Eine Datenschutzverletzung… nicht nur ein Malheur

Im Falle einer Verletzung des Schutzes personenbezogener Daten hat der Verantwortliche diesen Vorfall unverzüglich und möglichst innerhalb 72 Stunden bei der ungarischen Datenschutzbehörde (NAIH) zu melden. Ein Verstoß gegen diese recht klare Regelung ist bußgeldbewehrt, und zwar auch dann, wenn der Vorfall keinen nachweisbaren Schaden für den Betroffenen verursacht. Nur wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, kann von dieser Meldung abgesehen werden. Die Anforderungen an das „Risiko“ sind allerdings so gering, dass der Verarbeiter im Zweifel immer melden sollte.

Damit drängt sich die Frage auf, wann die Schwelle von einem schlichten Malheur, einem nicht sehr folgenschweren und lediglich peinlichen Missgeschick, zu einer Verletzung überschritten wird? Das ist tatsächlich schwer zu sagen, aber auch diese Schwelle ist wohl niedrig. Im Kern ist jede Verletzung der Sicherheit, die zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, eine Datenschutzverletzung. Datendiebstahl, Datenmanipulation oder die Verschlüsselung von Daten durch Ransomware sind eindeutige Fälle. Auch der gestohlene Laptop oder der verlorene USB-Stick, die dummerweise vielleicht noch nicht einmal passwortgeschützt waren, gehören in diese recht unstrittige Gruppe der Verletzungen.

Schwieriger sind aber die täglichen Pannen zu beurteilen, bei denen etwa beim Versenden von E-Mails ungewollt die Adressen aller Empfänger offengelegt werden oder ein Unbefugter eine E-Mail erhält. Bei der Beurteilung dieser Fälle hilft es immer auch, die Risiken eingehender zu betrachten. Werden unbeabsichtigt sensible Patientendaten weitergeleitet, ist das ein ernster Vorgang und sicher eine Verletzung. Der Verlust von Adressdaten ist nicht schon dann problematisch, wenn dadurch z.B. Newsletter nur später zugesandt werden können. Anders sieht es aber aus, wenn Operationen nicht oder nur verspätet durchgeführt werden können, weil medizinische Daten von Personen vernichtet wurden.


Meldung an die ungarische Aufsicht

Wer als Geschäftsführer in seinem Unternehmen von einem solchen „Unfall“ erfährt, hat sofort zu reagieren: Ermittlung der Umstände, Einbindung des Datenschutzbeauftragten und Vorbereitung der Meldung an die Aufsicht. Hierfür bleiben 72 Stunden Zeit. Die Meldung enthält zumindest eine Beschreibung der Art der Verletzung, den Datenschutzbeauftragten oder eine sonstige Anlaufstelle für weitere Informationen, eine Darlegung der wahrscheinlichen Folgen der Verletzung und der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Konsequenzen.

Auf der Homepage der ungarischen Datenschutzbehörde gibt es ein praktisches Meldeformular online. Hier kann auch erklärt werden, warum ggf. die 72 Stunden-Frist nicht eingehalten werden konnte oder ob gewisse Informationen noch nachgereicht werden. Die Aufsicht wird insbesondere die eingeleiteten Maßnahmen prüfen. Ein Audit durch die NAIH kann immer folgen, bei Verfristung oder einem, ja, grob fahrlässigen Management des ganzen Vorfalls, ist immer auch ein Bußgeld möglich. Grob fahrlässig ist es im Übrigen auch, wenn die Geschäftsführung zu spät von einem Vorfall erfährt. Zwar beginnt die 72 Stunden-Frist mit Kenntniserlangung des konkreten Vorfalls, aber jeder Geschäftsführer muss selbstverständlich organisatorisch sicherstellen, dass er auch Kenntnis erlangen kann!


