Abo

Kurzbeitrag : Praxisfälle zum Datenschutzrecht III: Musterfalllösungen zu den Transparenzpflichten bei „Datenpannen“ : aus der RDV 1/2020, Seite 23 bis 26

Lesezeit 6 Min.

I. Sachverhalt

Jedes Jahr veranstalten Unternehmen und Behörden den „Girls‘ Day“, um jungen Mädchen die Breite des Berufswahlspektrums aufzuzeigen. Auch das Unternehmen U beteiligt sich und lädt 15 Mädchen per E-Mail zum „Girls‘ Day“ ein. Bei der Einladung via E-Mail wird versehentlich ein offener Verteiler gewählt, so dass die angeschriebenen Mädchen jeweils die E-Mail-Adressen aller anderen sehen können. Müssen die zuständige Datenschutzaufsichtsbehörde und/oder die betroffenen Personen informiert werden? Wie ist der Sachverhalt zu bewerten, wenn der offene Verteiler 15 Mitarbeiter betrifft, die zu einer Veranstaltung zum Betrieblichen Eingliederungsmanagement (BEM) eingeladen werden, weil ihnen nach den gesetzlichen Bestimmungen ein BEM anzubieten ist?

II. Musterfalllösung

1. Meldepflicht gegenüber der zuständigen Aufsichtsbehörde, Art. 33 DS-GVO

Eine Verpflichtung zur Meldung der Vorfälle gegenüber der Aufsichtsbehörde könnte sich aus Art. 33 Abs. 1 S. 1 DSGVO ergeben.

Nach Art. 33 Abs. 1 S. 1 DS-GVO hat der Verantwortliche Verletzungen des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Um die Verpflichtung aus Art. 33 Abs. 1 S. 1 DS-GVO bejahen zu können, müsste also zunächst eine „Verletzung des Schutzes personenbezogener Daten“ im Sinne der Vorschrift gegeben sein. Der Begriff der „Verletzung des Schutzes personenbezogener Daten“ ist in Art. 4 Nr. 12 DS-GVO legaldefiniert als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Mit der Verwendung des offenen E-Mail-Verteilers ist eine unbefugte Offenlegung von personenbezogenen Daten erfolgt, mithin liegt eine Verletzung des Schutzes personenbezogener Daten vor.

Im Falle des Vorliegens einer Datenschutzverletzung entfällt die Meldepflicht gegenüber der Aufsichtsbehörde lediglich dann, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Insofern bedarf es einer Prognoseentscheidung, für deren Richtigkeit der für die Datenverarbeitung Verantwortliche die Verantwortung trägt. Als potenzielle Risiken führt Erwägungsgrund 85 der DS-GVO beispielhaft u.a. physische, materielle oder immaterielle Schäden, Diskriminierung, Rufschädigung oder erhebliche wirtschaftliche oder gesellschaftliche Nachteile auf.

In Bezug auf das mögliche Risiko für die betroffenen Personen ist hinsichtlich der beiden Verteiler zu unterscheiden, denn diese betreffen unterschiedliche Kategorien von Daten. Die DS-GVO differenziert zwischen „gewöhnlichen“ personenbezogenen Daten einerseits sowie besonderen Kategorien personenbezogener Daten (Art. 9 DS-GVO) und Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO) andererseits.[1] Bei dem offenen Verteiler für die BEM-Veranstaltung werden mittelbar auch Gesundheitsinformationen und damit besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DS-GVO) offenbArt. Denn daraus, dass sich jemand auf dem Verteiler findet, kann der Schluss gezogen werden, dass er/sie die Voraussetzungen dafür erfüllt, ein BEM angeboten zu bekommen, er/sie also innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig war (§ 167 Abs. 2 SGB IX). Teilweise wird bei unbefugter Kenntnisnahme von Gesundheitsdaten per se davon ausgegangen, dass schwerwiegende Beeinträchtigungen für die betroffenen Personen drohen.[2] Unabhängig von dieser abstrakten Bewertung drohen im vorliegenden Fall den betroffenen Personen auch konkrete soziale und karrieretechnische Nachteile. So besteht die Gefahr, dass über den Gesundheitszustand der betroffenen Personen im Unternehmen getratscht und spekuliert wird. Auch ist nicht auszuschließen, dass diese aufgrund ihres vermeintlich instabilen Gesundheitszustandes bei Projekten, Beförderungen etc. nicht berücksichtigt werden. Insofern kann ein Risiko für die über den offenen Verteiler angeschriebenen Personen nicht von der Hand gewiesen werden.

Der offene Verteiler zum Girls’ Day ist demgegenüber deutlich weniger brisant. Es sind keine besonderen Kategorien personenbezogener Daten betroffen. Die Mädchen werden sich ohnehin alle kennenlernen und es ist nicht ausgeschlossen, dass es auch so zu einem Austausch der Kontaktdaten gekommen wäre bzw. sich die Mädchen bei Nachfrage mit einer entsprechenden Datenweitergabe zum Austausch innerhalb der Gruppe einverstanden erklärt hätten. Zwar kann nicht völlig ausgeschlossen werden, dass die E-Mail-Adressen aus dem Verteiler auch missbräuchlich verwendet werden, z.B. zum Mobbing. Allerdings verlangt Art. 33 DS-GVO für das Nichteingreifen der Meldepflicht auch nicht, dass das Risiko komplett ausgeschlossen sein muss. Rein theoretische Risiken, deren Eintritt respektive Verwirklichung in einer unbestimmten Zukunft liegen, brauchen nicht berücksichtigt werden.[3] Insofern erscheint es vertretbar, die Meldung gegenüber der Aufsichtsbehörde zu unterlassen. Sollen Risiken für den Verantwortlichen möglichst minimiert werden, empfiehlt sich allerdings die Meldung.

