Aufsatz : Data Breach Notification – Melde- und Benachrichtigungspflichten bei „Datenpannen“ : aus der RDV 1/2020, Seite 3 bis 11
Verantwortliche (Art. 4 Nr. 7 DS-GVO) haben bei einer Verletzung des Schutzes personenbezogener Daten die bußgeldbewehrten Melde- und Benachrichtigungspflichten der Artt. 33, 34 DS-GVO zu beachten. Nach Art. 33 DS-GVO ist eine Verletzung des Schutzes personenbezogener Daten unverzüglich nach Bekanntwerden der zuständigen Aufsichtsbehörde zu melden. Die Meldepflicht besteht nicht, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Besteht dagegen sogar ein hohes Risiko, so sind gem. Art. 34 DS-GVO unverzüglich auch die betroffenen Personen zu benachrichtigen. Der nachfolgende Beitrag befasst sich mit einigen der bestehenden Auslegungsfragen.
I. Regulierung der Melde- und Benachrichtigungspflicht
Eine mit den Artt. 33, 34 DS-GVO vergleichbare Vorschrift gab es seit 2009 mit § 42a BDSG a.F. bereits vor der harmonisierenden Regulierung des Europäischen Gesetzgebers. Danach führte die unrechtmäßige Kenntniserlangung der in § 42 Satz 1 BDSG a.F. aufgeführten besonders sensiblen personenbezogenen Daten zu einer Informationspflicht gegenüber den Betroffenen und der zuständigen Aufsichtsbehörde, allerdings ohne – wie jetzt nach Art. 33 DS-GVO – eine Ausnahme bei geringem Risiko für Betroffene vorzusehen.[1] Die Vorschrift hat Vorbilder im US-Recht in den Data Breach Notification Laws[2] und in Art. 4 Abs. 3 UAbs. 1 ePrivacy-Richtlinie[3] . Auch in Irland[4] und Italien[5] waren Data Breach-Regelungen bekannt. In dem die ePrivacy-RL[6] umsetzenden § 15a TMG war allerdings schon zu Zeiten der Geltung des § 42a BDSG a.F. vorgesehen, dass auch bei vom Diensteanbieter unrechtmäßig gespeicherten oder übermittelten Bestandsoder Nutzungsdaten Informationspflichten bestehen, soweit schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen des betroffenen Nutzers durch eine Sicherheitsverletzung drohen.
Eine Art. 33 DS-GVO entsprechende Meldepflicht für Gefahrenabwehr- und Strafverfolgungsbehörden enthält Art. 30 JIRL (aufgenommen in § 65 BDSG). Ein weiteres, fachspezifisches Verwertungsverbot aufgrund von Meldungen nach Art. 33 DS-GVO oder von Benachrichtigungen nach Art. 34 DS-GVO hinsichtlich dem Steuergeheimnis unterliegender Daten folgt aus § 384a AO. Bei Meldungen und Benachrichtigungen, bei denen der Sozialdatenschutz berührt ist und daher die Meldung gemäß § 83a SGB X auch gegenüber der Rechts- oder Fachaufsichtsbehörde zu erfolgen hat, folgt ein Verwendungsverbot aus § 85 Abs. 3 und § 85a Abs. 2 SGB X. Aufgrund von § 97 InsO zu erteilende, möglicherweise selbstbelastende Auskünfte dürfen nach seinem Absatz 3 nicht gegen den Schuldner verwendet werden. Soweit sonstige gesetzliche Meldepflichten bestehen, die anderen Zielsetzungen dienen – wie etwa nach § 8b Abs. 4 BSIG –, stehen sie neben der Meldepflicht nach Art. 33 DS-GVO[7] .
Meldungen aufgrund der Informationspflicht aus § 42 Satz 1 BDSG a.F. gegenüber den Aufsichtsbehörden erfolgten eher selten. Das lag nicht nur daran, dass die Meldepflicht nur bei hohen Risiken bestand, die aus einer unrechtmäßigen Kenntniserlangung besonders sensibler Daten resultierten. Wesentlich dürfte auch sein, dass die Sensibilität bei verantwortlichen Stellen angesichts niedriger Bußgeldsanktionen offenbar noch unterentwickelt war. Anders lässt es sich kaum erklären, weshalb die Meldungen mit Wirksamwerden der DS-GVO sprunghaft angestiegen sind. Zwischen dem 25. Mai 2018 und Ende Januar 2019 gab es bei deutschen Aufsichtsbehörden 12.600 Meldungen von insgesamt mehr als 59.000 in der EU innerhalb der ersten acht Monate seit Geltung der DS-GVO[8].
In Nordrhein-Westfalen stiegen die Meldung um mehr als das Zwanzigfache[9] . Bei der Landesbeauftragten für Datenschutz und Informationsfreiheit gingen im gesamten Jahr 2017 nur 60 Meldungen nach § 42a BDSG a.F. ein; von Januar bis Mai 2018 waren es 61 Meldungen. Dann aber nahmen die Meldungen von Datenpannen und gezielten Angriffen signifikant zu: von Mai bis Dezember 2018 waren es mehr als 1.200[10]. Ähnliche Zahlen liegen ausweislich der Tätigkeitsberichte auch aus den anderen Bundesländern vor. Ein Grund für die Zunahme dürfte in der gegenüber dem BDSG a.F. erweiterten Meldepflicht, insbesondere aber in der sensibilisierenden Wirkung der hohen Bußgeldandrohungen liegen.
Nur in den Niederlanden wurden trotz signifikant geringerer Einwohnerzahl im gleichen Zeitraum mit 15.400 mehr Meldungen verzeichnet. Dagegen wurden in Spanien nur 670 Fälle und in Griechenland nur 70 Fälle registriert[11]. Die Gründe für diese erheblichen Unterschiede in den Mitgliedstaaten sind bislang noch nicht abschließend untersucht worden.
II. Meldepflicht gegenüber der Aufsichtsbehörde und ihre Ausnahme
Zu melden hat der Verantwortliche jede ‚Verletzung des Schutzes personenbezogener Daten. Darunter ist nach der Legaldefinition aus Art. 4 Nr. 12 DS-GVO „eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“, zu verstehen[12]. Sonstige Verstöße gegen Pflichten aus der DS-GVO oder anderen Datenschutzgesetzen wie die Verarbeitung personenbezogener Daten ohne eine Rechtsgrundlage oder die Missachtung von Informationspflichten sind nicht zu melden.[13]
Die Meldepflicht entsteht mit der Schutzverletzung. Die Meldefrist beginnt mit der Kenntnisnahme der Schutzverletzung. Sobald dem Verantwortlichen tatsächliche Hinweise vorliegen, dass mit hoher Wahrscheinlichkeit eine Schutzverletzung eintrat, so ist die Meldung vorzunehmen. Später in Erfahrung gebrachte Einzelheiten über die Schutzverletzung und über ergriffene, das Risiko mindernde Maßnahmen, die Einfluss auf die Maßnahmen der Aufsichtsbehörde haben können, lassen sich nachmelden (Abs. 4).
