Art. 33 DSGVO: Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde
| veröffentlicht am |
12.11.2019 |
|---|---|
| Änderung | Neu aufgenommen |
| Stand | 06.03.2018 |
|---|---|
| Erstellungsgrundlage | in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018 |
| Rechtsgrundlage | |
| Version | 001.01 |
- Inhalt der Regelung
- Meldepflicht des Verantwortlichen (Abs. 1)
- Meldepflicht des Auftragsverarbeiters (Abs. 2)
- Form und Inhalt der Meldung (Abs. 3)
- Schrittweise Bereitstellung der Informationen (Abs. 4)
- Dokumentationspflicht (Abs. 5)
Inhalt der Regelung
Mit Art. 33 DSGVO wird der Verantwortliche dazu verpflichtet, Verletzungen des Schutzes personenbezogener Daten (sogenannte data (protection) breach) unverzüglich, das heißt ohne schuldhaftes Zögern im Sinne von § 121 Abs. 1 S. 1 BGB, und möglichst binnen 72 Stunden der nach Art. 55 DSGVO zuständigen Aufsichtsbehörde zu melden, sofern die in dieser Vorschrift normierten Tatbestandsmerkmale erfüllt sind.
Die Vorschrift dient insbesondere dem Grundsatz der Transparenz des Verwaltungshandelns in Bezug auf Datenschutzverletzungen. Damit einher geht das Bestreben, aus Datenschutzverletzungen resultierende Folgeschäden zu vermeiden beziehungsweise zu minimieren.
Ergänzende/korrespondierende Regelungen
Art. 8 der Charta der Grundrechte der Europäischen Union - GRCh - vom 26.10.2012 (2012/ C 326/02) dient dem Schutz vor willkürlichen und rechtswidrigen Eingriffen in die Privatsphäre (Schutz personenbezogener Daten). Dieses europäisch garantierte Recht entspricht auf nationaler Ebene dem in Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 des Grundgesetzes (GG) verankerten Recht auf informationelle Selbstbestimmung.
Art. 16 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) bestätigt in Abs. 1 das in Art. 8 GRCh niedergelegte Recht auf informationelle Selbstbestimmung (Datenschutz) und enthält in Abs. 2 die Rechtsgrundlage für die Konkretisierung des Datenschutzes bei der Anwendung des Unionsrechts.
Art. 288 Abs. 2 AEUV bildet die rechtliche Grundlage für die verbindliche und unmittelbare Geltung der Regelungen der EU-Datenschutzgrundverordnung (DSGVO) in jedem Mitgliedstaat der Europäischen Union (EU).
ErwG 85 DSGVO stellt dar, welche physischen, materiellen beziehungsweise immateriellen Schäden mit einer Datenschutzverletzung verbunden sein können. Aufgrund dieser Schadensszenarien verdeutlicht er zudem, dass die Einhaltung der 72 Stunden-Frist grundsätzlich für die Meldung von Datenschutzverletzungen an die nach Art. 55 DSGVO zuständige Aufsichtsbehörde von zentraler Bedeutung ist, sofern nicht von der Meldepflicht Abstand genommen werden kann, weil die Datenschutzverletzung nicht zu einem Risiko für Rechte und Freiheiten natürlicher Personen führt. Schließlich verdeutlicht ErwG 85 DSGVO, unter welchen Rahmenbedingungen Informationen über die Umstände der Datenschutzverletzung schrittweise an die zuständige Aufsichtsbehörde gegeben werden dürfen.
Art. 4 Nrn. 1 bis 26 DSGVO enthält unter anderem Begriffsdefinitionen wie zum Beispiel „personenbezogene Daten“ (Art. 4 Nr. 1 DSGVO), „Verarbeitung“ (Art. 4 Nr. 2 DSGVO), „Verantwortlicher“ (Art. 4 Nr. 7 DSGVO), „Auftragsverarbeiter“ (Art. 4 Nr. 8 DSGVO), „Verletzung des Schutzes personenbezogener Daten“ (Art. 4 Nr. 12 DSGVO), „Gesundheitsdaten“ (Art. 4 Nr. 15 DSGVO), und „Aufsichtsbehörde“ (Art. 4 Nr. 21 DSGVO).
Art. 5 DSGVO legt die Grundsätze für die Verarbeitung personenbezogener Daten fest. Insbesondere ist hier im Hinblick auf deren Bedeutung für die sich aus Art. 33 DSGVO ergebenden Anforderungen die Rechenschaftspflicht zu nennen (Art. 5 Abs. 2 DSGVO).
Art. 24 DSGVO statuiert die Rechenschaftspflicht der Verantwortlichen und legt diesen die Verpflichtung auf, in Abhängigkeit der Eintrittswahrscheinlichkeit und Schwere von potentiellen physischen, materiellen oder immateriellen Schadensszenarien geeignete technische und organisatorische Maßnahmen zu treffen, um eine mit der DSGVO konforme Verarbeitung personenbezogener Daten sicherstellen und nachweisen zu können.
Art. 34 DSGVO dient sowohl dem in Art. 5 Abs. 1 Buchst. a DSGVO in Verbindung mit Art. 12 Abs. 1 DSGVO verankerten Transparenzgedanken als auch der Rechenschaftspflicht im Sinne von Art. 5 Abs. 2 und 24 Abs. 1 DSGVO gegenüber den Betroffenen.
