Kurzbeitrag : Praxisfälle zum Datenschutzrecht XXXVII: Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen : aus der RDV 6/2025, Seite 318 bis 323

II. Musterlösung

1. Zweckbestimmung von Art. 33 f. DS‑GVO

Mit den Informationspflichten bei Datenschutzverletzungen aus Art. 33 f. DS‑GVO soll einerseits Transparenz bezüglich stattgefundener Datenschutzverletzungen geschaffen werden und es andererseits den Datenschutzbehörden und betroffenen Personen erleichtert werden, aus der Datenschutzverletzung resultierende Folgeschäden zu vermeiden bzw. zu minimieren.^[2] Nach ErwG 85 DS‑GVO kann eine Verletzung des Schutzes personenbezogener Daten, sofern auf diese nicht rechtzeitig und angemessen reagiert wird, einen physischen, materiellen oder immateriellen Schaden für die betroffene Person nach sich ziehen. Der zitierte ErwG nennt auch Beispiele für mögliche entsprechende Schäden, nämlich den Verlust der Kontrolle über die personenbezogenen Daten oder die Einschränkung der Rechte als betroffene Person, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Über die Verpflichtung des Verantwortlichen, den Vorfall nach außen transparent zu machen, soll die betroffene Person in die Lage versetzt werden, Schaden von sich abzuwenden. [3] Ausweislich ErwG 86 DS‑GVO soll die betroffene Person „die erforderlichen Vorkehrungen“ treffen können, die sich aus dem jeweiligen Vorfall ergeben.

2. Anforderungen an die Meldepflicht gegenüber der Datenschutzbehörde und die Pflicht zur Benachrichtigung der betroffenen Personen

a) Vorliegen einer Datenschutzverletzung als Anknüpfungspunkt für beide Pflichten

Sowohl die Meldepflicht gegenüber der Behörde (Art.  33 DS‑GVO) als auch die Pflicht zur Benachrichtigung der betroffenen Person (Art. 34 DS‑GVO) verlangen als Voraussetzung für ihr Eingreifen das Vorliegen einer Datenschutzverletzung. Was als Datenschutzverletzung i.S.v. Art. 33 f. DS‑GVO anzusehen ist, ergibt sich aus der Legaldefinition in Art.  4 Nr. 12 DS‑GVO. Danach bezeichnet der Ausdruck „Verletzung des Schutzes personenbezogener Daten“ i.S.d. Verordnung „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“

Grundvoraussetzung für das Vorliegen einer Datenschutzverletzung i.S.v. Art. 33 f. DS‑GVO ist nach der Legaldefinition also das Vorliegen einer „Verletzung der Sicherheit“. Allein der Umstand, dass personenbezogene Daten rechtswidrig verarbeitet wurden, vermag damit die Verpflichtungen aus Art. 33 f. DS‑GVO nicht auszulösen.^[4] Entsprechend der Dreiteilung im Bereich der Informationssicherheit nimmt Art.  4 Nr. 12 DS‑GVO stattdessen verschiedene Arten von Sicherheitsverletzungen in Bezug. Dabei werden mit der Vernichtung, dem Verlust oder der Veränderung personenbezogener Daten Verletzungen des Integritäts- bzw. Verfügbarkeitsschutzes genannt und mit der unberechtigten Kenntnisnahme personenbezogener Daten Verletzungen der Vertraulichkeit.^[5] Das Risiko einer unberechtigten Kenntnisnahme kann sich dabei nach Art. 4 Nr. 12 DS‑GVO konkret durch die unbefugte Offenlegung von oder den unbefugten Zugang zu personenbezogenen Daten verwirklichen.

