Der Verlust von IT-Geräten ist unangenehm. Insbesondere dann, wenn sich Kundendaten oder sensible Daten von Beschäftigten auf dem Gerät befinden. Schnell stellt sich die Frage, ob der Datenschutzvorfall eine Meldung an die Datenschutzbehörde oder an die betroffenen Menschen auslöst. Der Artikel beleuchtet die Aspekte, die Grundlage für eine Bewertung eines Datenschutzvorfalls und einer möglichen Meldepflicht sein können.

Neulich an der IT-Hotline

„Hallo, hier ist Schmidt aus dem Personalbereich“

„Hallo, was kann ich für sie tun?“

„Ich muss leider mein Notebook als gestohlen melden. Ich war im Zug nur kurz auf der Toilette.“

„Ich verstehe. Das ist natürlich ärgerlich. Ich schicke Ihnen unser Formblatt zur Verlustmeldung zu und leite dann die weiteren Schritte ein. Ein neues Laptop beantragen Sie bitte auf dem gewohnten Bestellweg. Bitte ändern Sie in jedem Fall, falls Sie dies nicht bereits schon getan haben, Ihre Kennwörter für alle Zugänge in unseren IT-Systemen. Ich sperre Ihre Accounts bis dahin.“

„Vielen Dank. Auf Wiederhören.“

Anwendungsbereich DS-GVO

Der Verlust eines IT-Geräts (z. B. Notebook, Smartphone oder USB-Stick) ist ein Sicherheitsvorfall, der in nahezu jedem Unternehmen vorkommt bzw. denkbar ist. Neben dem materiellen Schaden stellen sich dem Unternehmen eine Reihe von rechtlichen Fragen und nicht zuletzt die Frage, welches Knowhow möglicherweise verloren geht.

Überall dort, wo personenbezogene Daten verarbeitet werden, findet das Datenschutzrecht in Form der Datenschutz-Grundverordnung (DS-GVO) Anwendung. Neben den rechtlichen Anforderungen an die Zulässigkeit der Verarbeitung, schreibt die DS-GVO auch Anforderungen vor, die an den Schutz von personenbezogenen Daten gerichtet sind. Konkret sind die Anforderungen in Artikel 32 DS-GVO nicht, sie beschreiben lediglich die Rahmenbedingungen.

So sind personenbezogene Daten angemessen zu schützen, in dem bei der Auswahl der technischen und organisatorischen Maßnahmen

berücksichtigt werden müssen. Bei Nichteinhaltung der DS-GVO sieht diese einen möglichen Bußgeldrahmen von bis zu 10.000.000 € bzw. 2% des weltweiten Vorjahresumsatzes in diesem Fall vor.

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, greifen die Vorgaben aus Artikel 33 und 34 DS-GVO. Beide Artikel regeln die Informationspflichten, zum einen gegenüber der zuständigen Datenschutzbehörde (Art. 33 DS-GVO) und gegenüber den betroffenen Menschen (Art. 34 DS-GVO). Eine Meldung kann grundsätzlich unterbleiben, sofern Risiken für die betroffenen Menschen ausgeschlossen werden können.

Die Risiken für die Betroffenen bei einem Datenschutzvorfall

Die Risiken sind vielfältig und variieren stark, je nachdem, welche Daten über die Person bekannt werden können. So stellt sich zunächst bei einem Verlust eines Geräts die Frage, welche Daten auf dem Gerät gespeichert sind. Im lokalen Postfach des Beschäftigten könnten sich E-Mails von Mitarbeitern befinden, die mitteilen, dass Sie eine neue Bankverbindung haben oder sich krank melden. In lokalen Ordnern sind eventuell Berichte enthalten, die Aussagen über das Verhalten oder die Leistung von Personen geben. So ergeben sich Risiken, die von finanziellen Schäden über Kontrollverlust der eigenen Daten bis hin zu Diskriminierung oder Rufschädigung führen können. Informationen und Erläuterungen geben die deutschen Datenschutzbehörden in ihrem Kurzpapier „18 – Risiko für die Rechte und Freiheiten natürlicher Personen[1]“.