1. Meldevoraussetzung: hinreichend konkretes Risiko
Meldevoraussetzung ist nicht, dass die Verletzung vom Verantwortlichen absichtlich, widerrechtlich oder schuldhaft herbeigeführt wurde[14]. Adressiert werden damit Sicherheitsvorfälle, genauer: eine Verletzung der Vertraulichkeit, Verfügbarkeit und Integrität der Daten. Ziel der Data Breach Notification ist es, „die materiell-rechtlichen Vorgaben auf der Ebene der IT-Sicherheit zu flankieren“[15] und das erforderliche IT-Sicherheitsniveau zu gewährleisten[16]. Ein Sicherheitsvorfall kann auch bei Beachtung größtmöglicher Sicherheitsvorkehrungen und Achtsamkeit im Umgang mit personenbezogenen Daten eintreten[17]; aber eben auch aufgrund von Verletzungen der nach Art. 32 DS-GVO gebotenen technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit. Deshalb ist das noch zu behandelnde Verwendungsverbot der einer Aufsichtsbehörde durch die Meldung bekannt gewordenen Informationen von Bedeutung.
Die Pflicht zur Meldung einer Verletzung der Datensicherheit aufgrund einer ‚Datenpanne‘ oder eines Angriffs von außen ist nunmehr unabhängig von der Art der Daten die Regel, von der es allerdings eine bedeutende Ausnahme gibt („materielle Meldeschwelle“[18]). Danach ist sie dann nicht erforderlich, wenn die Verletzung „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“ (Ausnahmevorbehalt[19]). ErwG 85 erhellt, dass Gefahren für Rechtsgüter des Betroffenen bei Diskriminierungen, Identitätsdiebstahl oder -betrug, finanziellen Verlusten, Rufschädigungen, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugter Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen bestehen, wobei entsprechend dem Regulierungszweck Risiken für Verletzung von Persönlichkeitsrechten im Vordergrund stehen müssen. Zu bewerten sind mit einer Schutzbedarfsfeststellung und Risikoanalyse[20] die Eintrittsschwere und Eintrittswahrscheinlichkeit des Risikos für eine Verletzung der Sicherheitskriterien Vertraulichkeit, Integrität und Verfügbarkeit der Daten als den Schutzzielen nach Art. 32 DS-GVO[21]. Dabei muss die Risikobetrachtung realistisch sein und kann lebensfremde Risiken ausschließen[22]. Sind die Daten unwiderbringlich verloren, besteht eine Meldepflicht dann nicht, wenn die Daten nur für den Verantwortlichen von Bedeutung waren und für den Betroffenen mit dem Verlust keine Risiken für die persönlichen Rechte und Freiheiten verbunden sind.[23]
Hinsichtlich der Eintrittsschwere (Qualität des Risikos) formuliert Schultze-Melling[24] pointiert, dass „ein hinreichend konkretes Risiko für die Rechte und Freiheiten natürlicher Personen folglich dann (besteht), wenn ihnen aufgrund einer soweit wie möglich objektivierten Betrachtungsweise die erwähnten Nachteile tatsächlich als eine äquivalente und adäquate Konsequenz der eingetretenen Ereignisse drohen und eine derartige Betrachtung auch vor dem Hintergrund des Schutzzwecks der Norm aufrechterhalten bleiben kann“. Dementsprechend wird die Meldepflicht erst ausgelöst, wenn über einen Verdacht hinaus auch tatsächliche Anhaltspunkte für eine mit hoher Wahrscheinlichkeit eintretende Verletzung bestehen[25]. Von diesem Zeitpunkt beginnt auch die noch zu behandelnde Meldefrist.
Kein die Meldepflicht auslösendes Risiko könnte vorliegen, wenn ein Laptop mit personenbezogenen Daten verloren geht, die darauf gespeicherten Daten aber verschlüsselt waren, so dass ein Schadensereignis für die betroffenen Personen dann unwahrscheinlich ist, wenn eine die Datenverfügbarkeit gewährleistende Sicherungskopie vorhanden ist[26]. Diese Annahme ist allerdings umstritten: nach anderer Auffassung soll trotz verschlüsselter Daten eine Meldepflicht bestehen[27]. Der Ansatz, der dem Art. 34 Abs. 3 lit. a DS-GVO zugrunde liegt, wonach die Pflicht zur Benachrichtigung des Betroffenen dann entfällt, wenn „der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung“, sind erst recht bei der Meldepflicht zu berücksichtigen; denn wenn die Pflicht zur Benachrichtigung der Betroffenen schon dann entfallen kann, wenn der Vorfall mit einem hohen Risiko verbunden sein kann, so muss das erst recht gelten, wenn lediglich ein weniger schwerwiegendes Risiko erwartet werden kann. Deshalb besteht bei dem Verlust von nach dem Stand der Technik hinreichend verschlüsselten Daten keine Meldepflicht[28], soweit die Daten anderweitig noch verfügbar sind, etwa in einem Backup-System[29].
2. Risikobasierter Ansatz und Beurteilungsspielraum
Es liegt entsprechend dem risikobasierten Ansatz in der Verantwortung des Verantwortlichen, diese Beurteilung vorzunehmen[30]. Kommt er zu dem Bewertungsergebnis, dass voraussichtlich kein Risiko besteht, also nicht mit Gewissheit das Fehlen eines Risikos feststehen muss[31], und eine Meldung daher nicht vorzunehmen ist, so sind das Ereignis und die Bewertung des Risikos gleichwohl zu dokumentieren[32], möglichst auch mit einer Stellungnahme des betrieblichen Datenschutzbeauftragten, der im Rahmen seiner Aufgaben nach Art. 39 DS-GVO die Einhaltung der DS-GVO überwachen und beraten soll. Das entspricht dem Accountability-Grundsatz aus Art. 5 DS-GVO. Es gibt in den Grenzfällen einen Beurteilungsspielraum, den die Aufsichtsbehörden respektieren müssen und bei einer anderen Bewertung auf ein Bußgeld verzichten oder die Höhe des Bußgeldes jedenfalls sehr niedrig ansetzen, wenn sie der Meinung sind, dass eine Meldung hätte erfolgen müssen. Für Verantwortliche folgt daraus, dass sie bei vorsichtiger Risikobewertung eher einen Vorfall melden, schon allein, um ein Bußgeld zu vermeiden, wenn die Aufsichtsbehörde auf anderem Wege Kenntnis von dem Vorfall erlangt und die Ansicht vertritt, dass eine Meldung hätte erfolgen müssen, und wegen einer Pflichtverletzung ein Bußgeld verhängt. Es wäre wünschenswert, wenn die Aufsichtsbehörden Kriterien für eine Risikobewertung vorlegen würden, um Verantwortliche bei der Prüfung, wann eine Meldung erforderlich ist, zu unterstützen.
Die Reaktion der Aufsichtsbehörden auf eine Meldung ist nicht einheitlich. Es sollte gute Praxis sein, dem meldenden Verantwortlichen eine Eingangs- und ggf. eine Abschlussmitteilung zukommen zu lassen. Je nach Relevanz des Vorfalls können weitere Prüfungen durch die Aufsichtsbehörden durch Nachfragen oder auch Prüfungen vor Ort erfolgen, um die Beseitigung von Risiken festzustellen.
