke des Unternehmens in der öffentlichen Wahrnehmung bröckelt, es treffen den Verantwortlichen auch eine Vielzahl an bürokratischen und technischen Aufwendungen, um den Schaden so gering wie möglich zu halten.

Was ist ein „Data Breach“ und wie gehe ich damit um?

Der Begriff „Verletzung des Schutzes personenbezogener Daten“ wird in Artikel 4 Absatz 12 DSGVO wie folgt definiert:
„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Damit die Notifikationspflicht gemäß Art. 33 DSGVO ausgelöst wird, muss die Verletzung des Schutzes personenbezogener Daten ein Risiko für die Rechte und Freiheiten der natürlichen Person nach sich ziehen. 
Der Erwägungsgrund 85 der DSGVO definiert, dass dies der Fall ist, wenn bei nicht rechtzeitiger und angemessener Reaktion ein physischer, materieller oder immaterieller Schaden für natürliche Personen entsteht, wie etwa der Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkungen ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust und Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.

Einige Beispiele zur Veranschaulichung:

• Der Verantwortliche hat eine Sicherungskopie seines Archives mit personenbezogenen Daten auf einem USB-Stick gespeichert, welcher bei einem Einbruch entwendet wird – Data Breach Notification! Im Einzelfall nicht, wenn die Daten in verschlüsselter Form auf dem USB-Stick gespeichert wurden.

• Der Verantwortliche betreibt einen Onlinedienst, welcher Opfer eines Cyberangriffes wird – personenbezogene Daten werden entwendet – Data Breach Notification!

• Ein Mitarbeiter des Verantwortlichen verliert seinen Arbeitslaptop mit personenbezogenen Daten – Data Breach Notification! Im Einzelfall nicht, wenn durch geeignete technische und organisatorische Maßnahmen die personenbezogenen Daten in einem Maße geschützt sind, dass eine Offenlegung etc. nicht möglich ist.
Generell gilt – die Pflicht zur Notifikation gegenüber der Aufsichtsbehörde ist anzunehmen und nur in der Ausnahme zu verneinen!

Die Meldung an die zuständige Aufsichtsbehörde hat unverzüglich und möglichst binnen 72 Stunden, nachdem dem Verantwortlichen die Verletzung bekannt wurde, zu erfolgen.
Unverzüglich bedeutet in diesem Kontext ohne schuldhafte Verzögerung!

Ein Beispiel: „Der Verantwortliche wird Opfer eines Cyberangriffes. Der Cyberkriminelle kontaktiert ihn und stellt eine Lösegeldforderung. Der Verantwortliche prüft sein System und den potentiellen Schaden. Die Verletzung ist dem Verantwortlichen bekannt, wenn er feststellt, dass Daten entwendet wurden – nicht mit der Lösegeldforderung, da diese keine Gewissheit begründet!

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, muss der Verantwortliche unverzüglich die betroffenen Personen von der Verletzung in Kenntnis setzen.
Art. 34 DSGVO verfolgt den Zweck, dass die betroffene Person die erforderlichen Vorkehrungen treffen kann, um die Folgen der Schutzverletzung möglichst gering zu halten.

Der EDSA gibt einige Faktoren vor, an welchen ein hohes Risiko zu messen ist: Art der Datenschutzverletzung; Art, Sensibilität und Umfang personenbezogener Daten; Identifizierbarkeit betroffener Personen; Schwere Folgen für die betroffene Person etc.
Bei der Einschätzung, ob ein Risiko bzw. hohes Risiko für die betroffenen Personen vorliegt, empfiehlt es sich in der Praxis die Leitlinien mit praxisrelevanten Beispielen des EDSA heranzuziehen, welche bei der Beurteilung im Einzelfall unterstützen.
Zusätzlich wurde von der Agentur der Europäischen Union für Cybersicherheit (ENISA) eine praxistaugliche Methodik zur Bewertung der Schwere von Verletzungen veröffentlicht (https://www.enisa.europa.eu/publications/dbn-severity), welche bei der Beurteilung unterstützt.

Fazit:
Wenn ein Data Breach vorliegt, ist im Regelfall von einem Risiko auszugehen und die Notifikationspflicht gegenüber der zuständigen Aufsichtsbehörde zu erfüllen. Ein hohes Risiko muss sorgfältig geprüft werden, da eine Meldung an die betroffenen Personen auch zu einem wirtschaftlichen Schaden (negative öffentliche Wirkung) für den Verantwortlichen führen kann.
Generell kann durch die Implementierung einer dem Stand der Technik entsprechenden Schutzvorrichtung und geeigneten technischen und organisatorischen Maßnahmen das Risiko einer Verletzung des Schutzes personenbezogener Daten minimiert und der Schaden gering gehalten werden, was sowohl für den Verantwortlichen als auch für den Betroffenen wünschenswert ist!