DSGVO Update 3.0 am 03.02.2020: Der richtige Umgang mit Datenpannen / Bußgeldpraxis
DSGVO Update 3.0 am 3. Februar 2020
Auf unserer diesjährigen DSGVO-Update-Veranstaltung referierten Dr. Réne Meis von der Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI NRW) und Prof. Dr. Volker Lüdemann vom Niedersächsischen Datenschutzzentrum der Hochschule Osnabrück zum Thema „Datenpannen und Bußgeldpraxis“. Zunächst gab Prof. Lüdemann wichtige Hinweise, was aus Unternehmenssicht im Falle einer Datenpanne unbedingt beachtet werden solle. Er zeigte dabei insbesondere zahlreiche Stellschrauben, welche Unternehmen im Falle einer Datenpanne zu ihren Gunsten nutzen könnten. Um Beispiele zu nennen: Zeitpunkt der Kenntniserlangung der Datenpanne, Höhe des Risikos für die Rechte und Freiheiten natürlicher Personen sowie die Berechnung der 72-Stunden-Frist. Mit entsprechender juristischer Unterstützung käme man nach sorgfältiger Prüfung einer Datenpanne häufig zum Ergebnis, dass überhaupt keine Meldepflicht bestehe.
Dr. Réne Meis gab anschließend Einblicke in die Praxis des LDI NRW im Umgang mit Datenpannen. Mit seinem Vorredner war er sich einig: Es sind ausschließlich solche Datenpannen der Aufsichtsbehörde zu melden, die voraussichtlich zu einem mittleren oder hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen. Allein im Jahr 2019 gingen 2.227 Meldungen von Datenpannen bei der LDI NRW ein. Eine Zahl, die im Verhältnis zur personellen Besetzung der LDI von etwa 60 Mitarbeitern, die große Herausforderung der Behörde zeigt. Insofern ist die Meldung von „Bagatelldatenpannen“ weder im Interesse der LDI NRW noch im Interesse des Datenschutzes. Wann das Risiko für die Rechte und Freiheiten natürlicher Personen so hoch ist, dass eine Meldung alternativlos ist, ist allein durch die verantwortlichen Unternehmen abzuwägen.
Frist zur Meldung von Datenpannen
Die Frage „Wie lange dauern 72 Stunden“ wurde von den Rednern unterschiedlich beantwortet. Nach Art. 33 Abs. 1 DSGVO sind Verantwortliche verpflichtet, meldepflichtige Datenpannen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden. Doch läuft die Frist auch außerhalb der üblichen Geschäftszeiten, am Wochenende und an Feiertagen?
Die Antwort ist nach Ansicht des LDI NRW eindeutig: Die Frist wird durch Wochenenden, Feiertage etc. nicht verlängert. Um die Auswirkungen zu verdeutlichen, wählte Dr. Meis folgendes Beispiel: Werde dem Verantwortlichen am 9. April 2020 um 17.44 Uhr (Gründonnerstag) eine Datenpanne bekannt, so ende die Frist am 12.04.2020 um 18.00 Uhr (Ostermontag).
Prof. Dr. Lüdemann teilte diese Ansicht nicht. Vielmehr verwies er auf eine europäische Fristenverordnung (VO (EWG, EURATOM) Nr. 1182/71 des Rates v. 3.6.1971 zur Festlegung für die Fristen, Daten und Termine). Aufgrund der Geltung der Verordnung seien Wochenenden in jedem Fall zu berücksichtigen (Beispiel: Datenpanne wird an einem Freitag um 16.15 Uhr bekannt - Fristende am darauffolgenden Dienstag um 17.00 Uhr).
Bußgeldkonzept der deutschen Aufsichtsbehörden
Kritik übte Prof. Dr. Lüdemann am Bußgeldkonzept der deutschen Aufsichtsbehörden. Dieses knüpfe bei der Berechnung des Bußgelds maßgeblich an den Unternehmensumsatz an. Der Umsatz werde in Art. 83 Abs. 2 S. 2 DSGVO jedoch gerade nicht als Berechnungskriterium herangezogen. Ausführlich haben wir diese Thematik in unserem Blogbeitrag vom 24.01.2020 beschrieben.
Fazit
Unternehmen können durch die Einrichtung eines Datenschutzmanagementsystems bereits im Vorfeld Datenpannen weitestgehend vermeiden. Das Risiko, dass Daten versehentlich gelöscht, unbefugt offengelegt oder Dritten ungewollt zur Verfügung gestellt werden, lässt sich in der Praxis nicht gänzlich ausschließen. Im Falle einer Datenpanne sollte im Unternehmen ein Notfallplan existieren. Mit entsprechender juristischer Unterstützung kann nach Prüfung im Einzelfall eine Meldepflicht häufig verneint werden.
Sie interessiert das Thema und wünschen nähere Informationen?
Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber