Die Datenschutz-Grundverordnung (DSGVO) soll in wenigen Monaten – genau am 25. Mai 2018 – in Kraft treten. Das Dokument ist zwar eine großartige Lektüre für erfahrene auf Datenschutz spezialisierte Rechtsanwälte, es wäre aber besser, wenn wir in der IT-Welt etwas praxisorientierte Erklärungen für einige Passagen, deren Auslegung etwas schwieriger ist, hätten – z. B. zur Meldung von Datenschutzverletzungen, die in den Artikeln 33 und 34 beschrieben wird.

Die Auflage der DSGVO, Datenschutzverletzungen innerhalb von 72 Stunden zu melden, gibt es in der aktuellen EU-Richtlinie nicht, die seit Mitte der 1990er Jahre gilt. Für viele Unternehmen bedeutet dieses enge Zeitfenster für die Meldung, dass ihre IT-Abteilungen ihre Kompetenzen aufpolieren müssen.

Mit der Unterstützung einiger Rechtsexperten — vielen Dank an Sue Foster und Brett Cohen — habe ich auch etwas über die Formulierungen in den Meldevorschriften der DSGVO nachgedacht. Die entscheidende Frage, die nicht völlig klar beantwortet wird, betrifft die Schwelle, bei deren Überschreiten im echten Leben eine Meldung gemacht werden muss.

Ist ein Ransomware-Angriff bespielsweise ein Ereignis, das der Aufsichtsbehörde gemeldet werden muss? Und was gilt für E-Mail-Adressen oder Online-Namen, auf die Hacker Zugriff hatten?

Antworten auf diese Fragen finden Sie im folgenden Text.

Verletzungen des Schutzes personenbezogener Daten vs. meldepflichtiger Verstoß

Die Aufsichtsbehörden haben uns endlich verständliche Anleitungen geliefert. Im letzten Monat haben die EU-Behörden einige Antworten zur Ausräumung von Unklarheiten veröffentlicht. Herausgekommen ist ein 30-seitiges Dokument mit Leitlinien für die Meldung bei Datenschutzverletzungen – mit einigen Tabellen und Ablaufdiagrammen.

Erinnern wir uns: Laut DSGVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die „unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Das ist eine Standardformulierung, die in ähnlicher Form in fast jedem Datenschutzgesetz zu finden ist – zunächst wird eine Datenschutzverletzung oder ein anderer Cybersicherheitsverstoß definiert. Um derartige Vorfälle zu verhindern, sollten Sie Schutzvorkehrungen treffen!

Außerdem gibt es weitere Kriterien für eine Entscheidung darüber, wann die Behörden und die Verbraucher benachrichtigt werden müssen.

Kurz gesagt: nicht jede Verletzung des Datenschutzes muss nach außen gemeldet werden!

Diese Regelung ist in Datenschutzgesetzen, in denen Anforderungen zur Meldung von Vorfällen geregelt sind, nicht unüblich. Auch im HIPAA auf US-Bundesebene für Gesundheitsdaten und in der innovativen Cyber-Verordnung des Staates New York für das Finanzwesen wird diese Unterscheidung gemacht. Dadurch soll verhindert werden, dass die Behörden mit Datenschutzmeldungen überflutet werden.

Im Sinne der DSGVO liegt nur eine Verletzung des Datenschutzes vor, wenn personenbezogene Daten betroffen sind. So werden in der EU Daten bezeichnet, über die ein Individuum persönlich identifiziert werden kann. Wenn die DSGVO für Ihr Unternehmen gilt und bei Ihnen im Rahmen eines Ereignisses streng geheime Zeichnungen zu einer neuen Erfindung offengelegt werden, würde dies nicht als Verletzung des Schutzes personenbezogener Daten betrachtet und wäre nicht meldepflichtig. Das gleiche gilt für den Diebstahl von gewerblich geschützter Software oder sonstiger vertraulicher Dokumente.

Benachrichtigung der Regulierungsbehörden

Wann muss ein Unternehmen bzw. Verantwortlicher eine Verletzung des Schutzes personenbezogener Daten an die örtliche Aufsichtsbehörde melden?

Die entsprechende Regelung findet sich in Artikel 33, aber ohne den vollständigen Kontext ist sie ein wenig verwirrend. Im Grunde meldet der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten – deren Offenlegung, Vernichtung oder den Verlust des Zugriffs auf sie – wenn diese eine Gefahr für die „Rechte und Freiheiten“ von EU-Bürgern darstellt.