Risikobewertung, Maßnahmen und eine Entscheidung

Zurück zu unserem Fall. Die Datenschutzbeauftragte (DSB) hatte vor einigen Monaten in Zusammenarbeit mit der IT-Abteilung und der Geschäftsführung Vorgaben in Form von Richtlinien, Prozessbeschreibungen und Formblättern erarbeitet. Nach Inkraftsetzung und Veröffentlichung durch die Unternehmensleitung sind diese für alle Beschäftigten verpflichtend. Hierzu zählen u. a. Anweisungen zur Nutzung von mobilen Geräten und die Meldung von Sicherheitsvorfällen innerhalb des Unternehmens.

Nach eingehender Prüfung durch die DSB mit der IT war klar, dass das Unternehmen diesen Datenschutzvorfall nicht der Behörde melden wird. Vorsorglich wurden jedoch alle betroffenen Mitarbeiter informiert und die Maßnahmen erläutert, die zum Schutz ihrer Daten ergriffen wurden.

Aufgrund der Vorgaben, dass alle mobilen Geräte im Unternehmen nach aktuellen Verfahren verschlüsselt werden müssen, wurde die Eintrittswahrscheinlichkeit, dass die auf der Festplatte enthaltenen Daten mit einem vertretbaren Aufwand entschlüsselt und offengelegt werden können, als gering eingestuft. Zudem hatte der Beschäftigte sich umgehend gemeldet, so dass alle Zugänge vorsorglich gesperrt und erst nach einem Passwortwechsel wieder freigegeben wurden.

Diese Risikoeinschätzung könnte anders ausfallen, wenn es sich bei den Daten beispielsweise um medizinische Informationen von Klinikpatienten oder strafrechtliche relevante Informationen von verurteilten Menschen handelt. Denn auch ein Verschlüsselungsverfahren, welches zum Zeitpunkt des Verlusts als sicher gilt, kann möglicherweise in ein paar Monaten als unsicher gelten.

Eine Risikobewertung sollte also immer für den bestimmten Einzelfall vorgenommen werden.

Dokumentation des Datenschutzvorfalls und Empfehlung

Eine lückenlose Dokumentation ist in jedem Fall dringend zu empfehlen, egal, ob Sie einen Datenschutzvorfall melden oder aber aufgrund Ihrer Risikobewertung entscheiden, keine Meldung abzugeben. Sie haben gemäß Art. 5 Absatz 2 DS-GVO eine Rechenschaftspflicht, die Einhaltung der Verordnung nachweisen zu können.

Im Fall einer Meldung zeigen Sie so der Datenschutzbehörde, dass Sie mit so einer ungewohnten Notsituation souverän umgehen und Ihre geplanten Prozesse funktionieren und greifen. Im Fall, dass Sie nicht melden, könnte eine Behörde im Rahmen einer anlasslosen oder anlassbezogenen Prüfung Nachweise einfordern, wie Sie zu Ihrer Einschätzung gekommen sind. Demnach ist nicht nur die Dokumentation des Vorfalls und der Reaktion notwendig und wichtig, sondern auch der Maßnahmen, die Sie ergreifen bzw. ergriffen haben, um derartige Vorfälle zu verhindern bzw. die Bewältigung in Form von Prozessabläufen zu definieren.

Bauen Sie die Regelungen und Abläufe in ihre Datenschutzschulungen ein oder simulieren Sie vielleicht auch einen Verlust, um Sicherheit im Umgang in solchen Situationen zu gewinnen. So können Sie erkennen, ob der Prozess funktioniert oder Verbesserungen implementieren. Nur wenn ein Unternehmen die Risiken kennt und richtig einschätzt, kann es angemessene Maßnahmen ergreifen, diese Risiken zu minimieren. Sind personenbezogene Daten im Spiel, ist die Beratung des oder der Datenschutzbeauftragten wichtig und notwendig. Die Beratung des Verantwortlichen ist einer der Kernaufgaben gemäß Artikel 39 DS-GVO.

[1] https://www.datenschutzkonferenz-online.de/kurzpapiere.html