Datenpannen sind in der Regel nach Art. 33 Abs. 1 Satz 1 DSGVO meldepflichtig, es sei denn, sie führen voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Person. Eine meldepflichtige Datenpanne muss vom Verantwortlichen innerhalb von 72 Stunden nach dessen Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden.
Oft stellt sich jedoch die Frage: Ab wann wird eine Datenpanne dem Verantwortlichen überhaupt bekannt?
Mehrere Landesbeauftragte für Datenschutz und Informationsfreiheit haben sich mittlerweile zu dieser Frage geäußert.
Der Landesbeauftragte in Bayern hat sich zur Kenntniszurechnung in Behörden geäußert. Nach dessen Ansicht wird das meldepflichtige Ereignis jedenfalls dann bekannt, wenn bestimmte Funktionseinheiten bzw. bestimmte Funktionsträger Kenntnis von dem in Rede stehenden Vorfall erlangen. Klargestellt wurde, dass dem Verantwortlichen nicht das Wissen des behördlichen Datenschutzbeauftragten zuzurechnen ist.
Der Landesbeauftragte in Hamburg vertritt die Ansicht, dass es für die Kenntnis bereits genügt, dass eine beliebige Person im Unternehmen oder der Behörde Kenntnis von dem Vorfall erlangt.
Nach Ansicht der Landesbeauftragten des Saarlandes begründet die positive Kenntnisnahme der Datenschutzverletzung durch den Verantwortlichen den Fristbeginn für die 72 Stunden. Dem Verantwortlichen ist dabei die Kenntnis desjenigen Mitarbeiters/derjenigen Mitarbeiterin zuzurechnen, der/die nach der internen Organisation für die Verarbeitung personenbezogener Daten verantwortlich ist oder von dem dies aufgrund seiner Stellung im Unternehmen erwartet werden kann.
Kenntnis gilt folglich eher früher als erlangt als später. Darauf sollten sich die Unternehmen einstellen. Folgt man der strengeren Ansicht aus Hamburg, so kann die Kenntnis eines jeden Mitarbeiters ausreichen, um die Frist in Gang zu setzen. Schaffen Sie also in Ihrem Unternehmen immer ein ausreichendes Risikobewusstsein bei allen Ihren Mitarbeitern im Umgang mit Daten und Datenpannen.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Ein IT-Mitarbeiter hatte ohne Wissen seines Arbeitgebers eine Sicherheitslücke bei einem Kunden-Unternehmen entdeckt und ausgenutzt.
Hierfür bediente er sich der Kundendaten (Namensangaben von Ansprechpartnern etc.), die sein Arbeitgeber auf eigenen Systemen gespeichert hatte.
Beweggrund des IT-Mitarbeiters war wohl, dem Kunden die Sicherheitsmängel deutlich zu machen. Vielleicht gut gemeint, aber leider auch ein Verstoß gegen die DSGVO. Denn bei jeder Datenverarbeitung ist die Zweckbindung einzuhalten. Und Zweck der Daten war nicht, Sicherheitslücken aufzudecken oder sogar auch noch auszunutzen. Weder der Arbeitgeber noch der Kunde, die für die Daten datenschutzrechtlich verantwortlich sind, hatten eine solche Erlaubnis erteilt.
Folge der unbedachten Aktion war die fristlose Kündigung. Das Arbeitsgericht erachtete die Kündigung auch als gerechtfertigt, da der IT-Mitarbeiter „gegen seine Pflicht zur Rücksichtnahme auf die Interessen des Arbeitgebers eklatant verstoßen“ habe.
Dies zeigt einmal mehr, wie wichtig es ist, dass Unternehmen ihre Mitarbeiter im Umgang mit personenbezogenen Daten durch regelmäßige Awareness-Maßnahmen sensibilisieren und sie mit den rechtlichen sowie vertraglichen Vorgaben insbesondere bei der Verarbeitung von Kundendaten vertraut machen.
S. Kieselmann
Senior Consultant Datenschutz
Dipl.sc.pol.Univ.