Mit Blick auf die hier zu beurteilenden drei Vorfälle bei S kann zunächst festgestellt werden, dass in jedem Fall personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS‑GVO betroffen sind: Im ersten Fall sind es die Kundendaten derjenigen Personen, welche bei S Schuhe bestellt haben, im dritten Fall die Kontaktdaten der Vertriebler/-innen, mit denen E als Einkäufer von S zusammenarbeitet. Zwar sind die Kontaktdaten der Vertriebler/-innen im Zusammenhang mit deren beruflicher Tätigkeit angefallen, so dass es sich um sog. „B2B“-Daten handelt. Auch „B2B“-Informationen unterfallen aber, solange sie sich auf eine natürliche Person beziehen, grundsätzlich der DS‑GVO. Auch die weitergeleiteten E-Mails im zweiten Fall werden regelmäßig Informationen enthalten, die als personenbezogene Daten anzusehen sind, wie z.B. Kundennummern, Empfänger-E-Mail-Adressen, Informationen zu den erworbenen Art.n und zum zahlenden Gesamtpreis. Angesichts der von den Angreifern vorgenommenen Filterung werden von der Weiterleitung vor allem von S per Mail versandte Rechnungen betroffen sein. Rechnungen müssen nach den steuerrechtlichen Vorgaben den vollständigen Namen des Leistungsempfängers und seine Anschrift enthalten.^[6] Informationen in diesen E-Mails, die sich individuell auf den jeweiligen Adressaten bzw. die jeweilige Adressatin beziehen, haben daher insofern ohne Weiteres Personenbezug.

Ebenso ist mit Bezug auf alle drei Sachverhalte grundsätzlich eine Verletzung der Datensicherheit anzunehmen: Im ersten Fall hat, wenn auch nur für einige Stunden, eine Beeinträchtigung des Schutzziels der Verfügbarkeit der Daten stattgefunden. Im zweiten Fall ist es zu einem unbefugten Zugang zu den personenbezogenen Daten gekommen, also einer Verletzung der Vertraulichkeit. Im dritten Fall ist ebenfalls eine Verletzung der Vertraulichkeit anzunehmen, auch wenn nicht positiv festgestellt werden kann, dass die auf dem Laptop gespeicherten Kontaktdaten von Dritten zur Kenntnis genommen worden sind. Gehen mobile Datenträger ohne entsprechenden Schutz im öffentlichen Raum verloren, spricht eine so hohe Wahrscheinlichkeit für einen unbefugten Datenzugang, dass bei Verneinung der Meldepflicht der gesetzgeberische Zweck der Transparenzpflichten mit Blick auf Datenschutzverletzungen verfehlt würde. Mit Blick auf den Ransomewareangriff ist eine Verletzung der Vertraulichkeit hingegen abzulehnen, denn zwar konnten Daten ausgeleitet werden durch die Angreifer, aber diese waren durch S nach dem Stand der Technik verschlüsselt und der Schlüssel wurde durch den Angriff nicht beeinträchtigt

Nach herrschender Ansicht, der vorliegend gefolgt wird, ist eine Meldepflicht aus Art. 33 DS‑GVO abzulehnen, sofern der Verantwortliche eine Verschlüsselung der betroffenen Daten nach dem Stand der Technik nachweisen kann.^[7] In diesem Fall sind schlicht die tatbestandlichen Voraussetzungen der Meldepflicht nicht gegeben.^[8]Nach dem EDSA soll demgegenüber auch eine Verletzung der Vertraulichkeit personenbezogener Daten, die durch einen dem Stand der Technik entsprechenden Algorithmus verschlüsselt wurden, eine Datenschutzverletzung darstellen mit der Folge, dass im Grundsatz eine Meldung gegenüber der zuständigen Behörde erfolgen muss.^[9] Die Meldepflicht soll nach dem EDSA in entsprechenden Konstellationen nur im Einzelfall entfallen, wenn voraussichtlich nicht mit einem Risiko für die Rechte und Freiheiten der betroffenen Person zu rechnen ist.^[10]

b) Bestehen eines Risikos für Rechte und Freiheiten natürlicher Personen

aa) Unterschiedliche Anforderungen im Rahmen von Art. 33 bzw. 34 DS‑GVO

Während Art.  33 DS‑GVO für den Regelfall davon ausgeht, dass bei Vorliegen einer Datenschutzverletzung der Verantwortliche meldepflichtig ist gegenüber der zuständigen Aufsichtsbehörde und diese Verpflichtung nur im Ausnahmefall entfallen lässt („es sei denn …“), nämlich, wenn der Vorfall im konkreten Fall voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, entsteht die Verpflichtung zur Benachrichtigung der betroffenen Person gem. Art. 34 DS‑GVO nur, sofern sich nach entsprechender Prognose voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen ergibt.

Art.  33 und Art.  34 DS‑GVO liegen damit unterschiedliche Regelungsmechanismen zugrunde:^[11] Während die Risikobetrachtung bei Art. 33 DS‑GVO die grundsätzliche bestehende Meldepflicht ausnahmsweise entfallen lässt, ist die Risikobewertung im Rahmen von Art. 34 DS‑GVO Voraussetzung für die Beantwortung der Frage, ob überhaupt eine Benachrichtigungspflicht entsteht.

Zugleich stellen Art.  33 und 34 DS‑GVO jeweils unterschiedliche Anforderungen an den Grad des drohenden Risikos: Im Rahmen von Art.  33 DS‑GVO begründet jedes nicht auszuschließende Risiko eine Meldepflicht gegenüber der Behörde, während eine Benachrichtigungspflicht nach Art. 34 DS‑GVO nur entsteht, wenn sich voraussichtlich ein hohes Risiko für die betroffene Person ergibt. Gemäß den Vorgaben der DS‑GVO ist im Fall einer Datenschutzverletzung die Meldung gegenüber der Aufsichtsbehörde damit der Regelfall und ausgeschlossen werden von der Information derselben lediglich Bagatellfälle.^[12] Zu berücksichtigen sind in diesem Zusammenhang auch die praktischen Schwierigkeiten, welche mit dem Führen eines „Negativbeweises“ i.S.v. Art. 33 Abs. 1 S. 1 DS‑GVO verbunden sind, sowie der Umstand, dass sich resultierende Risiken eines Vorfalls zu Beginn oft nicht abschließend bewerten lassen.^[13]

Es bedarf jeweils einer Prognoseentscheidung mit Blick auf die Risiken, die aus dem konkreten Vorfall resultieren, und das Risiko der Fehlprognose liegt beim Verantwortlichen.^[14] Der EDSA rät insofern den Verantwortlichen, in Zweifelsfällen eine Meldung vorzunehmen.^[15]

bb) Kriterien im Rahmen der Risikoprognose

Aus Sicht des EDSA sollen bei der Risikobewertung insbesondere folgende Faktoren einbezogen werden:^[16] Art der Datenschutzverletzung, Art/Sensibilität/Umfang der personenbezogenen Daten, Identifizierbarkeit betroffener Personen, Schwere der Folgen für die betroffenen Personen, besondere Eigenschaften der betroffenen Person oder des Verantwortlichen sowie Zahl der betroffenen Personen. Entscheidend aus Perspektive des EDSA ist die Schwere der möglichen Folgen für die Rechte und Freiheiten der betroffenen Personen in Verbindung mit der Eintrittswahrscheinlichkeit ebendieser.^[17] Das Risiko steigt einerseits mit der zunehmenden Schwere potenzieller Folgen und andererseits mit der steigenden Wahrscheinlichkeit, dass bestimmte Folgen sich realisieren.^[18]

Hinsichtlich des konkreten Missbrauchsrisikos mit Blick auf die betroffenen Daten spielt z.B. eine Rolle, ob es sich um einen vorsätzlichen Angriff auf die Systeme des Verantwortlichen handelt oder etwa eine versehentliche Fehlübermittlung personenbezogener Informationen, auf die ein vertrauenswürdiger falscher Empfänger selbst aufmerksam gemacht hat.

cc) Risikoprognose in den hier zu beurteilenden Fällen

In der ersten Konstellation des Sachverhalts liegt nach hier vertretener Ansicht keine Beeinträchtigung der Vertraulichkeit vor, sondern lediglich eine kurze Beeinträchtigung der Verfügbarkeit der Daten für wenige Stunden, die aber laut den Informationen aus dem Sachverhalt keine spürbaren Auswirkungen für die betroffenen Kunden und Kundinnen von S hatte. Ein Risiko für die Rechte und Freiheiten betroffener Personen ist damit insoweit abzulehnen.^[19]