Der offene E-Mail-Verteiler bezüglich der BEM-Veranstaltung ist also der Aufsichtsbehörde zu melden. Ob der offene E-Mail-Verteiler zum Girls’ Day gemeldet wird oder nicht, ist nach Risikoaffinität des Verantwortlichen zu entscheiden. Auch wenn die Entscheidung dahingehend getroffen wird, dass keine Meldung gegenüber der Behörde erfolgen soll, bedarf es in jedem Fall einer Dokumentation der Datenschutzverletzung nach Art. 33 Abs. 5 DS-GVO.

2. Pflicht zur Benachrichtigung der betroffenen Personen, Art. 34 DS-GVO

Eine Verpflichtung zur Benachrichtigung der betroffenen Personen, also der Adressaten auf den offenen E-Mail-Verteilern, könnte sich aus Art. 34 Abs. 1 DS-GVO ergeben.

Nach Art. 34 Abs. 1 DS-GVO hat der Verantwortliche die betroffene Person unverzüglich von der Datenschutzverletzung zu informieren, sofern diese voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

Voraussetzung für die Verpflichtung aus Art. 34 DS-GVO ist zunächst das Vorliegen einer Datenschutzverletzung i.S.v. Art. 4 Nr. 12 DS-GVO. Eine solche wurde bereits bei der Prüfung von Art. 33 DS-GVO bejaht.

Im Verhältnis zur Meldepflicht aus Art. 33 DS-GVO gegenüber der Behörde sind die Voraussetzungen für die Benachrichtigung der betroffenen Personen über die Datenschutzpanne nach Art. 34 Abs. 1 DS-GVO allerdings erhöht. Erforderlich ist, dass die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Eine Begriffsdefinition des hohen Risikos gibt die DS-GVO nicht vor, jedoch kann ein hohes Risiko immer dann angenommen werden, wenn ein Schadenseintritt wahrscheinlich ist.[4] Droht ein schwerer Schaden, reicht eine niedrigere Eintrittswahrscheinlichkeit.[5]

Angesichts der besonderen Sensibilität der betroffenen personenbezogenen Informationen sowie der jedenfalls nicht unwahrscheinlichen, aber, wenn sie denn eintreten, erheblichen sozialen und karrieretechnischen Nachteile für die vom offenen BEM-Verteiler betroffenen Personen (vgl. dazu oben unter 1.) spricht einiges dafür, insofern ein hohes Risiko i.S.v. Art. 34 Abs. 1 DS-GVO zu bejahen. Eine Benachrichtigung der betroffenen Personen wäre damit nur dann nicht erforderlich, wenn eine Ausnahme des Art. 34 Abs. 3 DS-GVO einschlägig ist. Denkbar wäre hier wohl allenfalls eine Ausnahme nach Art. 34 Abs. 3 Buchst. b) DSGVO, nämlich, wenn die unberechtigten Empfänger die Wahrung der Vertraulichkeit zugesichert hätten.[6] Der Sachverhalt enthält aber keine Hinweise für eine solche Erklärung. Auch würde sich die Frage stellen, ob der Arbeitgeber ohne eine entsprechende Strafbewährung auf die Einhaltung der Zusicherung vertrauen darf. Der Umstand, dass die betroffenen Personen ggf. selbst Kenntnis von dem Datenschutzvorfall genommen haben, führt jedenfalls nicht zu einem Entfallen der Benachrichtigungspflicht. Denn zum einen muss dies nicht auf alle betroffenen Personen zutreffen. Zum anderen bezieht sich eine solche Kenntnisnahme nicht auch zwingend auf alle notwendigen Informationen nach Art. 34 Abs. 2 DS-GVO. Eine Ausnahme von der Benachrichtigungspflicht ist damit im Ergebnis abzulehnen.

Bezüglich des Girls’ Day Verteilers wird jedenfalls ein hohes Risiko zu verneinen sein.

Nach alledem bedarf es bezüglich der BEM-E-Mail einer Benachrichtigung der E-Mail-Adressaten nach Art. 34 DSGVO, nicht aber bezüglich der E-Mail zum Girls’ Day.

* Miriam Claus, LL.M. ist Referentin bei der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. RAin Yvette Reif, LL.M. ist stellvertretende Geschäftsführerin der GDD und Mitautorin des Werks Gola/Reif, Praxisfälle Datenschutzrecht, 2. Aufl. 2016.

[1] Matejek/Mäusezahl, ZD 2019, 551 ff., 551.

[2] BlnBDI, TB 2011, S. 166; TB 2014, S. 150.

[3] Taeger/Gabel/Schultze-Melling, DSGVO/BDSG, 3. Aufl. 2019 Art. 33 Rn. 21.

[4] Heidelberger Kommentar/Franck, DS-GVO/BDSG, Art. 34 Rn. 3.

[5] Paal/Pauly/Martini, DS-GVO/BDSG, 2. Aufl. 2018, Art. 34 Rn. 30.

[6] Heidelberger Kommentar/Franck, DS-GVO/BDSG, Art. 34 Rn. 24.