III. Benachrichtigung betroffener Personen
Ob neben der Meldung auch eine Benachrichtigung der Betroffenen erfolgen muss, ist von dem Ergebnis einer Risikoprognose abhängig. Denn nur dann, wenn die Verletzung des Schutzes personenbezogener Daten „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge“ hat, muss der Verantwortliche die betroffene Person unverzüglich von der Verletzung benachrichtigten (Art. 34 Abs. 1 DS-GVO). Je größer der potentielle Schaden, desto niedriger ist die Schwelle der Eintrittswahrscheinlichkeit zu setzen Die Beurteilung kann sich an den Beurteilungsmaßstäben der ePrivacyRL orientieren[33]
Zwar erwartet auch Art. 34 DS-GVO eine ‚unverzügliche‘ Benachrichtigung. Die Hinweise aus ErwG 86 zeigen aber, dass es bei der Bestimmung der ‚Unverzüglichkeit‘ doch andere Maßstäbe als bei Art. 33 DS-GVO geben muss. Nach ErwG 86 sollen Benachrichtigungen „stets so rasch wie nach allgemeinem Ermessen möglich, in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen“. Dabei ist nach ErwG 86 Satz 3 zu beachten, dass betroffene Personen sofort zu benachrichtigen sind, um das Risiko eines unmittelbaren Schadens mindern zu können. Eine längere Benachrichtigungsfrist kann danach aber gerechtfertigt sein kann, wenn zunächst „geeignete Maßnahmen gegen fortlaufende oder vergleichbare Verletzungen des Schutzes personenbezogener Daten zu treffen sind“. Erwartet wird, dass die Benachrichtigung stets so rasch wie nach allgemeinem Ermessen möglich erfolgt.
Die Benachrichtigung soll in klarer und einfacher Sprache erfolgen (Art. 34 Abs. 2 DS-GVO), damit die betroffene Person etwaige Risiken richtig einschätzen und geeignete schadensvermeidende Maßnahmen ergreifen kann. Es gibt nach Absatz 3 aber drei Ausnahmetatbestände, nach denen eine Benachrichtigung nicht erfolgen muss. Zunächst entfällt nach lit. a die Pflicht zur Benachrichtigung der Betroffenen, wenn geeignete technische und organisatorische Maßnahmen ergriffen wurden, die den Zugriff Dritter auf die Daten verhindern. Nach lit. b kann der Verantwortliche auf die Benachrichtigung verzichten, wenn er nachträglich Maßnahmen ergreift, aufgrund derer aller Wahrscheinlichkeit nach ein hohes Risiko nicht mehr besteht. Auch wenn der Verantwortliche grundsätzlich gehalten ist, alle Betroffenen persönlich über das Risiko zu informieren, kann an die Stelle einer individuellen Benachrichtigung nach lit. c eine öffentliche Bekanntmachung oder eine andere wirksame Informationsverbreitung treten, wenn aufgrund der überaus großen Zahl der Betroffenen oder wegen fehlender Adressangaben unverhältnismäßig ist.
IV. Adressat der Meldepflicht
Die Meldung obliegt dem Verantwortlichen i.S. des Art. 4 Nr. 7 DS-GVO. Bei Gemeinsam Verantwortlichen (Art. 26 Abs. 1 DS-GVO) liegt es nahe, dass derjenige meldet, in dessen Verantwortungsbereich der Vorfall stattfand. Weil im Zweifel auch ein anderer Verantwortlicher von der Aufsichtsbehörde als für die Meldung der Datenpanne zuständig angesehen werden kann, sind in der nach Art. 26 DS-GVO zu schließenden Vereinbarung Zuständigkeit, Pflichten, Fristen und Sanktionen ausdrücklich zu regeln und eine Risikoverteilung vorzunehmen[34]. Ohne eine diesbezügliche Vereinbarung sind sie zur gesamten Hand für die Meldung verantwortlich[35].
Hat ein Auftragsverarbeiter Kenntnis von einer Verletzung des Schutzes personenbezogener Daten in seinem Bereich erlangt, hat er den Auftraggeber sofort ohne jedwede Prüfung und Beurteilung zu informieren[36], weil die Meldung dem Auftraggeber obliegt. Mit der Information des Auftragsverarbeiters hat der Verantwortliche Kenntnis von dem Vorfall bei dem Auftragsverarbeiter erlangt, der dem Verantwortlichen von da an zugerechnet wird und infolgedessen von ihm der Aufsichtsbehörde zu melden ist. Bei Bekanntwerden eines Vorfalls ist die enge Absprache mit dem Auftragsverarbeiter zu suchen, um Maßnahmen zur Schadensvermeidung zu ergreifen.
Eine Meldung an eine andere als der nach Art. 55 DS-GVO zuständigen Aufsichtsbehörde ist so zu behandeln, als wäre die Meldung nicht erfolgt. Es obliegt dem Verantwortlichen, die Zuständigkeit festzustellen oder zu erfragen.[37] Die unzuständige Aufsichtsbehörde sollte allerdings einen Hinweis auf die zuständige Behörde geben oder sie sogleich an die zuständige Behörde weiterleiten. Über die Verfahrensweise sollten sich die Aufsichtsbehörden abstimmen.[38]
V. Inhalt und Form der Meldung und der Benachrichtigung
Welche Angaben der Aufsichtsbehörde mitzuteilen sind, folgt aus Art. 33 Abs. 3 DS-GVO. Die Aufsichtsbehörden halten auf ihren Webseiten elektronische Formulare bereit, mit denen die wesentlichen Inhalte angegeben und mit Freitexteingaben ergänzt werden können. Sollte, wie geschehen, eine Störung der Webseite bei einer Aufsichtsbehörde vorliegen und eine Meldung über das dort sonst bereitgehaltene Formular nicht möglich sein, sind die von Art. 33 DS-GVO geforderten Informationen formlos zu melden, ggf. telefonisch. Meldungen per eMail sind zu verschlüsseln. In der Praxis ist es verbreitet, in einem Anschreiben ergänzende Hinweise zu geben, insbesondere dazu, wie es aufgrund von Nachprüfungen zu dem meldepflichtigen Vorfall kam und welche Maßnahmen ergriffen wurden, um Schäden für die Betroffenen abzuwenden und um eine Wiederholung zu verhindern.
Art. 34 Abs. 2 DS-GVO verpflichtet den Verantwortlichen, den betroffenen Personen „in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten“ zu beschreiben, wobei zumindest die in Art. 33 Abs. 3 lit. b, lit. c und lit. d genannten Informationen und Empfehlungen gegeben werden müssen. Konkretisiert wird die Anforderung durch ErwG 86. Danach soll die Benachrichtigung „eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene natürliche Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten“.
VI. Beachtung der Meldefrist
1. Beginn der Meldefrist
Die Schutzverletzung ist der gem. Art. 55 DS-GVO zuständigen Aufsichtsbehörde vom Verantwortlichen „unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, zu melden. In der Praxis zeigen sich die erheblichen Schwierigkeiten festzustellen, wann nach diesem Wortlaut die Frist beginnt und wann sie endet. Dass diese Schwierigkeiten vom Verordnungsgeber vorausgesehen wurden, zeigt die in Art. 70 Abs. 1 lit. g DS-GVO an den Europäischen Datenschutzausschuss (EDSA) adressierte Aufforderung, entsprechende Leitlinien, Empfehlungen und bewährte Verfahren bereitzustellen, um den Begriff der Unverzüglichkeit für Verantwortliche und Aufsichtsbehörden operabel zu machen. Das vom EDSA bestätigte WP 250 Rev.01 schafft diese Klarheit noch nicht. Auch Verbände und Vereinigungen sind durch Art. 40 Abs. 2 lit. i DS-GVO aufgerufen, Verhaltensregeln für den Fall von – nicht auf meldepflichtige Vorfälle beschränkte – Datenschutzverletzungen aufzustellen, die aber auch keine Verbindlichkeit schaffen können.
Die Frist mit Hilfe der VO 1182/71 vom 3.6.1971 zur Festlegung für die Fristen, Daten und Termine[39] genau zu bestimmen, ist weder geboten, noch hilfreich, weil die 72-Stundenfrist des Art. 33 DS-GVO keine exakt bestimmte oder bestimmbare Frist ist, was schon aufgrund der Termini ‚unverzüglich‘ und ‚möglichst‘ sowie der Möglichkeit, die Meldung bei Vorliegen von Gründen auch noch später abzugeben, erkennbar ist[40]. Diese Frist ist eine „normative Leitvorgabe“[41], so dass die Aussage, die Informationen müssten innerhalb von 72 Stunden gemeldet werden, in dieser Verkürzung nicht richtig ist[42].
