Art.-29-Datenschutzgruppe: Leit­fa­den zu Mel­dun­gen von Daten­si­cher­heits­ver­let­zun­gen (“Bre­ach Notification”)

Die Art.-29-Datenschutzgruppe hat einen auf den 3. Okto­ber 2017 datier­ten Ent­wurf eines Leit­fa­dens zu Mel­dun­gen von Daten­si­cher­heits­ver­let­zun­gen ver­öf­fent­licht (“Gui­de­li­nes on Per­so­nal data bre­ach noti­fi­ca­ti­on under Regu­la­ti­on 2016/679″ [PDF]). Sie äussert sich dar­in u.a. zu fol­gen­den Themen:

  • Legal­de­fi­ni­ti­on der “Daten­si­cher­heits­ver­let­zung”
  • RIsi­ko­ein­schät­zung: Metho­dik, rele­van­te Risi­ken und Gewich­tung (aber rela­tiv knapp)
  • Aus­lö­sung der Mel­de­pflicht gegen­über der zustän­di­gen Behör­de (unver­züg­lich, nach­dem eine Ver­let­zung “bekannt” ist; zuläs­si­ge Vor­ab­klä­run­gen vor einer Meldung)
  • Pflich­ten des Auftragsverarbeiters
  • Gegen­stand der Mel­de­pflicht; Ablauf; gestuf­te und gebün­del­te Mel­dun­gen; Nachmeldungen
  • Zustän­dig­keit der Behör­den; Leitbehörde
  • Ent­fal­len einer Mel­de­pflicht, wenn Risi­ken fehlen
  • Mit­tei­lun­gen gegen­über den Betrof­fe­nen; “hohe” Risi­ken; Art und Wei­se der Meldung
  • Weg­fal­len der Mitteilungspflicht

Der Leit­fa­den ent­hält diver­se Bei­spie­le, u.a. für “hohe Risi­ken”, die zu einer Mit­tei­lungs­pflicht gegen­über betrof­fe­nen Per­so­nen füh­ren kön­nen, etwa folgende:

  • Dieb­stahl von Log­in-Daten und Kauf­hi­sto­ri­en von einem inter­na­tio­na­len Online-Anbieter
  • Infol­ge eines Cyber-Angriffs kann ein Spi­tal für 30 Stun­den nicht mehr auf Gesund­heits­da­ten zugreifen
  • Per­so­nen­da­ten über 5000 Stu­die­ren­de wer­den an die fal­sche Mai­ling­li­sten mit 1000+ Emp­fän­gern geschickt
  • Mar­ke­ting-E-Mails wer­den so ver­sandt, dass die Emp­fän­ger alle ande­ren Emp­fän­ger erken­nen können

Der Leit­fa­den fasst das Vor­ge­hen bei Daten­si­cher­heits­ver­let­zun­gen sodann wie folgt zusammen:

Pro memo­ria: Der Ent­wurf des DSG ent­hält eben­falls die Pflicht zur Mel­dung bzw. Mit­tei­lung von Daten­schutz­ver­let­zun­gen (Art. 22 E‑DSG). Abwei­chun­gen zur DSGVO bestehen ins­be­son­de­re wie folgt:

  • Die Mel­de­pflicht gegen­über dem EDÖB ent­steht erst bei “hohen” Risi­ken (anders als bei der DSGVO besteht also nicht bei jedem ernst­haf­ten Risi­ko eine Meldepflicht);
  • es besteht kei­ne beson­de­re Begrün­dungs­pflicht, wenn eine Mel­dung erst nach 72 Stun­den seit Bekannt­wer­den erfolgt;
  • eine Mit­tei­lungs­pflicht gegen­über den betrof­fe­nen Per­so­nen wird nur aus­ge­löst, wenn hohe Risi­ken bestehen und die Mit­tei­lung zusätz­lich zum Schutz der Betrof­fe­nen erfor­der­lich ist;
  • die Aus­nah­men von der Mit­tei­lungs­pflicht sind anders geregelt;
  • es wird nicht aus­drück­lich eine Doku­men­ta­ti­on der Ver­let­zun­gen verlangt;
  • bei Ver­let­zung sind kei­ne Sank­tio­nen vorgesehen.