In der zweiten Konstellation ist von einem hohen Risiko auszugehen, denn es drohen finanzielle Schäden für die betroffenen Personen, wenn auf das Konto der Angreifer gezahlt wird.^[20] Die Benachrichtigungspflicht bezieht sich in diesem Fall auch auf diejenigen Personen, die bereits Zahlungen auf das falsche Konto geleistet haben. Zwar ist insofern ein Schaden bereits eingetreten. Nur die Information nach Art. 34 DS‑GVO ermöglicht den betroffenen Personen aber, die Zusammenhänge vollständig nachzuvollziehen, die zu dem Schaden geführt haben und ggf. einen Schadenersatzanspruch gegen S geltend zu machen, mit dem gegenüber der fortbestehenden Zahlungspflicht im Verhältnis zu S aufgerechnet werden kann.

Mit Bezug auf die letzte Konstellation des Sachverhalts kann jedenfalls ein hohes Risiko für die betroffenen Personen abgelehnt werden. Denn die auf dem verlorenen Laptop gespeicherten Kontaktdaten der Vertriebler/-innen sind ohnehin typischerweise öffentlich verfügbar, z.B. auf der Website von deren Arbeitgebern, oder jedenfalls ohne Weiteres zu erlangen, z.B. über die Telefonzentralen der betreffenden Unternehmen. Ohne angemessene Erreichbarkeit können Vertriebler/-innen ihren Job nicht sachgemäß ausüben. Auch das konkrete Missbrauchsrisiko mit Blick auf die Daten erscheint im zu beurteilenden Fall gering, denn es handelt sich nicht um einen vorsätzlichen Angriff auf die Datensicherheit von S, sondern um den versehentlichen Verlust eines Endgeräts. Es erscheint unwahrscheinlich, dass das Gerät ausgerechnet von einer Person gefunden wird, welche die, ohnedies wenig brisanten Daten missbräuchlich verwenden wird. Nach hier vertretener Ansicht erscheint es vertretbar, in der vorliegenden Konstellationen ein Risiko sogar gänzlich abzulehnen und damit auch die Meldepflicht nach Art. 33 DS‑GVO abzulehnen. Um auszuschließen, dass die Behörde die Sachlage anders beurteilt, kann es aber ggf. sinnvoll sein, vor dem Unterlassen der Meldung Rücksprache mit der zuständigen Behörde zu nehmen.

c) Bekanntwerden der Datenschutzverletzung als die Melde-/Benachrichtigungspflicht auslösender Moment sowie Zeitvorgaben an die Meldung bzw. Benachrichtigung

Ausgelöst werden die Pflichten nach Art. 33 f. DS‑GVO durch das „Bekanntwerden“ der den Tatbestand erfüllenden Datenschutzverletzung gegenüber dem Verantwortlichen. Mit Bekanntwerden des Vorfalls beginnt die 72-Stunden-Frist nach Art. 33 Abs. 1 S. 2 DS‑GVO sowie der für die Unverzüglichkeit der Benachrichtigung gem. Art. 34 Abs. 1 DS‑GVO maßgebliche Zeitlauf.

Eine positive Feststellung der Datenschutzverletzung ist nicht notwendig, um ein Bekanntwerden derselben anzunehmen, sondern es ist mit Blick auf den Sinn und Zweck der Transparenzpflichten bei Datenschutzverletzungen und einen Abgleich mit Art.  2 Abs.  2 VO (EU) Nr. 611/2013^[21] auch über Datenschutzvorfälle zu informieren, die aufgrund tatsächlicher Anhaltspunkte „mit hinreichender Gewissheit“ feststehen.^[22]

Bzgl. potenziell meldepflichtiger Vorfälle besteht eine Ermittlungspflicht des Verantwortlichen.^[23] Ein Entfallen der Pflicht aus Art.  34 DS‑GVO ist nur denkbar, wenn Informationen trotz größtmöglicher Bemühungen des Verantwortlichen fehlen. Die Verpflichtung zur Meldung gegenüber der Datenschutzaufsicht nach Art. 33 DS‑GVO dürfte regelmäßig nicht entfallen, sofern zwar Anhaltspunkte für einen Datenschutzvorfall bestehen, sich dieser aber trotz entsprechender Anstrengungen des Verantwortlichen weder verifizieren noch widerlegen lässt bzw. jedenfalls nicht im Detail aufgeklärt werden kann, was konkret passiert ist. Denn in diesen Fällen wird ein Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 33 Abs. 1 S. 1 DS‑GVO zumeist nicht sicher ausgeschlossen werden können.

