Der Europäische Datenschutzausschuss hat als Richtlinie 01/2021 einen Text mit „examples regarding data breach notification“ am 14. Januar 2021 veröffentlicht und um Stellungnahmen gebeten. Wer den Text noch nicht kennt, findet den Link am Ende dieses Beitrags. Aber Achtung – wir haben einen anderen Vorschlag: Finden Sie doch einmal mit unserer Hilfe heraus, wie gut sich Ihre Auffassungen zu Art. 33, 34 DS-GVO mit den Ansichten des EDSA decken. In Form einer kleinen Serie werden wir hier im Blog weitere Beispielsfälle aus der EDSA-Richtlinie darstellen und für die Behandlung und Einordnung der Datenschutz-Verletzung maßgebliche Punkte besprechen. Anschließend können Sie den Fall lösen.
Im nächsten Teil unserer Serie erfahren Sie gleich zu Beginn, ob Sie richtig lagen – also, ob die Aufsichtsbehörden auch zu Ihrem Ergebnis kamen. Alle schulungserfahrenen Datenschutzschützer wissen: Auf diesem Weg liegt der Lernerfolg sicher höher, als bei schnellem Durchlesen der Richtlinie. Und damit Start und Bühne frei für Beispielsfall Nr. 1!
Hinweis: Die Richtlinie ist vom EDSA derzeit nur in englischer Sprache veröffentlicht. Wir verwenden unsere Arbeitsübersetzung.
FALL 1: RANSOMWARE MIT KORREKTEM BACKUP UND OHNE DATENABFLUSS
Die Computersysteme eines kleinen Fertigungsunternehmens wurden einem Ransomware-Angriff ausgesetzt. Der Angreifer hat auf diesen Systemen gespeicherte Daten verschlüsselt. Alle betroffenen Daten waren durch den Verantwortlichen mit einem modernen Verschlüsselungsalgorithmus gesichert. Der Schlüssel wurde bei dem Angriff nicht kompromittiert, das heißt der Angreifer konnte weder auf ihn zugreifen noch ihn indirekt verwenden. Folglich hatte der Angreifer nur Zugriff auf verschlüsselte persönliche Daten.
Das Unternehmen nutzt die Expertise eines externen Cybersecurity-Unternehmens, um den Vorfall zu untersuchen. Protokolle für alle Datenströme, die das Unternehmen verlassen haben (einschließlich ausgehender E-Mails), sind verfügbar. Die Protokolle zeigen keinen Datenfluss nach außen im Zeitraum des Angriffs. Die von der Verletzung betroffenen personenbezogenen Daten betreffen Kunden und Mitarbeiter des Unternehmens, insgesamt einige Dutzend Personen. Ein Backup war sofort verfügbar, und die Daten wurden wenige Stunden nach dem Angriff wiederhergestellt. Die Verletzung hatte keine Auswirkungen auf den täglichen Betrieb. Es gab keine Verzögerungen bei der Bezahlung von Mitarbeitern oder der Bearbeitung von Kundenanfragen.
Drei Fragen stellt und beantwortet der EDSA in der Richtlinie für den Beispielsfall:
(1) Handelt es sich um eine Datenschutzverletzung und besteht eine Pflicht zur internen Dokumentation des Vorgangs?
(2) Ist eine Meldung an die Datenschutz-Aufsichtsbehörde nötig?
(3) Sind auch Betroffene über den Vorfall zwingend zu informieren?
FALL 1: LÖSUNGSHINWEISE
Bevor Sie sich an Fall 1 versuchen und die drei vorstehenden Fragen jeweils mit Ja / Nein beantworten, hier noch einiges „Rüstzeug“:
Für das Verständnis des Begriffs „Datenschutz-Verletzung“ ist Art. 4 Nr. 12 DS-GVO ausschlaggebend. Davon geht auch der EDSA in Richtlinie 01/2021 aus (dort Rn. 4). Eine „Verletzung des Schutzes personenbezogener Daten“ bedeutet demnach: „Eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“ Die Definition ist sprachlich sicher keine Glanzleistung des Gesetzgebers. Kurz formuliert ist eine Datenschutz-Verletzung gegeben, wenn (1) Unbefugte Datenzugriff erhalten (Vertraulichkeit), (2) Daten versehentlich oder unbefugt verändert werden (Integrität) oder (3) der Datenzugriff unbeabsichtigt verloren geht (Verfügbarkeit). Diese drei Aspekte / Dimensionen einer Datenschutz-Verletzung nennt auch die EDSA-Richtlinie 01/2021 und beruft sich dabei auf Richtlinie WP 250 der früheren Art. 29-Gruppe (aus Zeiten der Datenschutz-Richtlinie EG 95/46).
Wer prüft, ob eine Datenschutz-Verletzung vorliegt, muss also stets untersuchen, ob (1) Daten an Unbefugte gelangten und/oder (2) Daten unbefugt/unbeabsichtigt verändert wurden und/oder (3) Daten verloren gingen. Bei dem letztgenannten Aspekt des Datenverlustes „genügt“ bereits eine zeitweise fehlende Verfügbarkeit, wenn sie die Verarbeitungsabläufe stört. Beispiel: In einem Unternehmen mit Geschäftszeiten zwischen 08:00 Uhr und 18:00 Uhr bemerkt die IT 19:00 Uhr ein Verfügbarkeitsproblem und kann den Fehler bis 21:00 Uhr durch Rücksicherung von Daten aus dem vorhandenen Backup beheben. Eine Datenschutz-Verletzung liegt nicht vor, weil die planmäßige Verarbeitung der Daten im Unternehmen nicht beeinträchtigt wird.
Ist keiner der drei Aspekte (Vertraulichkeit, Integrität, Verfügbarkeit) durch einen Datenschutz-Vorfall betroffen, liegt auch keine Datenschutz-Verletzung im Sinne der DS-GVO vor. Meldepflichten nach Art. 33 und 34 DS-GVO scheiden dann von vornherein aus. Wenn mindestens ein Element der Datenschutz-Verletzung bejaht werden muss, ist auf einer weiteren Stufe zu prüfen, ob die dann gegebene Datenschutz-Verletzung mit Risiken für Betroffene verbunden ist. Bejahendenfalls besteht die Meldepflicht nach Art. 33 DS-GVO gegenüber der Aufsichtsbehörde. Sind die Risiken für Betroffene besonders hoch, ist zusätzlich auch sie nach Art. 34 DS-GVO zu informieren.
FAZIT
Nun ist alles Nötige gesagt – prüfen Sie einmal den oben dargestellten Beispielsfall und legen Sie sich fest:
(1) Muss in Fall 1 eine Prüf-Dokumentation erfolgen?
(2) Fordert Fall 1 eine Meldung zur Aufsichtsbehörde gemäß Art. 33 DS-GVO?
(3) Ist die Informationen an Betroffene nach Art. 34 DS-GVO notwendig?
Wir melden uns am Mittwoch mit der Auflösung und einem weiteren Fall. Wie eingangs versprochen, hier noch der Link zur EDSA-Richtlinie, gleichzeitig aber auch nochmals unsere Bitte, ihn nicht zu nutzen. – Wer beim Üben „schummelt“, zerstört den Lerneffekt!
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.