Was ist die Meldepflicht?
Die DSGVO verlangt in Art. 33 DSGVO vom Verantwortlichen, dass er im Falle einer Verletzung des Schutzes personenbezogener Daten, also einer Datenpanne, die zuständige Aufsichtsbehörde über diese Verletzung informiert. Die Meldung der Datenpanne soll unverzüglich und binnen 72 Stunden erfolgen, nachdem dem Verantwortlichen die Verletzung bekannt wurde.
In Art. 4 Nr. 12 DSGVO wird die „Verletzung des Schutzes personenbezogener Daten“ definiert als
„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
Drastischer Anstieg der Meldung von Datenpannen
Seit Geltung der DSGVO am 25.05.2018 sind die Meldungen nach Artikel 33 DSGVO gegenüber den Aufsichtsbehörden enorm gestiegen. In Baden-Württemberg hat sich die Zahl der Meldungen einer Datenpanne beispielsweise mehr als verzehnfacht (Brink/Kranig, PinG 2019, 104).
Die meisten Aufsichtsbehörden haben eigens dafür auf ihrer Website einen Meldebogen für Datenschutzverletzungen eingerichtet, der für die Meldung von den Verantwortlichen genutzt werden kann.
Aber es besteht auch hier noch sehr viel Rechtsunsicherheit, was nun alles als Datenschutzverletzung im Sinne des Artikel 33 DSGVO anzusehen ist.
Wann gilt die Ausnahme?
Wenn die Verletzung des Schutzes personenbezogener Daten, so wie oben definiert, also vorliegt, muss nicht immer eine Meldung erfolgen. Denn dann, wenn „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ soll die Meldepflicht entfallen.
Umstritten ist dabei die Frage, ob die Verschlüsselung der betroffenen Daten die Ausnahme zur Meldung einer Datenpanne auslöst.
Teilweise wird auch bei Verschlüsselung der Daten angenommen, dass die Meldepflicht besteht.
Das soll sich aus einem Umkehrschluss aus Art. 34 Abs. 3 lit. a DSGVO ergeben. Danach muss die betroffene Person über die Verletzung des Schutzes personenbezogener Daten benachrichtigt werden, wenn die Verletzung ein voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Das gilt aber dann nicht, wenn „der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung“.
Also lässt die Verschlüsselung der personenbezogenen Daten die Benachrichtigungspflicht an die Betroffenen entfallen.
Diese Ausnahme wird aber in Art. 33 DSGVO nicht genannt. Daraus wird der Schluss gezogen, dass bei Verschlüsselung zwar keine Benachrichtigung, aber trotzdem eine Meldung an die Aufsichtsbehörde erfolgen muss.
Die große Mehrheit sagt aber, dass eine Verschlüsselung die Meldepflicht entfallen lassen kann. Es bestünde nämlich kein Risiko für die betroffene Person und damit auch keine Erforderlichkeit der Meldung, solange die personenbezogenen Daten nach dem Stand der Technik verschlüsselt sind und die personenbezogenen Daten an einer anderen Stelle im System noch vorhanden sind (beispielsweise durch ein Backup).
Meine Meinung
Man wird der herrschenden Meinung ohne weiteres Zustimmen müssen.
Denn es spielt keine Rolle, ob Artikel 34 DSGVO die Verschlüsselung nennt, der Artikel 33 DSGVO aber nicht.
Denn nach juristischer Methode reicht es, wenn die Verschlüsselung als Fall der Risikoreduzierung in Artikel 33 DSGVO ohne weiteres zu subsumieren ist. Das wiederum halte ich schon nahezu für zwingend. Denn eine ausreichende Verschlüsselung führt dazu, dass der Unbefugte, der die Daten hat, nichts damit anfangen kann.
Ist dann auch noch eine Sicherung der Daten beim Verantwortlichen vorhanden, gibt es schon gar keinen Grund mehr eine Meldepflicht zu bejahen.
Auch hier spielt uns einfach wieder der nicht eindeutige Wortlaut der DSGVO ein Schnippchen. Nur leider wird der Wortlaut der DSGVO in den nächsten Jahren nicht mehr angefasst werden.
Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht
DSGVO-Man