Ein kritischer Moment: Benachrichtigung der Betroffenen

Richtig dramatisch wird eine Verletzung allerdings mit der Benachrichtigung der Betroffenen. Bei einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen ist diese Benachrichtigung in der Regel zwingend. Die Gefahren: eine voreilige Benachrichtigung kann eine Lawine von Forderungen vermeintlich Geschädigter auslösen, eine unterlassene Benachrichtigung ein mehr als saftiges Bußgeld…. und die Forderungen Dritter. Spätestens hier also sollte sich jeder Verarbeiter Hilfe von außen holen. IT-Sicherheitsfachleute und Juristen sind gefragt. Vielleicht lässt sich die unangenehme und auch aufwendige Benachrichtigung evtl. tausender Betroffener ja doch noch „abbiegen“?

Möglich ist das immer. Die Benachrichtigung der betroffenen Person ist nämlich nicht erforderlich, wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat, z.B. durch Verschlüsselung, oder wenn der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht. Wäre eine Benachrichtigung aller einzelne Betroffenen mit einem unverhältnismäßigen Aufwand verbunden, kann stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.


Verletzungsmanagement ist der Schlüssel

Eine Datenschutzverletzung ist nicht leicht zu handhaben. Wenn die Risiken für die betroffenen Dritten hoch sind, ist eine Verletzung immer auch ein Ernstfall. Über die Bußgelder der Aufsichtsbehörden wurde schon viel diskutiert. Bei einer Datenschutzverletzung bewegen sich diese Bußgelder – abhängig von der Schwere des Verstoßes – in einer Dimension von 2 % des weltweiten Umsatzes bzw. Euro 10 Millionen, je nachdem welcher der Beträge höher ist. Bei materiellen Verstößen sind die Bußgelder höher. Noch bedrohlicher sind jedoch die Schadenersatzforderungen der Betroffenen. Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat nach der Datenschutz-Grundverordnung bzw. nach dem ungarischen Informationsgesetz (Infotörvény) einen Anspruch auf Schadenersatz gegen den Verantwortlichen. Es bleibt abzuwarten, was die ungarischen Gerichte aus diesen Vorschriften machen, aber es kann unter Umständen richtig teuer werden. Insbesondere die sogenannten „immateriellen Schäden“, das sind Nichtvermögensschäden wie Ehrverletzungen (Stichwort „Schmerzensgeld“) sind bedrohlich.

Verletzungsmanagement bedeutet daher, den Ernstfall vorzubereiten. Präventiv interne Richtlinien für das Verhalten der Mitarbeiter bei Verletzungen gestalten und Mitarbeiter schulen. Den Datenschutzbeauftragten in allen Bereichen unterstützen. Dokumentieren! Bei Verletzung zügige Sachverhaltsermittlung und umgehende Meldung an die NAIH. Bei hohen Risiken für Betroffene angesichts potentieller Bußgelder und Schadensersatzansprüche empfiehlt sich Unterstützung von außen. In diesen Fällen ist zudem eine enge Zusammenarbeit mit der ungarischen Aufsicht notwendig. Jeder Verarbeiter sollte nie vergessen: Eine Verletzung hat nicht nur materielle Folgen, sondern mit einem schlechten Krisenmanagement steht immer auch der „gute Ruf“ des eigenen Hauses auf dem Spiel.

Der Autor ist deutscher und ungarischer Rechtsanwalt - marc-tell.madl@mpk-partners.com

Konversation

WEITERE AKTUELLE BEITRÄGE
Blue Fox The Bar präsentiert neues Cocktailmenü

Sommerlich frisch und ökologisch grün

Geschrieben von Katrin Holtz

Klimagipfel, Klimaproteste und Klimakiller – in diesem Sommer, so scheint es, geht am Thema Klima…

Lucky Chops live in Budapest

Blasmusik, die mitreißt

Geschrieben von Katrin Holtz

Obwohl Blasmusik ja allgemein als eher altbacken gilt, schafft es die US-amerikanische Musikgruppe…

VR Tours Budapest

Virtuelle Zeitreise durch die Geschichte der ungarischen Hauptstadt

Geschrieben von Michelle Dörner

Majestätisch prangt er über der ungarischen Hauptstadt: Der Palast auf dem Budaer Burgberg zählt…