Ob die Frist bereits mit Kenntnis des Auftragsverarbeiters beginnt oder erst mit der Kenntnisnahme des die Meldung vorzunehmenden Auftraggebers, ist umstritten. Das WP 250 Rev.01 geht davon aus, dass sie mit Kenntnisnahme des Auftraggebers beginnt, den der Auftragnehmer unverzüglich über eine Schutzverletzung zu informieren hat. Diese Annahme würde Gerichte im Zweifel aber nicht binden.[43]
Kenntnis erlangt der Verantwortliche nicht erst dann, wenn Entscheider positiv Kenntnis von dem Vorfall erhielten[44], sondern bereits dann, wenn ein „Wissensvertreter“[45] oder Mitarbeiter von einem Vorfall durch eigene Feststellung oder durch eine Information von außen erfährt[46]. Diese Kenntnis wird dem Verantwortlichen von diesem Zeitpunkt an zugerechnet und nicht erst dann, wenn in einem Unternehmen oder bei einer öffentlichen Stelle diese Information an Entscheider weitergegeben wird. Wenn durch Hacking erlangte Kundendaten zu Schutzverletzungen und daraufhin zu materiellen Schäden für Betroffene führten, beginnt die Frist zu laufen, sobald die IT-Abteilung oder der Kundenservice von Betroffenen ‚auf die Spur gebracht‘ wird und nicht erst dann, wenn die Unternehmensleitung wegen nachdrücklicher wiederholter Beschwerden viele Wochen später über das Datenleck informiert wird. Die dann unverzüglich vorgenommene Meldung ist dann verspätet, weil sich das Unternehmen die Kenntnis von Mitarbeitern – jedenfalls derjenigen, die mit der Datenverarbeitung befasst sind[47] oder im Call-Center über die Kundenhotline von einer Datenpanne erfahren – nach den allgemeinen Grundsätzen der Wissenszurechnung zurechnen lassen muss[48].
Wenn es der Verantwortliche fahrlässig unterlässt, durch Verfahrensanweisungen für schnelle Informationswege über Datenpannen und Angriffe von außen zu sorgen, muss ihm das bei der Fristenberechnung zugerechnet werden[49]. Der Normtext „nachdem ihm die Verletzung bekannt wurde“ ist daher dahingehend auszulegen, dass die Frist beginnt, „nachdem ihm die Verletzung hätte bekannt sein müssen“[50]. Das ist streng, dient aber dem Anreiz, ein aufmerksames, sensibles Datenschutz- und Datensicherheitsverständnis beim Verantwortlichen durch technische und eben auch organisatorische Maßnahmen (TOM) zu schaffen.
Es zeigt sich einmal mehr die Notwendigkeit der Implementierung eines Datenschutzmanagements mit Vorfallreaktionsplänen und Governance-Regeln[51], das auch die Sensibilisierung von Mitarbeitern vorsehen muss. Eine Unterlassung dieser Maßnahme muss sich das Unternehmen als Organisationsverschulden vorwerfen lassen und kann unter keinen Umständen zu einer Fristverlängerung dadurch führen, dass mit einer späteren Kenntniserlangung aufgrund eines fehlenden Data Breach-Managements argumentiert wird.
2. Verspätete Meldung
Wenn unter ‚unverzüglich‘ nicht ‚sofort‘, sondern ein „Handeln ohne schuldhaftes Zögern” zu verstehen ist, stellt sich in der Praxis trotzdem die Frage, ob bei einer ersten Information über einen möglicherweise zu meldenden Vorfall eine vage Meldung an die Aufsichtsbehörde vorzunehmen ist, oder ob zunächst der Sachverhalt und etwaige Risiken für Betroffene geprüft und mit dem Datenschutzbeauftragten und ggf. mit externem Rechtsbeistand die Verhaltenspflichten erörtert werden können, um dann ‚schnellstmöglich‘ zu melden[52]. Das wird man bejahen können; auch der Wortlaut der Norm legt dies nahe, wenn er ergänzt, dass die Meldung ‚möglichst‘ innerhalb von 72 Stunden erfolgen soll. Das impliziert sowohl die Aufforderung, schnellstmöglich vor dem Ablauf von 72 Stunden die Meldung über die von den Aufsichtsbehörden online vorgehaltenen Formulare vorzunehmen, als auch im Einzelfall zu einem später als 72 Stunden nach Kenntniserlangung liegenden Zeitpunkt zu melden, wenn dies auf Grund der Umstände erforderlich ist. „Eine kurze Untersuchung“ und die Vornahme einer Risikoprognose wird zugestanden[53], schon um die Aufsichtsbehörde nicht mit Meldungen zu ‚überschwemmen‘, die sich letztlich alsbald als nicht geboten herausstellen würden. Bei der Meldefrist ist auch zu berücksichtigen, dass dann, wenn die Aufsichtsbehörde keinen „Notdienst“ eingerichtet hat[54], Feiertage und Wochenenden bei der Berechnung der 72-Stundenfrist nicht mit einbezogen werden sollten[55], anders als bei der Benachrichtigungspflicht, weil Betroffene aufgrund der höhere Risikolage schnellstens zu informieren und regelmäßig auch an Feier- und Wochenendtagen empfangsbereit sind.
Bei entsprechender Begründung kann auch eine spätere Meldung noch angemessen sein, ohne dass dadurch ein Bußgeldtatbestand nach Art. 83 DS-GVO wegen unterlassener oder verspäteter Meldung geschaffen wird. ErwG 85 Satz 3 DS-GVO erwähnt diese Terminabweichung ausdrücklich: „Falls diese Benachrichtigung nicht binnen 72 Stunden erfolgen kann, sollten in ihr die Gründe für die Verzögerung angegeben werden müssen.“ Es ist aber nicht abzuwarten, bis ergänzende Erläuterungen und Dokumente vorliegen; diese können unverzüglich nachgereicht werden (Art. 33 Abs. 4 DS-GVO), ohne dass sich daraus der Vorwurf konstruieren ließe, die Meldung sei dadurch verspätet.[56] Allerdings gilt auch hier, dass organisatorische Mängel auf Seiten des Verantwortlichen wie die Nichterreichbarkeit von Entscheidern im Unternehmen oder die ausstehende Bewertung eines externen Rechtsbeistands als Grund für die erst nach 72 Stunden erfolgende Meldung nicht hinzunehmen sind. Derartige Gründe fallen in die Risikosphäre des Verantwortlichen und vermögen ein Bußgeld wegen verspäteter Meldung nicht zu verhindern.