Diese Rechte und Freiheiten sind ein Verweis auf Eigentums- und Datenschutzrechte, die ausführlicher in der Charta der Grundrechte der Europäischen Union aufgeführt sind.

Ich habe mir die Leitlinien durchgelesen und eigentlich alles, was man intuitiv als Datenschutzverletzung einstuft – die Offenlegung sensibler personenbezogener Daten, der Diebstahl eines Geräts, das personenbezogene Daten enthält, der unbefugte Zugriff auf personenbezogene Daten – müsste an die Behörden gemeldet werden.

Und zwar müsste die Benachrichtigung innerhalb von 72 Stunden erfolgen! Das ist zwar noch etwas detaillierter geregelt und Sie haben ein wenig Spielraum, aber darauf komme ich gegen Ende dieses Artikels zurück.

Als einzige Ausnahme gilt hier, wenn die personenbezogenen Daten mit einem aktuellen Algorithmus verschlüsselt sind und der Schlüssel dafür nicht kompromittiert wurde. In diesem Fall muss der Verantwortliche keine Meldung machen.

Und was gilt für eine Datenschutzverletzung, von der personenbezogene Daten gemäß EU-DSGVO betroffen sind, die aber nicht das Grenzkriterium der „Gefährdung von Rechten und Freiheiten“ erfüllt? Auch in diesem Fall warten einige Formalitäten auf Sie!

Gemäß DSGVO muss jede Verletzung des Schutzes personenbezogener Daten intern protokolliert werden: „Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, …“ (Artikel 33(5)).

Bei dem Verlust oder Diebstahl eines Laptops, auf dem personenbezogene Daten in verschlüsselter Form gespeichert sind, oder der unbefugte Zugriff durch einen Mitarbeiter – z. B. wenn eine Mitarbeiterin aufgrund eines Fehlers in den Dateiberechtigungen unbeabsichtigt einige Kontonummern gesehen hat – besteht also keine Gefahr für die Rechte und Freiheiten, die Fälle müssten aber trotzdem dokumentiert werden.

In diesem Artikel finden Sie dazu auch ein gutes Venn-Diagramm, aber wir wollen uns zunächst das folgende Ablaufdiagramm ansehen.

DSGVO
(Quelle: Arbeitsgruppe Artikel 29)

Wir wollen ein weiteres Szenario mit Bezug zur Benachrichtigungsschwelle laut DSGVO betrachten, bei dem es um die Verfügbarkeit oder Veränderung personenbezogener Daten geht.

Nehmen wir an, dass personenbezogene Daten einer EU-Person aufgrund eines DDoS-Angriffs auf einen Teil eines Netzwerks nicht mehr verfügbar sind oder von einem Schadprogramm gelöscht wurden, aber dass es eine Backup-Kopie gibt. In beiden Fallen liegt ein Verlust vor, der zwar vorübergehend ist, aber gemäß Definition in der DSGVO dennoch eine Verletzung des Schutzes personenbezogener Daten ist.

Muss die Aufsichtsbehörde darüber benachrichtigt werden? Das hängt davon ab.

Wenn Benutzer beispielsweise nicht auf ihre Finanzunterlagen zugreifen können, sei der Zeitraum noch so kurz – z. B. ein oder zwei Tage – dann wären ihre Rechte und Freiheiten beeinträchtigt. Dieser Vorfall müsste der Aufsichtsbehörde gemeldet werden.

Auf der Grundlage der Anmerkungen zu den Leitlinien gibt es ein wenig Interpretationsspielraum im Hinblick darauf, was ein kurzer Zeitraum wäre. Sie müssten den Vorfall und die mit ihm verbundenen Entscheidungen aber auf jeden Fall dokumentieren.

Meldung von Datenschutzverletzungen und Ransomware

Während meiner Gespräche mit DSGVO-Experten habe ich erfahren, dass sich sogar Rechtsanwälte uneinig darüber waren, ob ein Ransomware-Angriff meldepflichtig ist.

Die neuen Leitlinien geben uns eine deutlichere Antwort: In der Analyse wird sogar auf Ransomware-Szenarien eingegangen.

Wie wir alle wissen, verschlüsselt Ransomware Unternehmensdaten, um Sie zur Zahlung eines Lösegelds in Form von Bitcoins an den Erpresser zu zwingen, bevor Sie Ihre Daten entschlüsseln und in Klartext zurückverwandeln können.

Aus Sicht der DSGVO wird ein Ransomware-Angriff auf personenbezogene Daten, wie ich oben schon vorgeschlagen habe, als Datenverlust eingestuft. Wann wird hier die Schwelle zum meldepflichtigen Datenschutzverstoß überschritten?

Den Beispielen in den Leitlinien zufolge bestünde die Meldepflicht in zwei Situationen: 1) Es gibt eine Backup-Kopie der personenbezogenen Daten, aber die Benutzer werden von dem Ausfall, den der Ransomware-Angriff verursacht, beeinträchtigt, oder 2) es gibt keine Backup-Kopie der personenbezogenen Daten.

Rein theoretisch wäre ein sehr kurzlebiger Ransomware-Angriff, bei dem sich das Opfer schnell erholt, nicht meldepflichtig. Aber in der Realität, in der Analysen und Wiederherstellungsmaßnahmen erhebliche Zeit in Anspruch nehmen, müssen im Endeffekt die meisten Ransomware-Angriffe gemeldet werden.

Benachrichtigung von Einzelpersonen

Die nächste Stufe bei der Meldung von Verletzungen des Schutzes personenbezogener Daten sind Fälle, in denen ein „hohes Risiko für die persönlichen Rechte und Freiheiten“ besteht. In diesen Fällen ist eine Benachrichtigung der betroffenen Person vorgeschrieben.

Bei einer Betrachtung im Hinblick auf Venn-Diagramme und Teilgruppen können wir festhalten, dass jede Verletzung des Schutzes personenbezogener Daten, bei der eine Benachrichtigung der betroffenen Person erfolgt, auch der Aufsichtsbehörde gemeldet werden muss.

Wann wird bei einer Datenschutzverletzung das Niveau eines hohen Risikos erreicht?

Bei dieser Entscheidung erweist sich unsere Intuition als hilfreich und in den Leitlinien werden als Beispiele Verletzungen des Schutzes personenbezogener Daten aufgeführt, die medizinische oder finanzielle Daten (Kreditkarten- oder Bankkontodaten) betreffen.

Es gibt aber auch andere Beispiele ohne Zusammenhang zum Gesundheits- oder Bankwesen. Wenn von der Verletzung des Schutzes personenbezogener Daten die Namen und die Adressen von Kunden betroffen sind, die um eine Lieferung gebeten haben, während sie im Urlaub sind, würde das ein hohes Risiko darstellen und eine Benachrichtigung der betroffenen Personen erforderlich machen.

Wenn einfach nur Kontaktinformationen wie Name, Adresse, E-Mail-Adresse usw. betroffen sind, ist eine Benachrichtigung nicht unbedingt erforderlich. Sollte ich jedoch eine große Anzahl von Personen betroffen sein, müssten sowohl die Aufsichtsbehörde als auch die betroffenen Personen informiert werden! Den Leitlinien zufolge spielt Größe durchaus ein Rolle. Eine Offenlegung von E-Mail-Adressen in einer vergleichbaren Dimension wie bei Yahoo würde also Benachrichtigungen nach sich ziehen.

In den Leitlinien wird betont, dass ein Vorfall auf jeden Fall, unabhängig von der Anzahl der betroffenen Personen, meldepflichtig wird, wenn in den Kontaktinformationen andere sensible Daten enthalten sind, z. B. Angaben psychologischer Natur oder zur Ethnie.

DSGVO
Hinweis: Eine kleine Datenschutzverletzung bei E-Mails ohne weitere vertrauliche Informationen ist nicht meldepflichtig. (Quelle: Arbeitsgruppe Artikel 29)

Und wenn die Kontaktinformationen und E-Mail-Adresse beispielsweise von einem Hacker bei einer an Kinder gerichteten Website erbeutet werden und die Gruppe dementsprechend besonders schutzbedürftig ist, stellt dies ein hohes Risiko dar und es wäre eine Benachrichtigung der betroffenen Personen erforderlich.

Phasen der Meldung

Die in der DSGVO vorgesehene 72-Stunden-Frist für die Meldung von Datenschutzverletzungen wurde zwar ziemlich kontrovers diskutiert, bei einem Blick in das Kleingedruckte zeigt sich jedoch, dass es dort größere Flexibilität gibt.

Der erste wichtige Punkt ist, dass die Uhr zu laufen beginnt, sobald der Verantwortliche Kenntnis von der Verletzung des Schutzes personenbezogener Daten erlangt.

Stellen wir uns beispielsweise vor, dass eine Organisation entdeckt, dass ein Angreifer in ihr Netzwerk eingedrungen ist. Zu diesem Zeitpunkt beginnt die 72-Stunden-Frist noch nicht.