d) Nichteingreifen einer Ausnahme aus Art. 34 Abs. 3 DS‑GVO

Mit Blick auf die Benachrichtigung gegenüber der betroffenen Person mit Bezug auf den Datenschutzvorfall ist außerdem zu prüfen, ob keiner der Ausnahmetatbestände nach Art. 34 Abs. 3 DS‑GVO erfüllt ist: Ist einer der dort genannten Tatbestände erfüllt, entfällt die Pflicht zur Benachrichtigung nach Art. 34 DS‑GVO bzw. die an sich notwendige individuelle Information darf im Fall von Abs. 3 lit. c) durch eine öffentliche Bekanntmachung ersetzt werden. Einer Benachrichtigung nach Art. 34 DS‑GVO bedarf es vorliegend nur in der zweiten Sachverhaltskonstellation. Mit Blick auf diese ist keine der Ausnahmen nach Art. 34 Abs. 3 DS‑GVO einschlägig.

3. Ergebnis

Im ersten Fall bedarf es weder einer Meldung gegenüber der Aufsichtsbehörde noch ist eine Benachrichtigung der von dem Vorfall betroffenen Personen nötig, da ein Risiko für die Rechte und Freiheiten betroffener Personen abzulehnen ist.

Im zweiten Fall bedarf es sowohl der Meldung nach Art. 33 DS‑GVO als auch der Benachrichtigung nach Art. 34 DS‑GVO. Die Meldung gegenüber der Behörde muss unverzüglich und möglichst binnen 72 Stunden, nachdem die Datenschutzverletzung bekannt wurde, erfolgen. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so muss ihr gem. Art. 33 Abs. 1 S. 2 DS‑GVO eine Begründung für die Verzögerung beigefügt werden. Die Benachrichtigung der betroffenen Person muss ebenfalls grundsätzlich unverzüglich vorgenommen werden, wobei ErwG 86 und 87 DS‑GVO nähere Anhaltspunkte bezüglich des konkreten Zeitpunkts der Benachrichtigung enthalten. Mit Blick auf Art. 34 DS‑GVO

gilt das Prinzip des „responsible disclosure“, wonach Sicherheitslücken erst publik gemacht werden müssen, nachdem Zeit bestand, den Fehler zu beheben und so Taten von Nachahmern auszuschließen.^[24]

Im dritten Fall ist eine Benachrichtigungspflicht nach Art.  34 DS‑GVO zu verneinen und auch die Ablehnung der Meldepflicht aus Art. 33 DS‑GVO ist zumindest vertretbar.

In allen drei Fällen bedarf es der Dokumentation der Vorfälle nach Maßgabe von Art. 33 Abs. 5 DS‑GVO. Die Dokumentation soll der Aufsichtsbehörde die Überprüfung der Einhaltung des Art. 33 DS‑GVO ermöglichen. Dies setzt voraus, dass gerade auch solche Datenschutzverletzungen dokumentiert werden, die aus Sicht des Verantwortlichen als nicht meldepflichtig anzusehen sind.^[25]

III. Ergänzende Hinweise

1. Veröffentlichungen des EDSA mit Blick auf Art. 33 f. DS‑GVO

Nach Art. 70 Abs. 1 S. 2 lit. h) DS‑GVO hat der EDSA die Kompetenz, Leitlinien, Empfehlungen und bewährte Verfahren mit Blick auf die Umstände zu erlassen, unter denen eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 34 Abs. 1 DS‑GVO zur Folge hat. In diesem Zusammenhang hat der EDSA zwei praxisrelevante Dokumente veröffentlicht, die sich mit der Interpretation von Art. 33 und 34 DS‑GVO befassen, nämlich

• die Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten, Vers. 2.0 (Stand: 28.03.2023) sowie
• die Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten, Vers. 2.0 (Stand: 14.12.2021).

Schwerpunkt der Leitlinien 01/2021 ist die Bewertung des Risikos für die betroffenen Personen im Falle von Datenschutzverletzungen.

2. Inhalt der Meldung bzw. Benachrichtigung

a) Meldung

Art.  33 Abs.  3 DS‑GVO macht Vorgaben zum Mindestinhalt der Meldung gegenüber der Aufsichtsbehörde, wonach diese mindestens folgende Informationen enthalten muss:

▪ eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen
Datensätze;
den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten sowie
eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Die Informationen sollen es der Datenschutzaufsichtsbehörde ermöglichen, die Auswirkungen der Datenschutzverletzung zu beurteilen und zu prüfen, ob vom Verantwortlichen alle gebotenen Maßnahmen ergriffen wurden, um Schaden von den betroffenen Personen abzuwenden bzw. den Schaden zumindest zu minimieren.^[26]

b) Benachrichtigung

Gem. Art. 34 Abs. 2 DS‑GVO hat die Benachrichtigung der betroffenen Person in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben und zumindest die in Art. 33 Abs. 3 lit. b), c) und d) DS‑GVO genannten Informationen und Maßnahmen zu enthalten, also

• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
• eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung sowie
• eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung und ggf. Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen.

Maßnahmen im letztgenannten Sinne sind insbes. Empfehlungen zur Risikoreduktion, die unmittelbar an die betroffene Person gerichtet sind, z.B. die Empfehlung zur Passwortrücksetzung, nachdem Zugangsinformationen kompromittiert
wurden, oder der Hinweis, auf verdächtige Kontoaktivitäten zu achten.

3. Datenschutzmanagement und -organisation

Um zu gewährleisten, dass die knappen zeitlichen Vorgaben für die Meldung bzw. Benachrichtigung nach Art. 33 f. DS‑GVO im Fall eines Datenschutzvorfalls eingehalten und Datenlecks und Sicherheitsrisiken so schnell wie möglich beseitigt werden können, ist es unabdingbar, dass bereits im Vorfeld entsprechende organisatorische Vorkehrungen zur Umsetzung der Regelungen getroffen werden. Erforderlich ist ein „Krisenreaktionsplan“, der folgende Aspekte bedenken sollte:^[27]

•  Formulierung von internen Richtlinien für den Fall einer Datenschutzverletzung,
• Implementierung eines geeigneten „Security Incident Response“-Systems,
• Implementierung eines geeigneten „Data Breach Notification Management“-Systems und
• Kontakt zur Aufsichtsbehörde (und ggf. Strafverfolgungsbehörde).

*RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. (2016). RA Dr. Johannes Zhou ist bei der Kanzlei FPS in Frankfurt a.M. im IT- und Datenschutzrecht tätig

_{[1] Sachverhalt angelehnt an EDSA, Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten, Vers. 2.0 (14.12.2021), Fälle 1, 11 und 18.}

_{[2] Gola/Heckmann/Reif, Datenschutz-Grundverordnung – Bundesdatenschutzgesetz, 3. Aufl. (2022), DS‑GVO Art. 33 Rn. 2}

_{[3] Gola/Heckmann/Reif, DS‑GVO Art. 33 Rn. 2.}

_{[4] Simitis/Hornung/Spiecker gen. Döhmann/Dix, Datenschutzrecht, 2. Aufl. (2025), DS‑GVO Art.  4 Nr. 12 Rn.  4; BeckOK DatenschutzR/Schild, 53. Ed. 01.08.2025, DS‑GVO Art. 4 Rn. 133.}

_{[5] Gola/Heckmann/Reif, DS‑GVO Art. 33 Rn. 30 ff.}

_{[6] Die Sonderregelungen für Kleinstbetragsrechnungen gelten nicht im Versandhandel.}

_{[7] Simitis/Hornung/Spiecker gen. Döhmann/Dix, DS‑GVO Art. 33 Rn. 13 (anders noch die VorAufl. dieser Kommentierung); Gola/Heckmann/Reif, DS‑GVO Art. 33 Rn. 5; Paal/Pauly/Martini, DS‑GVO BDSG, 3. Aufl. (2021), DS‑GVO Art. 33 Rn.  23; Sydow/Marsch DS‑GVO/BDSG/Wilhelm-Robertson, DS‑GVO | BDSG, 3. Aufl. (2022), DS‑GVO Art. 33 Rn. 9; Ehmann/Selmayr/Hladjk, DatenschutzGrundverordnung, 3. Aufl. (2024), DS‑GVO Art. 33 Rn. 13; HmbBfDI, Umgang mit Data-Breach-Meldungen nach Art. 33 DS‑GVO, Vers. 2 (Sept. 2023), S. 4; ebenso Leibold, ZD-Aktuell 2019, 06650, der aber rät, dennoch Rücksprache mit der zuständigen Behörde zu halten.}

_{[8] Gola/Heckmann/Reif, DS‑GVO Art. 33 Rn. 51.}

_{[9] EDSA, Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten, Vers. 2.0 (Stand: 28.03.2023), Rn. 76 ff.}

_{[10] EDSA, Leitlinien 9/2022 für die Meldung von Verletzungen des Schutzes personenbezogener Daten, Vers. 2.0 (Stand: 28.03.2023), Rn. 78.}

_{[11] Gola/Heckmann/Reif, DS‑GVO Art. 33 Rn. 46.}

_{[12] Gola/Heckmann/Reif, DS‑GVO Art. 33 Rn. 46.}

_{[13] Gola/Heckmann/Reif, DS‑GVO Art. 33 Rn. 46.}

_{[14] Gola/Heckmann/Reif, DS‑GVO Art. 33 Rn. 45; Simitis/Hornung/Spiecker gen. Döhmann/Dix, DS‑GVO Art. 33 Nr. 11}

_{[15] EDSA, Guidelines 9/2022 on personal data breach notification under GDPR, Vers. 2.0 (Stand: 28.03.2023), Rn.  119; ebenso Ehmann/Selmayr/Hladjk, DS‑GVO Art. 33 Rn. 13.}

_{[16] EDSA, Guidelines 9/2022 on personal data breach notification under GDPR, Vers. 2.0 (Stand: 28.03.2023), Rn. 119.}

_{[17] EDSA, Guidelines 9/2022 on personal data breach notification under GDPR, Vers. 2.0 (Stand: 28.03.2023), Rn. 119.}

_{[18] EDSA, Guidelines 9/2022 on personal data breach notification under GDPR, Vers. 2.0 (Stand: 28.3.2023), Rn. 119.}

_{[19] Vgl. auch EDSA, Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten, Vers. 2.0 (14.12.2021), Fall Nr. 1, wobei sich die Beurteilung des EDSA allerdings auf einen Fall ohne Exfiltration von Daten bezieht.}

_{[20] Vgl. auch EDSA, Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten, Vers. 2.0 (14.12.2021), Fall Nr. 18.}

_{[21] Die VO 611/2013/EU konkretisiert und harmonisiert die Benachrichtigungspflichten von Betreibern öffentlich zugänglicher elektronischer Kommunikationsdienste in Fällen der Verletzung des Schutzes personenbezogener Daten.}

_{[22] Gola/Heckmann/Reif, DS‑GVO Art. 33 Rn. 58; EDSA, Guidelines 9/2022 on personal data breach notification under GDPR, Vers. 2.0 (Stand: 28.03.2023), Rn. 31}

_{[23] EDSA, Guidelines 9/2022 on personal data breach notification under GDPR, Vers. 2.0 (Stand: 28.03.2023), Rn. 34}

_{[24] Gola/Heckmann/Reif, DS‑GVO Art. 34 Rn. 27.}

_{[25] Gola/Heckmann/Reif, DS‑GVO Art. 33 Rn. 72}

_{[26] Gola/Heckmann/Reif, DS‑GVO Art. 33 Rn. 63 f.}

_{[27] Franck, GDD-Ratgeber Datenpannen, 3. Aufl. (2021), S. 89 ff.; vgl. dort auch für weiterführende Informationen zum Thema „Krisenreaktionsplan“.}