Denkbar ist allerdings auch, dass die Vorgabe „möglichst binnen 72 Stunden“ nicht zu einer Regel führen darf, nach der die Einhaltung einer Melde- und Benachrichtigungsfrist von 72 Stunden stets als verordnungskonform angesehen werden kann. Das erhebliche Risiko einer Verletzung von Rechtsgütern von Betroffenen kann im Einzelfall eine frühere, unverzügliche Meldung bei der Aufsichtsbehörde erforderlich machen, der es dann obliegt, ihr geboten erscheinende Maßnahmen nach Art. 58 DSGVO zu ergreifen.[57]
VII. Sanktionierung des Meldenden oder Selbstbelastungsfreiheit
Datenschutzverstöße sind zu sanktionieren, aufgrund Art. 83 Abs. 4 lit. a DS-GVO auch Verstöße gegen die nicht, unzureichend oder verspätet erfolgte Meldung bzw. Benachrichtigung. Bußgelder sollen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein (Art. 83 Abs. 1 DS-GVO). Fraglich ist, ob Sanktionen auch gegenüber Verantwortlichen verhängt werden dürfen, die pflicht- und fristgemäß nach Art. 33 DSGVO gemeldet oder nach Art. 34 DS-GVO benachrichtigt haben. Mit der Meldung und Benachrichtigung wird der Verantwortliche zur Preisgabe von Informationen verpflichtet, die nicht zwingend, aber doch möglicherweise ein eigenes Versäumnis bei der Gewährleistung der Datensicherheit offenbaren. Das begegnet dann keinen verfassungsrechtlichen Bedenken, wenn die erteilte Information keine Sanktionen nach sich zieht.
1. Meldepflicht trifft auf nemo tenetur-Grundsatz
Der Schutz der von einer Sicherheitsverletzung bedrohten Personen gebietet es, dass diese bei einem hohen Risiko benachrichtigt werden, um auch selbst Maßnahmen zur Abwehr von Schäden ergreifen zu können, und dass der Aufsichtsbehörde der Vorfall – wenn das Risiko nicht zu vernachlässigen ist – ebenfalls gemeldet wird, um ggf. erforderliche Maßnahmen im Rahmen ihrer Befugnisse aus Art. 58 DS-GVO ergreifen zu können[58]. Dann dürfen die offenbarten Informationen aber nicht gegen den Verantwortlichen in einem Straf- oder Ordnungswidrigkeitenverfahren verwendet werden[59].
Niemand muss sich selbst bezichtigen (‚nemo tenetur se ipsum accusare‘). Dieses auch von juristischen Personen beanspruchbare[60] Verwendungsverbot ist verfassungsrechtlich verbürgt[61]. Das in Art. 6 Abs. 1 EMRK enthaltene Recht auf ein faires Verfahren, das auch Art. 47 Abs. 2 GrCh garantiert, enthält diese Selbstbelastungsfreiheit nach ständiger Rechtsprechung des EGMR als international allgemein anerkannten Grundsatz[62].
Das hier erkennbare Spannungsverhältnis zwischen Offenlegungspflicht – möglicherweise auch hinsichtlich eigener zur Verletzung der Sicherheit der personenbezogenen Daten führender Verstöße – hat der deutsche Gesetzgeber mit den §§ 42 Abs. 4 und 43 Abs. 4 BDSG aufgelöst und bestimmt, dass eine Meldung oder eine Benachrichtigung nur mit Zustimmung des Meldepflichtigen oder Benachrichtigenden in Straf- bzw. Bußgeldverfahren verwendet werden dürfen.
2. Übergeordnetes verfassungsrechtliches Verwendungsverbot
Diese Vorschrift ist keineswegs mangels Öffnungsklausel europarechtswidrig.[63] Einer über Art. 84 DS-GVO hinausgehenden Öffnungsklausel[64] bedarf es allerdings nicht[65], weil der Aufsichtsbehörde schon aus dem genannten europäischen Verfassungsrecht eine Verwendung der durch eine ordnungsgemäße Meldung erlangten Informationen in einem Bußgeldverfahren verwehrt ist. Der nemo tenetur-Grundsatz wird auch vom Bundesverfassungsgericht in ständiger Rechtsprechung aus dem Allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 GG)[66] und dem Rechtsstaatsprinzip[67] abgeleitet und auch im Ordnungswidrigkeitenverfahren angewendet.[68] Aufgrund der Ableitung schon aus dem Rechtsstaatsprinzip muss es auch in Verfahren gegen juristische Personen berücksichtigt werden[69]. Das Verwendungsverbot gilt analog hinsichtlich der für den Melde- bzw. Benachrichtigungspflichtigen tätigen Personen. Es wäre zweifellos sinnvoll gewesen, dieses in der DS-GVO auch ausdrücklich klarzustellen und nicht den Mitgliedstaaten oder dem EDSA zu überlassen.
Vor Geltung der DS-GVO sah § 42a Satz 6 BDSG a.F. vor, dass die von der verantwortlichen Stelle erteilte Benachrichtigung in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten ohne Zustimmung der verantwortlichen Person nicht gegen sie verwendet werden darf. Eine solche Privilegierung kennt die DSGVO nicht. Ausweislich des Art. 58 Abs. 2 lit. i DS-GVO gehört es zu den Befugnissen der Aufsichtsbehörde, „eine Geldbuße gemäß Art. 83 DS-GVO zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls“. Die Formulierung „zusätzlich zu oder anstelle von“ darf von Aufsichtsbehörden keinesfalls dahingehend interpretiert werden, dass in jedem Fall ein Bußgeld zu verhängen ist, wenn sie von einem Datenschutzverstoß oder einer ‚Datenpanne‘ Kenntnis erlangte. Schon nach dem Wortlaut der Norm ist sie nicht dazu verpflichtet; vielmehr ist ihr das als Befugnis nur grundsätzlich gestattet[70].
3. Verwendungsverbot nach §§ 42, 43 BDSG
Die Aufsichtsbehörde bleibt auch seit Geltung der DS-GVO aber daran gehindert, ein Bußgeld zu verhängen, wenn sie durch eine frist- und formgerechte Meldung von einer Schutzverletzung Kenntnis erlangt, die nach Art. 33 DS-GVO meldepflichtig ist. Der deutsche Gesetzgeber hat nämlich im geltenden BDSG wieder eine dem § 42 BDSG a.F. entsprechende Regelung in den §§ 42 Abs. 4 und 43 Abs. 4 BDSG aufgenommen und bestimmt, dass eine Meldung nach Art. 33 DS-GVO – oder eine Mitteilung an den Betroffenen nach Art. 34 DSGVO – in einem Straf- oder Bußgeldverfahren „nur mit Zustimmung des Meldepflichtigen bzw. Benachrichtigenden verwendet werden“ darf[71]. Damit sind der adressierte Verantwortliche sowie alle Leitungspersonen und Mitarbeiter davor geschützt, dass eine Meldung gegen sie verwendet wird.[72]
Weil es sich um ein Verwendungsverbot handelt, gilt es auch für solche Hinweise auf Datenschutzverstöße, auf die die Meldung der Aufsichtsbehörde „den Weg gewiesen“ hat (Fernwirkung);[73] das geht aber nicht soweit, dass damit auch solche Informationen dem Verwendungsverbot unterliegen, die die Aufsichtsbehörde im Rahmen von durch die Meldung veranlasste Maßnahmen – wie der Datenschutzüberprüfung vor Ort nach Art. 58 Abs. 1 lit. b DS-GVO – erfahren hat und die nicht mit der gemeldeten Datenpanne im Zusammenhang stehen.
Soweit ErwG 87 S. 3 DS-GVO darauf hinweist, dass die Aufsichtsbehörde Meldungen zum Anlass von Maßnahmen gegen den Meldenden nehmen kann, sind damit die sich aus der Befugnis des Art. 58 DS-GVO ergebenden sonstigen Maßnahmen gemeint, mit denen der Verwirklichung eines Risikos für die Betroffenen begegnet werden kann. Dazu gehören etwa die Befugnisse, Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen (Abs. 1 lit. b) oder den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der Verordnung zu bringen (Abs. 2 lit. d).
