Kurzbeitrag : Praxisfälle zum Datenschutzrecht XIII: Der Verlust eines USB-Sticks : aus der RDV 6/2021 Seite 325 bis 328
I. Sachverhalt
Der Datenschutzbeauftragte (DSB) des Unternehmens (U) besteht darauf, dass der nicht mehr eindeutig aufzuklärende Verlust eines USB-Sticks mit Gehaltsabrechnungen und Mit-arbeiterbewertungen mehrerer Dutzend Mitarbeiter/-innen diesen bekannt gegeben wird. Auch die Datenschutzaufsichtsbehörde soll nach Auffassung des DSB informiert werden. Bei dem USB-Stick handelt es sich um einen einfachen mobilen Datenträger. Die enthaltenen Informationen waren weder verschlüsselt, noch lag ein Zugriffsschutz vor. Der Mitarbeiter, dem der USB-Stick abhandengekommen ist, nimmt an, dass ihm dieser im Mitarbeiterparkhaus auf dem Weg zu seinem Auto heruntergefallen ist. Eine ausführliche Suche nach dem USB-Stick verlief ohne Erfolg.
Neben der Information von Beschäftigten und zuständiger Aufsichtsbehörde verlangt der DSB von der Geschäftsleitung, dass diese eine von ihm vorgelegte Richtlinie zum sicheren Umgang mit mobilen Datenträgern in Kraft setzt.
Wie sind die Forderungen des Datenschutzbeauftragten zu bewerten?
II. Musterfalllösung
1. Vorüberlegungen
Im vorliegenden Fall stellt sich zunächst die Frage, ob das Unternehmen zur Vornahme der vom DSB geforderten Maßnahmen verpflichtet ist, also Behörde bzw. betroffene Personen informieren muss und eine Richtlinie zum Umgang mit mobilen Datenträgern in Kraft setzen sollte. Unabhängig von der inhaltlichen Richtigkeit der vom DSB verlangten Maßnahmen stellt sich zudem die Frage, inwiefern dieser Forderungen gegenüber der Unternehmensleitung zur Umsetzung des Datenschutzes aufstellen darf. Zu beantworten ist also, welche Rolle dem Datenschutzbeauftragten im Hinblick auf die Gewährleistung des Datenschutzes bei der benennenden Stelle zukommt.
2. Meldepflicht gegenüber der zuständigen Aufsichtsbehörde, Art. 33 DS-GVO
Nach Art. 33 Abs. 1 S. 1 DS-GVO hat der Verantwortliche Verletzungen des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der zuständigen Datenschutzaufsichtsbehörde zu melden, es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich icht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
Voraussetzung für die Verpflichtung aus Art. 33 DS-GVO ist zunächst das Vorliegen einer „Verletzung des Schutzes personenbezogener Daten“. Dieser Begriff ist in Art. 4 Nr. 12 DS-GVO legaldefiniert. Danach handelt es sich um eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Hier steht eine Verletzung der Vertraulichkeit personenbezogener Daten im Raum, denn aufgrund der fehlenden technischen Schutzmaßnahmen ist nicht ausgeschlossen, dass unbefugte Personen von den auf dem Stick gespeicherten Informationen Kenntnis nehmen. Verletzungen der Vertraulichkeit fallen unproblematisch unter den Begriff der Verletzung des Schutzes personenbezogener Daten.[1] Auf ein Verschulden, also darauf, ob die Vertraulichkeitsverletzung vorsätzlich oder zumindest fahrlässig verursacht wurde, kommt es nicht an.
Fraglich ist, welche Konsequenzen sich daraus ergeben, dass der Datenschutzvorfall nicht vollständig aufgeklärt ist und unklar bleibt, ob die Daten auf dem Stick tatsächlich unbefugt zur Kenntnis genommen wurden. Konkret stellt sich die Frage, ob ein Bekanntwerden der Datenschutzverletzung i.S.v. Art. 33 f. DS-GVO nur bei positiver Feststellung der Datenschutzverletzung anzunehmen ist oder ob ein bestimmter Grad an Wahrscheinlichkeit genügt.
Für letztere Interpretation spricht der Schutzzweck der Pflichten nach Art. 33 f. DS-GVO: Schutzzweck der Pflichten ist insbesondere, betroffene Personen rechtzeitig vor einem Datenmissbrauch zu warnen und mögliche Folgeschäden abzuwenden. Wird abgewartet, bis absolute Gewissheit hinsichtlich der Datenschutzverletzung besteht und alle Details bekannt sind, sind Folgeschäden ggf. nicht mehr zu verhindern. Nach Auffassung des EDSA ist anzunehmen, dass eine Datenschutzverletzung bekannt wurde, wenn der betreffende Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat.[2] Bei Verlust eines nicht gegen unbefugten Zugriff geschützten Datenträgers in einem von diversen Personen frequentierten Bereich wird von einer hinreichenden Gewissheit im vorgenannten Sinne auszugehen sein. Vorliegend ist U damit eine Verletzung des Schutzes personenbezogener Daten bekanntgeworden.
Während eine Benachrichtigungspflicht nach Art. 34 DSGVO nur besteht, wenn aufgrund der Schutzverletzung voraussichtlich ein hohes Risiko für die betroffenen Personen besteht, begründet bei Art. 33 DS-GVO jedes nicht auszuschließende Risiko die Meldepflicht gegenüber der Behörde. Die Meldepflicht ist damit der Regelfall.[3] Nur die Meldung von Bagatellfällen soll nach Art. 33 DS-GVO ausgeschlossen sein.[4] Bei der Entscheidung, ob voraussichtlich kein Risiko für die betroffenen Personen besteht, handelt es sich um eine Prognoseentscheidung, für deren Richtigkeit der für die Verarbeitung Verantwortliche die Verantwortung trägt.[5] Hier spricht nichts dafür, dass aus dem Vorfall keine Risiken für die betroffenen Beschäftigten entstehen. Im Gegenteil: Aufgrund der Sensibilität der auf dem verlorenen Datenträger enthaltenen Informationen und der naheliegenden Möglichkeit sozialer und beruflicher Nachteile liegt vorliegend sogar ein hohes Risiko für die Betroffenen nahe. Vgl. dazu nachfolgend unter 3.
Mithin ist hier die Meldepflicht gegenüber der zuständigen Datenschutzaufsichtsbehörde nach Art. 33 Abs. 1 DSGVO zu bejahen.
Die Meldung nach Art. 33 DS-GVO hat „unverzüglich“ (englische Fassung „without undue delay“) zu erfolgen. Bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, sind die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person zu berücksichtigen (Erwägungsgrund 87). Je gravierender der Vorfall ist, desto kürzer ist also der Zeitraum für die unverzügliche Meldung bemessen.[6] Was regelmäßig als angemessene und nicht schuldhafte Verzögerung anzusehen ist, wird durch die DSGVO selbst konkretisiert, die davon ausgeht, dass die Information der Behörde „möglichst binnen 72 Stunden“ zu erfolgen hat. Wird die 72-Stunden-Frist überschritten, löst dies gemäß Art. 33 Abs. 1 S. 2 DS-GVO eine Begründungspflicht gegenüber der Aufsichtsbehörde aus.
Vorgaben zum (Mindest-)Inhalt der Meldung des Verantwortlichen an die Behörde enthält Art. 33 Abs. 3 DS-GVO. Die Verpflichtung zur Meldung entfällt nicht allein deshalb, weil noch nicht alle Mindestinhalte zur Meldung vorliegen. Dies zeigt Art. 33 Abs. 4 DS-GVO, der in solchen Fällen eine schrittweise Information der Behörde fordert.
Eine bestimmte Form der Meldung an die Aufsichtsbehörde ist nicht vorgeschrieben. Die Meldung kann danach im Grundsatz auf alle erdenklichen Arten erfolgen, also (fern-) mündlich, per Fax, Email oder Brief, allerdings trägt der Meldepflichtige das Risiko des Zugangsnachweises. Viele Aufsichtsbehörden stellen inzwischen Onlinemeldeformulare zum Ausfüllen im Browser bereit und präferieren im Sinne der Verwaltungsvereinfachung eine Meldung über diesen Kanal. Teilweise werden auch nur Formulare zum Download und anschließendem Versand per Post, Fax oder Email angeboten.
3. Verpflichtung zur Benachrichtigung der Beschäftigten, Art. 34 DS-GVO
Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche gemäß Art. 34 DS-GVO außerdem die betroffenen Personen, hier also die Beschäftigten, bezüglich des Datenschutzvorfalls zu informieren.
Das Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten i.S.v. Art. 4 Nr. 12 DS-GVO wurde bereits oben unter 2. bejaht. Entscheidend ist damit, ob im vorliegenden Fall von einem voraussichtlich hohen Risiko für die persönlichen Rechte und Freiheiten der vom Verlust des USB-Sticks betroffenen Beschäftigten auszugehen ist.
Als Risiken für die Rechte und Freiheiten natürlicher Personen sind alle drohenden physischen, materiellen oder immateriellen Schäden zu berücksichtigen, wie etwa Verlust der Kontrolle über die personenbezogenen Daten oder Einschränkung der Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile (vgl. Erwägungsgrund 85).
Bei der Risikobewertung sollen aus Sicht des EDSA insbesondere folgende Faktoren Berücksichtigung finden:[7] Art der Datenschutzverletzung, Art/Sensibilität/Umfang der personenbezogenen Daten, Identifizierbarkeit betroffener Personen, Schwere der Folgen für die betroffenen Personen, besondere Eigenschaften der betroffenen Person oder des Verantwortlichen sowie Zahl der betroffenen Personen. Zu prüfen sei die Schwere der möglichen Folgen für die Rechte und Freiheiten der betroffenen Personen in Verbindung mit der Eintrittswahrscheinlichkeit dieser Folgen, so der EDSA. Das Risiko steige dabei zum einen mit zunehmender Schwere und zum anderen mit steigender Eintrittswahrscheinlichkeit der Folgen einer Datenschutzverletzung. In Zweifelsfällen rät der EDSA, sicherheitshalber eine Meldung vorzunehmen.
Unter Zugrundelegung vorgenannter Kriterien ist hier von einem voraussichtlich hohen Risiko i.S.v. Art. 34 Abs. 1 DSGVO auszugehen. Nachdem der USB-Stick nicht durch einen ehrlichen Finder zurückgebracht wurde und nicht mehr auffindbar ist, spricht einiges dafür, dass ein/-e andere/-r Mitarbeiter/-in diesen im Mitarbeiterparkhaus an sich genommen hat und auch auf diesen zugegriffen hat bzw. dies noch tun wird. Bei den Gehaltsabrechnungen und Mitarbeiterbewertungen handelt es sich um sensible Informationen. So können Gehaltsabrechnungen z.B. Informationen zu Lohnpfändungen enthalten und damit Rückschlüsse auf die finanzielle Lage der betroffenen Beschäftigten zulassen. Auch sind über die Abrechnung Rückschlüsse auf die familiäre Situation (Steuerklasse, Freibeträge) und die Religionszugehörigkeit möglich. Letztere zählt zu den besonders geschützten besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO. Ein hohes Risiko i.S.v. Art. 34 DS-GVO wird regelmäßig u.a. dann angenommen, wenn die Vertraulichkeit besonderer Kategorien personenbezogener Daten oder von Bankverbindungs- oder Kreditkartendaten verletzt wird.[8] Lohn- und Gehaltsabrechnungen enthalten sowohl Daten nach Art. 9 DS-GVO als auch Bankverbindungsdaten.
Besonders in nicht tarifgebundenen Unternehmen eröffnen öffentlich gewordene Gehaltsinformationen außerdem erhebliches Konfliktpotenzial, da Gerechtigkeitsdiskussionen drohen. Vermeintlich zu gut entlohnte Beschäftigte laufen Gefahr, Zielscheibe kollegialer Missgunst und schlimmstenfalls sogar von Mobbing zu werden. Wer schlechter verdient als vergleichbare Kollegen/-innen, läuft Gefahr, den Respekt der anderen zu verlieren. Bei einem Bekanntwerden von Mitarbeiterbewertungen drohen ähnliche Folgen. Es besteht zudem die Gefahr, dass bekanntgewordene Informationen aus den Bewertungen zweckentfremdet werden, um andere Karrieren zu behindern und selbst beruflich voranzukommen. Ganz generell lässt sich festhalten, dass die auf dem USBStick enthaltenen Informationen brisanten Gesprächsstoff für die Belegschaft bieten und für potenziell viel Klatsch und Tratsch und einigen betrieblichen Unfrieden sorgen dürften, so sie sich verbreiten.
Eine Benachrichtigung der betroffenen Personen ist damit nur dann nicht erforderlich, wenn eine Ausnahme des Art. 34 Abs. 3 DS-GVO einschlägig ist. Wären die Informationen auf dem Stick entsprechend dem Stand der Technik verschlüsselt, käme eine Ausnahme von der Benachrichtigungspflicht nach Art. 34 Abs. 3 lit. a DS-GVO in Betracht. Möglich ist eine Hardware- oder Software-basierte-Verschlüsselung von USB-Sticks. Nach dem Sachverhalt waren aber weder Verschlüsselung noch auch nur ein einfacher Zugriffsschutz vorhanden. Auch für eine Ausnahme nach Art. 34 Abs. 3 lit. b DS-GVO bestehen keine Ansatzpunkte. Hierüber könnte man ggf. diskutieren, wenn es sich um einen USB-Stick gehandelt hätte, der auch eine Fernlöschung ermöglicht. Auch an einem unverhältnismäßigen Aufwand i.S.v. Art. 34 Abs. 3 lit. c DS-GVO fehlt es. Als Arbeitgeber kann der Verantwortliche die Beschäftigten ohne großen Aufwand kontaktieren. Sofern nicht klar ist, welche konkreten Mitarbeiter betroffen sind, kommt ein Rundschreiben an alle Beschäftigten in Frage.
U muss also auch die von dem Datenschutzvorfall betroffenen Beschäftigten nach Art. 34 DS-GVO benachrichtigen. Die Benachrichtigung muss unverzüglich, also ohne schuldhaftes Zögern erfolgen. Bezüglich des Inhalts der Benachrichtigung ist Art. 34 Abs. 2 DS-GVO maßgeblich. Es ist insbesondere auf eine klare und einfache Sprache zu achten.
4. Rolle des DSB
Die Aufgaben des DSB ergeben sich aus Art. 39 DS-GVO. Danach hat der DSB den Verantwortlichen sowie die dort konkret mit der Datenverarbeitung Beschäftigten hinsichtlich ihrer datenschutzrechtlichen Pflichten zu unterrichten und beraten (Art. 39 Abs. 1 lit. a DS-GVO). Unterrichtung meint insofern die allgemeine Information über die bestehenden datenschutzrechtlichen Verpflichtungen, Beratung die Unterstützung bei der Lösung von konkreten datenschutzrechtlichen Fragestellungen.[9] Weitere Kernaufgabe neben der Unterrichtung und Beratung ist die Überwachung der Einhaltung des Datenschutzes (Art. 39 Abs. 1 lit. b DSGVO). Zu überwachen ist im Einzelnen die Einhaltung der DS-GVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien („policies“) der benennenden Stelle für den Schutz personenbezogener Daten. Sicherzustellen und nachzuweisen, dass durchgeführte Datenverarbeitungen im Einklang mit den datenschutzrechtlichen Anforderungen stehen, ist Aufgabe des Verantwortlichen bzw. – in abgeleiteter Verantwortlichkeit – der Fachabteilung.[10] Die Verantwortung für die Einhaltung des Datenschutzes kann dem DSB auch nicht übertragen werden, da sich dieser dann selbst überwachen müsste und es ihm insofern als internem Überwachungsorgan an der notwendigen Unabhängigkeit (ErwGr 97 S. 3 DS-GVO) fehlen würde.[11] Weitere Aufgaben des DSB sind gemäß Art. 39 DSGVO die Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) sowie die Zusammenarbeit mit der Datenschutzaufsichtsbehörde und die Tätigkeit als deren Anlaufstelle.
Auch wenn der DSB hier also zu Recht annimmt, dass bezüglich des konkreten Datenschutzvorfalls eine Meldung an die Aufsichtsbehörde wie auch eine Information der betroffenen Beschäftigten vorzunehmen ist, ist er gleichwohl nicht in der Position, entsprechende Maßnahmen von der Unternehmensleitung zu verlangen, denn, wie dargestellt, hat er lediglich beratende Funktion. Die Entscheidung, ob eine Meldung bzw. Benachrichtigung tatsächlich vorgenommen wird, verbleibt bei der Leitung.
Inhaltlich richtig ist auch, eine Richtlinie zum Umgang mit mobilen Datenträgern in Kraft zu setzen. Unternehmen sind nach der DS-GVO verpflichtet, jederzeit nachweisen zu können, dass und wie sie die geltenden Datenschutzanforderungen umsetzen (Rechenschaftspflicht oder Accountability, Art. 5 Abs. 2 und Art. 24 Abs. 1 DS-GVO). In der Praxis hat sich die Erstellung und Einführung von Datenschutzrichtlinien bewährt, um die Umsetzung des Datenschutzes und den diesbezüglichen kontinuierlichen Verbesserungsprozess zu dokumentieren. Während Leitlinien zum Datenschutz die Datenschutzziele einer Organisation in Grundzügen beschreiben, geben Richtlinien den Rahmen zur Umsetzung konkreter Maßnahmen zur Erreichung dieser Ziele vor.[12] Der hier zu beurteilende Datenschutzvorfall selbst zeigt die Sinnhaftigkeit entsprechender interner Vorgaben. Gäbe es bei U bereits eine entsprechende Richtlinie, hätte sich der Vorfall in dieser Form gar nicht ereignet, bzw. dieser hätte zumindest einen – per Ermahnung, ggf. sogar Abmahnung – sanktionierbaren Verstoß gegen die Richtlinie dargestellt. Denn unter Geltung einer sachgerecht gestalteten Richtlinie zum Umgang mit mobilen Datenträgern hätten die hier relevanten Daten nicht ohne Verschlüsselung und Zugriffschutz auf dem USB-Stick transportiert werden dürfen.
Neben Regelungen zum Umgang mit mobilen Datenträgern sollten auch interne Vorgaben zum Umgang mit potenziell meldepflichtigen Datenschutzvorfällen existieren. Besonders für größere und international agierende Unternehmen kann die Einhaltung der 72-Stunden-Vorgabe aus Art. 33 Abs. 1 S. 1 DS-GVO eine nicht zu unterschätzende Herausforderung dartellen.[13] Eine unverzügliche Meldung ist nur möglich, wenn bereits vor dem Ernstfall entsprechende prozessuale Vorkehrungen getroffen wurden und sich vorausplanend mit Inhalt und Form der Meldung befasst wurde. Die konkret mit der personenbezogenen Datenverarbeitung befassten Mitarbeiter/- innen in den Fachabteilungen müssen wissen, was bei einem potenziellen Datenschutzvorfall zu tun ist.
Die Inkraftsetzung entsprechender interner Regelungen bzw. die Entscheidung über deren konkreten Inhalt fällt aber wieder ausschließlich in den Verantwortungsbereich der Unternehmensleitung bzw. von dieser hiermit betrauter Personen.
Der DSB ist beratend einzubeziehen bei der Erstellung datenschutzrelevanter interner Regelwerke. Er kann Empfehlungen machen und z.B. Formulierungsvorschläge oder Muster liefern. Der DSB sollte die Unternehmensleitung über deren Pflichten informieren und auf mögliche Risiken bei Nichteinhaltung hinweisen. Sofern die Leitung seinen Empfehlungen nicht nachkommt, sollte der DSB dies entsprechend dokumentieren.
[1] Kühling/Buchner/Jandt, DS-GVO Art. 4 Nr. 12 Rn. 6 ff.
[2] Art.-29-Datenschutzgruppe, WP 250 rev.01 (Stand: 06.02.2018), S. 12, bestätigt durch den EDSA am 25.05.2018.
[3] Laue/Kremer/Laue, Das neue Datenschutzrecht in der betrieblichen Praxis, § 7 Rn. 45.
[4] Franck, GDD-Ratgeber Datenpannen – Melde- und Benachrichtigungspflichten nach DS-GVO und BDSG, 3. Aufl. 2021, S. 42. Um den Umgang mit den Meldungen noch beherrschen zu können, filtern die Datenschutzaufsichtsbehörden im Rahmen ihrer Onlinemeldeverfahren für Datenschutzverletzungen allerdings teilweise auch oberhalb der Bagatellschwelle aus.
[5] Ehmann/Selmayr/Hladjk, DS-GVO Art. 33 Rn. 11 f.
[6] Kühling/Buchner/Jandt, DS-GVO Art. 33 Rn. 15
[7] Art.-29-Datenschutzgruppe, WP 250 rev. 01 (Stand: 06.02.2018), S. 27 ff., bestätigt durch den ED-SA am 25.05.2018.
[8] Kühling/Buchner/Jandt, DS-GVO Art. 34 Rn. 5; Simitis/Hornung/Spiecker/Dix, DS-GVO Art. 34 Rn. 5.
[9] GDD-Praxishilfe: Der Datenschutzbeauftragte nach der DatenschutzGrundverordnung, Stand: Juli 2019, S. 12 ff.
[10] GDD-Praxishilfe: Der Datenschutzbeauftragte nach der DatenschutzGrundverordnung, Stand: Juli 2019, ebenda.
[11] GDD-Praxishilfe: Verantwortlichkeiten und Aufgaben nach der DS-GVO, Stand: Aug. 2021, S. 14.
[12] Zum Ganzen ausführlich GDD-Praxishilfe DS-GVO, Die DatenschutzRichtlinie.
[13] Vgl. Sydow/Wilhelm, Art. 33 Rn. 15; Simits/Hornung/Spiecker/Dix, DSGVO Art. 33 Rn. 17.