Zunächst gibt es eine Untersuchung, ob personenbezogene Daten betroffen waren. Auch dabei läuft die Uhr noch nicht. Sobald das IT-Sicherheitsteam mit angemessener Gewissheit zu dem Schluss kommt, dass der Schutz personenbezogener Daten verletzt wurde, ist der Zeitpunkt gekommen, die Uhr in Bewegung zu setzen!

Bei der Benachrichtigung der Aufsichtsbehörden kann der Verantwortliche schrittweise vorgehen.

Es ist absolut akzeptabel, eine erste Meldung bei der Behörde zu tätigen, wenn eine (wahrscheinliche) Verletzung des Schutzes personenbezogener Daten entdeckt wird, verbunden mit der Nachricht, dass weitere Untersuchungen zur Aufdeckung der Details erforderlich sind (siehe Artikel 33(4)). Dieser Vorgang kann länger dauern als 72 Stunden, was gemäß DSGVO zulässig ist.

Und sollte sich doch herausstellen, dass Fehlalarm ausgelöst wurde, kann die Aufsichtsbehörde aufgefordert werden, die Meldung zu löschen.

Bei einer Verletzung des Schutzes personenbezogener Daten, bei der ein hohes Risiko für die betroffenen Personen festgestellt wird, muss die Benachrichtigung der „betroffenen Person“ „unverzüglich“ erfolgen (siehe Artikel 34(1)). Das Ziel ist, Verbraucher darüber zu informieren, in welcher Weise sie betroffen sind und was sie zu ihrem eigenen Schutz unternehmen müssen.

Meldepflichtige Daten

Das führt uns zum letzten Thema in diesem epischen Artikel: Was müssen Sie der Aufsichtsbehörde und den betroffenen Personen mitteilen?

Bei der Aufsichtsbehörde ist das tatsächlich in Artikel 33 geregelt:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Beachten Sie die Auflage, Angaben zu den Datenkategorien und zur ungefähren Anzahl der betroffenen Datensätze zu machen.

Die Aufsichtsbehörde kann übrigens zusätzliche Informationen verlangen. Die vorstehende Liste enthält das Minimum der Angaben, die der Verantwortliche übermitteln muss.

Bei der Benachrichtigung der betroffenen Personen (siehe Artikel 34), muss der Verantwortliche außerdem die folgenden Angaben machen:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten;
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle;
  • eine Beschreibung der voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten; und
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung und gegebenenfalls der Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

In der DSGVO wird der direkten Benachrichtigung der betroffenen Personen durch den Verantwortlichen gegenüber einer Benachrichtigung über eine Medienmeldung der Vorzug gegeben. Dies kann in Form einer E-Mail, SMS oder auf dem Postweg erfolgen.

Bei indirekter Massenkommunikation sind gut sichtbare Banner auf Websites, Blog-Einträge oder Pressemeldungen geeignet.

Dies ist keine Rechtsberatung

Die Leitlinien für die Meldung bei Datenschutzverletzungen gemäß DSGVO, die im letzten Monat veröffentlicht wurden, sind 30 Seiten lang. Als IT-Fachkraft werden Sie nicht in der Lage sein, den Inhalt in allen Nuancen zu verstehen.

Um sich zu informieren, was diese Leitlinien für die Meldung bei Datenschutzverletzungen gemäß DSGVO und die damit verbundenen Regelungen bedeuten, werden Sie den Rat eines Rechtsexperten brauchen, z. B. von einer Fachkraft in Ihrer Rechtsabteilung, Ihrem CPO, CLO o.ä.

Und das bringt mich nahtlos zu dieser letzten Überlegung: Die Notfallreaktion bei einer Datenschutzverletzung bezieht die gemeinsamen Anstrengungen der IT-, Rechts-, Kommunikations-, PR- und der betrieblichen Abteilungen ein und zwar üblicherweise auf Führungsebene. Die IT-Abteilung schafft so etwas nicht im Alleingang.

Der erste richtige Schritt ist die Einführung von Notfallplänen.

Eine großartige Ressource für Informationen über Compliance im Datenschutz ist die Website der International Association of Privacy Professionals (IAPP): https://iapp.org/.

Die IAPP bietet außerdem einen Toolkit für Notfallreaktionen an, den unsere Freunde in der Anwaltskanzlei Hogan Lovells zusammengestellt haben. Sie finden ihn hier.