4. Beachtung der §§ 43, 44 BDSG bei den Aufsichtsbehörden
Bei den Aufsichtsbehörden besteht allerdings keine Einigkeit in der Frage der Selbstbelastungsfreiheit, jedenfalls sieht der LfDI Baden-Württemberg – ausdrücklich wohl bisher als einzige deutsche Aufsichtsbehörde – den § 42 BDSG als europarechtswidrig an[74] und hat auch bereits ein Bußgeld aufgrund eines Datenschutzverstoßes verhängt, von dem er durch eine Meldung Kenntnis erlangte (Fall Knuddels).[75] Nach dieser Aufsichtsbehörde können Meldungen „grundsätzlich auch im Rahmen von Ordnungswidrigkeitsverfahren und Strafverfahren gegen den die Verletzung meldenden verwendet werden“.[76]
Das Bayerische Landesamt für Datenschutzaufsicht erhebt dagegen keine Bußgelder, wenn es durch eine Meldung Kenntnis von einem meldepflichtigen Verstoß gegen Sicherheitsanforderungen erlangt, weil es von einem Verwertungsund Verwendungsverbot ausgeht.[77] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit erklärt, dass „die durch die Meldung erhaltenen Informationen nicht dazu genutzt werden, die der Meldung zugrunde liegende Datenschutzverletzung zu sanktionieren“.[78] Der HmbBfDI erklärt: „Eine Sanktionierung kam … aufgrund der ordnungsgemäßen Meldung nicht in Betracht“.[79] Der HessBDI sieht die Konsequenzen einer Meldung durch § 43 Abs. 4 BDSG für ein Bußgeldverfahren als eingeschränkt an.[80] Das dürfte auch die Ansicht der Aufsichtsbehörden von Thüringen[81] und Sachsen-Anhalt[82] sein. Die Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit will die Klärung dieser Frage bis zum Ende der Verfolgungs- und Vollstreckungsverjährungsfrist abwarten.
Darüber, wie andere EU-Mitgliedstaaten mit der Sanktionierung von Datenschutzverletzungen, aus denen sie durch eine Meldung nach Art. 33 DS-GVO Kenntnis erlangten, verfahren, liegen noch keine vergleichenden Übersichten vor. Aus Großbritannien ist bekannt, dass hohe Bußgelder wegen Verletzung der gebotenen IT-Sicherheit im Anschluss an Meldungen der Verantwortlichen angekündigt wurden. Bei British Airways gelangten Unbefugte in das Buchungssystem und hatten Zugriff auf Buchungsdaten einschließlich der Kreditkartendaten mit CVV-Nummer von 500.000 Kunden. Bei der ‚Datenpanne‘ der Hotelkette Marriott konnte wegen einer Sicherheitslücke auf Pass- und Kreditkartendaten von mehr als 300 Mio. Kunden zugegriffen werden. Es soll ein Bußgeld in Höhe von jeweils 110 Mio. Euro verhängt werden, obwohl in beiden Fällen eine Meldung nach Art. 33 DS-GVO erfolgte, durch die die Aufsichtsbehörde erst von den Vorfällen Kenntnis erlangte. Ob diese Bußgelder tatsächlich verhängt werden, obwohl auch Großbritannien an die EU-Grundrechtecharta und die EMRK gebunden ist, bleibt abzuwarten.
Die Fälle zeigen, dass innerhalb der EU keineswegs eine Harmonisierung der Frage des Verwendungsverbotes besteht, obwohl aufgrund Art. 6 EMRK in der EU normierte Verwendungsverbote zu beachten sind oder Art. 33, 34 DSGVO entsprechend ausgelegt werden müssten.[83] Der EDSA muss auch zu dieser Frage dringend Stellung beziehen.
VIII. Fazit
Art. 33 und 34 DS-GVO verpflichten im Fall von Risiken für Betroffene zur Meldung von Verletzungen der Datensicherheit (Art. 32 DS-GVO) unabhängig von der Sensibilität der Daten und der Schwere der Verletzung und, sofern mit der Verletzung ein hohes Risiko verbunden ist und Ausnahmetatbestände nicht vorliegen, zur Benachrichtigung der Betroffenen. Die Schutzverletzung ist unverzüglich zu melden, sobald der Verantwortliche positive Kenntnis von der Verletzung erlangt. Das Wissen von Beschäftigten muss dem Verantwortlichen zugerechnet werden, weshalb dringend zu einem Datenschutzmanagement mit Vorfallreaktionsplänen zu raten ist. Die Meldung ist unverzüglich abzugeben, wenn nicht nur ein Verdacht der Verletzung, sondern belastbare Hinweise einer Schutzverletzung vorliegen. Spätestens nach 72 Stunden sollte die Meldung erfolgt sein, wenn nicht in seltenen Ausnahmefällen eine zu begründende spätere Meldung abgegeben werden kann. Diese dürfte aber deshalb von geringer Relevanz sein, weil Informationen nachgemeldet werden können.
Aus der ordnungsgemäßen Meldung dürfen nach herrschender Meinung keine Informationen in Bußgeld- oder Strafverfahren verwendet werden (nemo tenetur-Grundsatz), was sonstigen Maßnahmen der Aufsichtsbehörde aber nicht entgegensteht.
Prof. Dr. Prof. h.c. Jürgen Taeger Direktor des Interdisziplinären Zentrums Recht der Informationsgesellschaft (ZRI) der Universität Oldenburg. Leiter des berufsbegleitenden LL.M.-Studiengangs ‚Informationsrecht‘. Er ist Mitherausgeber des Kommentars Taeger/Gabel (Hrsg.), DSGVO BDSG, Frankfurt/M. 2019. Als Of Counsel bei DLA Piper berät er Unternehmen vornehmlich zu Fragen des Datenschutzrechts.
[1] Siehe dazu Gabel, in: Taeger/Gabel, BDSG, 2. Aufl., 2019, § 4a Rn. 7 ff.; Hanloser, CCZ 2010, 25; Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl., 2019, § 34 Rn. 697. Nach §§ 93 i.V.m. § 109 Abs. 5 Satz 2 TKG bestehen bei einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer vergleichbare Unterrichtungsapflichten gegenüber der Bundesnetzagentur.
[2]Http://www.ncsl.org/research/telecommunications-and-informationtechnology/security-breach-notification-laws.aspx.
[3] Spies, MMR 2008, H. 5, XIX; näher zu den positiven Folgen in den USA Dix, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019, Art. 33 Rn. 1.
[4]Https://www.dataprotection.ie/docs/Data_Security_Breach_Code_of_Practice/1082.htm
[5]Https://www.garanteprivacy.it/documents/10160/0/All+B+al+Provv.+513+del+12+novembre+2014+Mod.+segnalazione+data+breach.pdf.
[6] Konkretisiert durch die VO (EU) Nr. 611/2013 der Kommission vom 24.06.2013 über die Maßnahmen für die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der Richtlinie 2002/58/EG, ABl. EU 2013, L 173/2.
[7] Schultze-Melling, in: Taeger/Gabel, DSGVO BDSG, 3. Aufl., 2019, Art. 33 Rn. 5; Reif, in: Gola, DS-GVO, Art. 33 Rn. 15; Brink, in: Wolff/Brink, BeckOK Datenschutzrecht, Art. 33 Rn. 18. Siehe auch Art. 14 Abs. 3 NIS-RL, Richtlinie (EU) 2016/1148 des Europ. Parlaments und des Rates vom 6.7.2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Infomationssystemen in der Union, ABl. EU 2016, L 194/1, für Betreiber wesentlicher Dienste.
[8] DLA Piper GDPR Data Breach Survey, Februar 2019, https://www.dlapiper.com/en/uk/insights/publications/2019/01/gdpr-data-breach-survey/.
[9] Brink/Kranig, PinG 2019, 104
[10] 24. Datenschutzbericht des LDI NRW, 13.
[11] Alle Angaben aus DLA Piper GDPR Data Breach Survey vom Februar 2019, https://www.dlapiper.com/~/media/files/insights/publications/2019/02/dla-piper-gdpr-data-breach-survey-february-2019.pdf.
[12] Informativ Jandt, in: Kühling/Buchner, DS-GVO/BDSG, 2. Aufl., 2018, Art. 33 Rn. 6 ff.
[13] Vgl. Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/ BDSG, Art. 33 Rn. 89, 97. Unklar Weichert, in: Däubler/Wedde/Weichert/Sommer, EU-DS-GVO und BDSG-neu, 2018, Art. 33 Rn. 18.
[14] Reif, in: Gola, DS-GVO, 2018, Art. 33 Rn. 23; Marschall, DuD 2015, 183, 184.
[15] Marschall, DuD 2015, 183 (184), unter Hinweis auf Hanloser, MMR 2010, 300, 301
[16] Ausführl. mit Beispielen Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, 2018, Art. 33 Rn. 30; Schreibauer/Spittka, in: Wybitul, Handbuch EU-Datenschutzgrundverordnung, Art. 33 Rn. 13 ff.; Hladjk, in: Ehmann/Selmayr, DS-GVO, Art. 33 Rn. 5 ff
[17] Siehe dazu etwa Schreibauer/Spittka, in: Wybitul, Handbuch EU-Datenschutzgrundverordnung, 2017, Art. 33 Rn. 12. Unklar Gierschmann, in: Gierschmann et al., DS-GVO, Art. 33 Rn. 23, nach der eine Meldepflicht ausgelöst wird, wenn „Maßnahmen … verletzt wurden“.
[18] Dix, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 33 Rn. 6.
[19] Martini, in: Paal/Pauly, DS-GVO, 2. Aufl., 2018, Art. 33 Rn. 21.
[20] Dazu ausführlich Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, § 33 Rn. 180 ff.
[21] Siehe ErwG 46 und 47 DS-GVO, sowie die Orientierungshilfe des Bayer. LB für den Datenschutz‚ Meldepflicht und Benachrichtigungspflicht des Verantwortlichen (öffentlicher Stellen), Erläuterungen zu Art. 33 und 34 Datenschutz-Grundverordnung Orientierungshilfe‘, v. 01.06.2019. Vgl. auch Martini, in: Paal/Pauly, DS-GVO, Art. 33 Rn. 22 f.
[22] Ähnlich Martini, in: Paal/Pauly, DS-GVO, Art. 33 Rn. 27.
[23] Gierschmann, in: Gierschmann et al., DS-GVO, Art. 33 Rn. 30
[24] Schultze-Melling, in: Taeger/Gabel, DSGVO BDSG, Art. 33 Rn. 21
[25] Jandt, in: Kühling/Buchner, DS-GVO BDSG, Art. 33 Rn. 15; Gierschmann, in: Gierschmann et al., DS-GVO, Art. 33 Rn. 24; Dix, in: Simitis/ Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 33 Rn. 7 („hinreichende Kenntnis“).
[26] So auch Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2. Aufl., 2019, § 7 Rn. 45, und mit weiteren Beispielen Schultze-Melling, in: Taeger/Gabel, DSGVO BDSG, Art. 33 Rn. 24 f., Art. 29-Datenschutzgruppe, Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679, WP250rev.01, 8 ff., und EDPS, Leitlinien zur Meldung von Verletzungen des Schutzes personenbezogener Daten für die Organe und Einrichtungen der Europäischen Union, 11, 18-12-14_edps_ guidelines_data_breach_de.
[27] Siehe etwa Franck, in: Schwartmann/Jaspers/Thüsing, DS-GVO/BDSG, Art. 33 DS-GVO, Rn. 38; Dix, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 33 Rn. 12.
[28] A. A. Eusani, DS 2019, 18, 29.
[29] So die h. M. in der Literatur und bei den Aufsichtsbehörden, vgl. Pohl, PinG 2019, 100, 101; Kasner, PinG 2019, 111, 113; Bergt, DuD 2017, 555, 560; Reif, in: Gola, DS-GVO, 2018, Art. 33 Rn. 29; Grages, in: Plath, DSGVO/BDSG, 3. Aufl., 2018, Art. 33 Rn. 6; Gierschmann, in: Gierschmann u. a., DS-GVO, Art. 33 Rn. 32; Wilhelm, in: Sydow, EU-DSGVO, 2018, Art. 33 Rn. 8, 9; Brink/Kranig, PinG 2019, 104, 105; EDSA, WP 250 rev.01, 22; HH DSB, Data-Breach-Meldungen nach Art. 33 DSGVO, 4.
[30] Schultze-Melling, in: Taeger/Gabel, DSGVO BDSG, Art. 33 Rn. 19; Gierschmann, in: Gierschmann et al., DS-GVO, Art. 33 Rn. 32, § 42 BDSG Rn. 19 ff.; Veil, ZD 2015, 347.
[31] Zu der Prognoseentscheidung Martini, in: Paal/Pauly, DS-GVO, Art. 33 Rn. 26, und Brink, in: Wolff/Brink, Art. 33 Rn. 38.
[32] Zu den Dokumentationspflichten näher Dix, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 33 Rn. 23.
[33] Siehe dazu den Kriterienkatalog der Art. 29-Datenschutzgruppe in WP 250 Rev.01.
[34] Zutreffend Schultze-Melling, in: Taeger/Gabel, DSGVO BDSG, Art. 33 Rn. 40.
[35] Ebenso Martini, in: Paal/Pauly, DS-GVO BDSG, Art. 33 Rn. 14.
[36] WP 250 rev.01, 15
[37] Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 33 Rn. 56.
[38] Siehe dazu Jandt, in: Kühling/Buchner, DS-GVO/BDSG, Art. 33 Rn. 17.
[39] ABl. L 124 v. 08.06.1971, 1.
[40] Anders aber Piltz/Pradel, ZD 2019, 152.
[41] Martini, in: Paal/Pauly, DS-GVO, Art. 33 Rn. 3.
[42] Siehe aber Kleemann/Kader, DStR 2018, 1091, 1095
[43] Dazu Schultze-Melling, in: Taeger/Gabel, DSGVO BDSG, Art. 33 Rn. 43 f
[44] So Schreibauer/Spittka, in: Wybitul, Handbuch EU-Datenschutzgrundverordnung, Art. 33 Rn. 32; ders., in: Auernhammer, DSGVO BDSG, Art. 33 Rn. 13.
[45] Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 33 Rn. 40; Gierschmann, in: Gierschmann et al., DS-GVO, Art. 33 Rn. 40 f.
[46] Ebenso Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 7 Rn. 47; anders Grages, in: Plath, DSGVO/BDSG, Art. 33 Rn. 3.
[47] V. d. Bussche, in: v. d. Bussche/Voigt, Konzerndatenschutz, 2. Aufl., 2019, Kap. 7 Rn. 7.
[48] Schultze-Melling, in: Taeger/Gabel, DSGVO BDSG, Art. 33 Rn. 45
[49] So auch Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 7 Rn. 47
[50] A. A. Faußner/Leeb, DSB 2019, 196, 197.
[51] Ausf. Hinweise zum Inhalt eines Datenschutzmanagements bei Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 33 Rn. 111 ff. Siehe auch Gierschmann, in: Gierschmann et al., DS-GVO, Art. 33 Rn. 45.
[52] Vgl. Reif, in: Gola, DS-GVO, Art. 33 Rn. 25 ff.; Schultze-Melling, in: Taeger/Gabel, DSGVO BDSG, Art. 33 Rn. 36
[53] WP 250 rev.01, 13. Dass die Frist erst „nach Klärung der Sachlage“ zu laufen beginne, wie Faußner/Leeb, DSB 2019, 196, 197, meinen, dürfte diese Position etwas überstrapazieren.
[54] Empfehlung von Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 33 Rn. 63.
[55] Anders BlnDI, Jahresbericht 2018, 25, unter Hinweis auf Art. 3 Abs. 3 VO Nr. 1182/71, ABl. L 124, 1, die aus den o.g. Gründen nicht anwendbar sein dürfte.
[56] A. A. Dix, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 33 Rn. 22.
[57] ErwG 87; Schreibauer, in: Auernhammer, DSGVO BDSG, 6. Aufl., 2018, Art. 33 Rn. 12; Grages, in: Plath, DSGVO/BDSG, Art. 33 Rn. 4.
[58] Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 33 Rn. 96.
[59] Einer Verwendung der Meldung oder Benachrichtigung für Schadensersatzansprüche Geschädigter aus Art. 82 DS-GVO steht das Verwendungsverbot nicht entgegen, ebenso Spittka, Nur noch 72 Stunden, in: Taeger, Smart World – Smart Law, 2016, 387, 398; Jandt, in: Kühling/Buchner, DS-GVO/ BDSG, Art. 34 Rn. 17; Weichert, in: Däubler/Wedde/Weichert/Sommer, EUDS-GVO und BDSG-neu, Art. 33 Rn. 27; a. A. Eckhardt, DuD 2009, 587, 595.
[60] Eckhard/Menz, DuD 2018, 139, 143, EuGH, Urt. v. 18.10.1989, C-374/87 (Orkem/Kommission), Slg. 1989, 3283, Rn. 31, 33; Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 33 Rn. 89, 97; Spittka, Nur noch 72 Stunden, in: Taeger, Smart World – Smart Law, 2016, 387, 397; Spittka, RDV 2019, 167, 168. A. A. Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 7 Rn. 40, m.w.N.
[61] So schon Hornung, NJW 2010, 1841, 1843. Dazu jetzt Spittka, Nur noch 72 Stunden, in: Taeger, Die Macht der Daten und der Algorithmen – Regulierung von IT, IoT und KI, 2018, 141, und ders., DSB 2019, 217.
[62] EGMR, Urt. v. 03.05.2001 – 31827/96 (J. B./Schweiz), NJW 2002, 499, 501 m.w.N. Siehe auch Dannecker, ZStW 127 (2015), 370, 371. Ausführlich m.w.N. zur verfassungsrechtlichen Einordnung und der Bewertung früherer EuGH-Rechtsprechung Spittka, in: Taeger, Die Macht der Daten und der Algorithmen – Regulierung von IT, IoT und KI, 141, 146 f., und ders., DSB 2019, 217, 218
[63] So aber Bergt, DuD 2017, 555, 560, und ders., in: Kühling/Buchner, DS-GVO BDSG, § 43 BDSG Rn. 13. Zutreffend dagegen Ehmann, in: Gola/ Heckmann, BDSG, 13. Aufl., 2019, § 43 Rn. 8.
[64] Zu Art. 83 Abs. 8 DS-GVO als möglicher Öffnungsklausel für § 43 BDSG Spittka, DSB 2019, 217, 218; Voigt/v. d. Bussche, EU-Datenschutz-Grundverordnung, 2018, 275; Nolde, PinG 2017, 114, 120; Jandt, in: Kühling/ Buchner, DS-GVO/BDSG, Art. 33 Rn. 31, bzw. als ‚Regelungsspielraum‘ Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 33 Rn. 97. Die Öffnungsklausel sehen Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 7 Rn. 39, und Ehmann, in: Gola/Heckmann, BDSG, § 43 Rn. 10, in Art. 84 Abs. 1 DS-GVO.
[65] Vgl. auch Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO/BDSG, Art. 33 Rn. 97; Golla, in: Auernhammer, § 42 BDSG, Rn. 26..
[66] Siehe nur BVerfG, Beschl. v. 13.01.1981 – 1 BvR 116/77, BVerfGE 56, 37, 43.
[67] BVerfG, Beschl. v. 25.08.2014 – 2 BvR 2048/13, NJW 2014, 3506, 3506 f.
[68] BVerfG, Beschl. v. 22.10.1980, 2 BvR 1238/79, BVerfGE 55, 144, 150.
[69] Dazu ausführlich Spittka, in: Taeger, Die Macht der Daten und der Algorithmen – Regulierung von IT, IoT und KI, 2018, 141, 145; Spittka, RDV 2019, 167, 169. Vgl. auch Brodowski/Nowak, in: Wolff/Brink, BeckOK Datenschutzrecht, § 43 Rn. 26; Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/BDSG, Art. 33 Rn. 89.
[70] So auch Gierschmann, in: Gierschmann et al., DS-GVO, Art. 33 Rn. 60.
[71] Dazu Schultze-Melling, in: Taeger/Gabel, DSGVO BDSG, Art. 33 Rn. 48. Zu der Frage der Verhängung von Bußgeldern gegenüber Leitungspersonen Spittka, Si tacuisses … – nemo tenetur und die DS-GVO, in: Taeger, Die Macht der Daten und der Algorithmen – Regulierung von IT, IoT und KI, 2018, 141, 149; Spittka, RDV 2019, 167, 170, und speziell gegenüber Mitarbeitern Nolde, PinG 2017, 114, 118. A. A. Eckardt, DuD 2009, 587, 595.
[72] Ebenso Franck, in: Schwartmann/Jaspers/Thüsing/Kugelmann, DS-GVO/ BDSG, Art. 33 Rn. 98.
[73] Gabel, in: Taeger/Gabel, BDSG, 2. Aufl., 2013, § 42a Rn. 30; Franck, in: Schwartmann/Jaspers/Thüsing, DS-GVO/BDSG, Art. 33 DS-GVO, Rn. 98.
[74] LfDI Baden-Württemberg, 34. TB 2018 v. 4.2.2019, S. 17. Siehe auch Brink, in: Wolff/Brink, BeckOK Datenschutzrecht, Art. 33 Rn. 42, 45.
[75] https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-sein-erstes-bussgeld-in-deutschland-nach-der-dsgvo/. Es ist allerdings nicht bekannt, ob die Meldung form- und fristgerecht erfolgte und dadurch das Privileg des Verwendungsverbots griff.
[76] 33. TB 2016/2017 des LfDI Baden-Württemberg, S. 17.
[77]Https://www.internetworld.de/online-marketing/DS-GVO/DS-GVO-problematik-meldepflicht-versus-bussgeld-2149885.html. Ebenso der frühere Berliner Beauftragte für Datenschutz und Informationsfreiheit Dix, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 33 Rn. 25.
[78] BlnDI, Jahresbericht 2018, S. 24.
[79] HmbBfDI, 27. TB 2018, S. 52.
[80] 47. TB des HBDI, S. 178.
[81] ThLfDI, Pressemitteilung vom 23.8.2019, https://www.tlfdi.de/mam/tlfdi/presse/190823_presseinfo.pdf.
[82] LfD LSA, Online-Meldeformular, https://datenschutz.sachsen-anhalt.de/service/online-formulare/.
[83] Laue, in: Laue/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, § 7 Rn. 40.