Vorsichtshalber melden oder abwarten?

Die Datenschutzgrundverordnung ist hier eigentlich ganz klar, Art. 33 Abs. 1 DSGVO:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde…

Als meldepflichtigen Vorfall sieht die Hamburger Aufsichtsbehörde den Fall an, wenn ein unberechtigter Dritter Zugriff auf das Konto/Kunden-Login/den Account eines Betroffenen erlangt, z.B. weil der Kunde falsch aufgebaut wurde oder auf Grund eines technischen Fehlers: DataBreachVermerkHHAufsichtsbehörde. Entscheidend ist für die Meldepflicht, dass der Zugriff tatsächlich erfolgte.

Was ist aber, wenn innerhalb der 72 Stunden nicht festgestellt werden kann, ob ein Zugriff erfolgte und nur die theoretische Möglichkeit bestand? Diesen Fall kennt das Gesetz so nicht. Soll man melden, um die 72-Stunden-Frist zu wahren? Oder soll man bis dahin warten, bis geklärt ist, ob überhaupt Jemand zugegriffen hat. Für Letzteres könnte die Argumentation sprechen, dass in dem Fall noch kein „Bekanntwerden eines Vorfalls“ vorliegt. Aber die Pflicht zur Meldung bezieht sich nicht auf das Bekanntwerden, sondern auf die Frage, ob ein Risiko für die Freiheiten und Rechte der Betroffenen zu bejahen ist. Also ist der erste Weg der wohl richtige Weg. Wenn sich dann herausstellt, dass keiner das Konto eingesehen hat, dann kann man die Meldung zurückziehen. Das sieht die DSGVO zwar auch nicht vor, aber kommt dem Prinzip der DSGVO am Nächsten. Denn insoweit soll Art. 33 DSGVO den Aufsichtsbehörden einen Überblick über Datenschutzverstöße aufzeigen und wie damit umgegangen wird in den Unternehmen.

Stephanie Iraschko-Luscher

29.11.2019

MGDS – Ihre Unternehmensberatung für Datenschutz