Datenpanne im Gremium – was tun?

03. Mai 2022

Eine Datenpanne ist in der Regel der Aufsichtsbehörde zu melden. Das obliegt dem Arbeitgeber als Verantwortlichem. Warum auch Betriebs- und Personalrat auf eine Datenpanne vorbereitet sein müssen, lesen Sie hier.

Der Arbeitgeber ist verantwortlich für den Datenschutz, das bedeutet: Er muss rechtlich dafür einstehen. Allerdings sind Betriebs- und Personalräte zugleich selbst verantwortlich für die Gestaltung und Umsetzung des Datenschutzes in ihrem Bereich. Was ist also zu tun, wenn es zu einer meldepflichtigen Datenpanne im Gremium kommt?

Was ist eine Datenpanne?

Die gesetzlichen Anforderungen bei Datenpannen sind in der Datenschutz-Grundverordnung (DSGVO) in den Artikeln 33 und 34 geregelt. Obwohl viele Aspekte recht genau beschrieben sind, fehlt eine Definition dessen, was eine meldepflichtige Datenpanne ist. Hilfreich ist da aber eine kurze Definition des Landesdatenschutzbeauftragten Niedersachsen: »In der Datenschutz-Grundverordnung werden alle Fälle von Datenschutzverstößen unter dem Begriff der ›Verletzung des Schutzes personenbezogener Daten‹ zusammengefasst. Eine solche Verletzung – auch Datenpanne genannt – liegt vor, wenn es zu einem Fall kommt, der

zur Vernichtung, zum Verlust oder zur Veränderung (egal, ob unbeabsichtigt oder unrechtmäßig) oder

zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.«

Entsteht durch eine Datenpanne ein Risiko für die Rechte und Freiheiten natürlicher Personen, muss der Verantwortliche die Datenpanne gemäß Art. 33 DSGVO der zuständigen Aufsichtsbehörde melden – und zwar unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde. Nur wenn kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, kann eine Meldung unterbleiben. Es ist allerdings nicht ganz einfach zu beurteilen, ob ein solches Risiko besteht und wie hoch es ist. Unerheblich ist dafür jedenfalls, wie die Datenpanne entstanden ist (z. B. durch einen Hackerangriff oder durch ein technisches oder menschliches Versagen). Es kommt nur darauf an, dass es eine Verletzung personenbezogener Daten gegeben hat, die zu einem Schaden geführt hat oder zu einem Schaden führen kann. Weiterführende Hinweise zu dieser Risikoeinschätzung bietet das Kurzpapier 18 »Risiko für die Rechte und Freiheiten natürlicher Personen« der Datenschutzkonferenz.

Ein Beispiel: Ein USB-Stick mit personenbezogenen Daten (Namen, Adressen und weiteren firmeninternen Informationen) ist verloren gegangen. Ist dieser Stick unverschlüsselt, muss eine Meldung erfolgen. Ist er verschlüsselt, ist davon auszugehen, dass das Risiko für die betroffenen Personen gering ist und eine Meldung an die Aufsichtsbehörde nicht erforderlich ist.

Wie sieht eine Meldung aus?

Die Meldung einer Datenpanne muss nach Art. 33 Abs. 3 DSGVO zumindest folgende Informationen enthalten:

Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten (Was ist genau passiert, z. B. Abfluss von Bankdaten), so weit möglich mit Angabe der Kategorien der betroffenen Personengruppen (Beschäftigte, Kunden …);
Betroffene Datenkategorien (Name, Bankdaten, Tätigkeitsbereiche, Qualifikationen, gesundheitliche Daten …);
Ungefähre Anzahl der betroffenen Personen und der Datensätze;
Namen und Kontaktdaten der oder des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
Beschreibung der wahrscheinlichen Folgen;
Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten;
Gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Benötigt der Verantwortliche mehr als 72 Stunden für die Meldung, muss er auch diese Verzögerung gegenüber der Aufsichtsbehörde schriftlich begründen. Ist es ihm nicht möglich, alle oben genannten Angaben direkt zu tätigen, kann der Verantwortliche die Informationen auch ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

Die Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen der DSGVO, insbesondere des Art. 33 DSGVO ermöglichen. Es reicht daher beispielsweise bei der Art der Verletzung von personenbezogenen Daten nicht aus, nur »Vernichtung, Veränderung oder unbefugte Offenlegung« zu schreiben, sondern es müssen detaillierte Angaben gemacht werden.

Benachrichtigung der Betroffenen

Besteht ein hohes Risiko für die persönlichen Rechte und Freiheiten der von der Datenpanne betroffenen Personen, muss der Verantwortliche auch diese persönlich benachrichtigen, vgl. Art. 34 Abs. 1 DSGVO. (...)

Datenpanne im Gremium

Der Verantwortliche hat kaum Gelegenheit, von einer Datenschutzpanne im Gremium zu erfahren – es sei denn, der Betriebs- oder Personalrat teilt ihm diese mit. Eine solche Panne zu verschweigen ist aber allein deshalb schon kein gangbarer Weg, da sich Betriebs- und Personalräte an die DSGVO halten müssen und zudem Vorbild beim Datenschutz in Betrieb oder Verwaltung sein sollten – ganz zu schweigen von der Verpflichtung zur vertrauensvollen Zusammenarbeit mit dem Arbeitgeber.

Das Gremium sollte idealerweise auf eine Datenpanne vorbereitet sein und sich nicht erst dann fragen, was zu tun ist, wenn es zu spät ist – denn das wird es auch zeitlich ganz schön knapp mit der Meldefrist von 72 Stunden. (...)