Guidelines für die Meldung von Datenschutzverletzungen

Inhalt

Die Guidelines on Examples regarding Data Breach Notification (Version 1.0) beinhalten fiktive Szenarien von Datenschutzverletzungen. Der Entwurf schildert folglich mögliche Praxisfälle und evaluiert, ob die Faktenlage im individuellen Fall eine Meldung bei der Datenschutzbehörde erfordert oder nicht.

Der EDSA behandelt zunächst anschaulich Beispielsfälle zu dem Befall von Computern mit Ransomware (Seite 7 ff.). Dabei handelt es sich um eine Form von Malware, die auf befallenen Geräten Dokumente und Daten verschlüsselt. Für die Freigabe dieser Dateien verlangen Erpresser häufig ein nicht unerhebliches Lösegeld. Den dargestellten Szenarien lässt sich entnehmen, dass die Notwendigkeit einer Meldung davon abhängt, inwieweit ein angemessenes Back-Up der betroffenen Dateien besteht und ob eine unbefugte Verarbeitung derselben (z.B. Datenabfluss) stattgefunden hat.

Weitere Fallbeispiele beschäftigen sich zum Beispiel mit Problematiken wie

  • dem Abgriff von Passwörtern in einem „gehashten“ (von Hackern zum Zweck des Datenabgriffs nachgebildeten) Format einer Website (S. 16),
  • der Weitergabe von Daten durch ehemalige Beschäftigte (S. 19 f.),
  • gestohlenen Datenträgern und Papierdokumenten (S. 22 ff.) sowie
  • dem Identitätsdiebstahl (S. 30).

Auch die in der Praxis häufig vorkommende fehlerhafte Versendung von Briefpost und E-Mails an unbefugte Dritte (S. 26 ff.) wird im Richtlinienentwurf behandelt.

Bewertung

Das Dokument nimmt eine Risikobeurteilung der behandelten Szenarien vor und erleichtert Unternehmen und öffentlichen Stellen die Entscheidung, ob ein spezifischer Datenschutzverstoß der Aufsichtsbehörde zu melden ist. Auch wenn es sich bei den Richtlinien vorerst nur um einen Entwurf handelt, ist die Veröffentlichung daher begrüßenswert. Eine Ausfertigung in deutscher Sprache existiert bisher nicht, so dass insoweit ergänzend auf ältere Zusammenstellungen deutscher Datenschutzbehörden – wie auf ein entsprechendes Dokument des Hamburger Datenschutzbeauftragten aus November 2018 – zu verweisen ist.

Kanzleiexpertise

Die Kanzlei Tröber kann Sie gerne beim Umgang mit Datenpannen unterstützt. Welche Leistungen wir - von der Prävention bis zum Meldeverfahren - anbieten, haben wir im Artikel "Der richtige Umgang mit Datenpannen" für Sie zusammengestellt.

Sie interessiert das Thema und wünschen nähere Informationen?

Sie hätten gern ein persönliches Beratungsgespräch zu diesem Thema?
Wir stehen Ihnen gerne zur Verfügung und freuen uns über Ihre Kontaktaufnahme.
E-Mail: Rechtsanwalt Tröber