Art. 55 DSGVO legt den Rahmen fest, innerhalb dessen jede Aufsichtsbehörde im Hoheitsgebiet jedes ihres eigenen Mitgliedsstaates für die Erfüllung der im Zusammenhang mit der DSGVO stehenden Aufgaben und die Ausübung der sich aus dieser Verordnung ergebenden Befugnisse zuständig ist.
§ 83a SGB X in der Fassung des Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften - BVGÄndG - vom 17. Juli 2017 (BGBl. I, S. 2541) regelt ab dem 25.05.2018 in Ergänzung zu Art. 33 DSGVO die Benachrichtigung der Rechts- oder Fachaufsichtsbehörde im Falle der Verletzung des Schutzes von Sozialdaten.
§ 85 SGB X in der Fassung des Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften konkretisiert ab dem 25.05.2018 die sich ergebenden Straftatbestände und regelt die analoge Anwendung des § 42 Abs. 1 und 2 BDSG.
§ 85a SGB X in der Fassung des Art. 24 des Gesetzes zur Änderung des Bundesversorgungsgesetzes und anderer Vorschriften - konkretisiert ab dem 25.05.2018 die sich ergebenden Bußgeldtatbestände und erklärt § 41 Abs. 1 und 2 BDSG für entsprechend anwendbar. Zudem nimmt er Behörden und andere öffentliche Stellen von der Verhängung von Bußgeldern aus.
Meldepflicht des Verantwortlichen (Abs. 1)
Abs. 1 legt fest, unter welchen Rahmenbedingungen eine Pflicht zur Meldung einer Verletzung des Schutzes personenbezogener Daten gegenüber der zuständigen Aufsichtsbehörde besteht.
Als Aufsichtsbehörde im Sinne des Art. 33 Abs. 1 DSGVO gilt die nach Art. 55 DSGVO zuständige Aufsichtsbehörde. Hierbei handelt es sich um die Datenschutzaufsicht des Verantwortlichen, nicht jedoch die Rechts- beziehungsweise Fachaufsicht. Zusätzliche Meldepflichten diesen Stellen gegenüber ergeben sich unter Umständen aus den jeweiligen Fachgesetzen, wie zum Beispiel aus § 83a SGB X.
Verantwortlicher
Normadressat ist ausschließlich der für die Datenverarbeitung Verantwortliche. Dieser ist verpflichtet, die Meldung über eine Datenschutzverletzung gegenüber der nach Art. 55 DSGVO zuständigen Aufsichtsbehörde abzugeben.
Ist der Prozess der Datenverarbeitung an einen Auftragsverarbeiter ausgelagert worden und entsteht eine Datenschutzverletzung in dessen Einflusssphäre, dann hat er den der Datenschutzverletzung zugrunde liegenden Sachverhalt einschließlich der Umstände, die dazu geführt haben, unverzüglich dem Verantwortlichen zu melden (Art. 33 Abs. 2 DSGVO), der wiederum verpflichtet ist, gegenüber seiner Aufsichtsbehörde Meldung zu erstatten.
Der Begriff „Verantwortlicher“ dient in diesem Zusammenhang in erster Linie dazu, festzuhalten, wer für die Einhaltung der Datenschutzvorschriften zuständig ist und wem die Verantwortung für etwaige Datenschutzverletzungen einschließlich der sich daraus ergebenden Folgen obliegt. Er wird definiert als natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden (Art. 4 Nr. 7 DSGVO).
Nicht nur im Außenverhältnis gegenüber den Aufsichtsbehörden (Art. 4 Nr. 21 DSGVO sowie Art. 55 DSGVO) sowie den Auftragsverarbeitern (Art. 4 Nr. 8 DSGVO sowie Art. 28 DSGVO), sondern auch in Bezug auf die Tatbestandsmerkmale des Art. 33 Abs. 1 DSGVO sind die Träger der Deutschen Rentenversicherung als Verantwortliche anzusehen. Bei der Erfüllung der laufenden Geschäfte werden sie durch ihre Direktorien beziehungsweise Geschäftsführungen vertreten, soweit Gesetz oder sonstiges für die Träger der Deutschen Rentenversicherung maßgebendes Recht nicht Abweichendes bestimmen zum Beispiel das Direktorium der DRV Bund gemäß § 42 Abs. 1 der Satzung DRV Bund).
Verletzung des Schutzes personenbezogener Daten
Der Begriff der „Verletzung des Schutzes personenbezogener Daten“ wird nach der Legaldefinition des Art. 4 Nr. 12 der DSGVO definiert als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Eine Datenschutzverletzung in diesem Sinne ist grundsätzlich dann gegeben, wenn das unter anderem in Art. 8 Abs. 1 GRCh verankerte Schutzgut des Rechts auf informationelle Selbstbestimmung verletzt wurde.
Von einer Datenschutzverletzung im Sinne von Art. 33 DSGVO werden nicht nur Verletzungen der Vertraulichkeit (zum Beispiel durch eine unbefugte Kenntnisnahme von personenbezogenen Daten oder Zugriffsmöglichkeiten, die über das dienstlich erforderliche Maß hinausgehen) erfasst. Auch Beeinträchtigungen der Verfügbarkeit (zum Beispiel durch einen Verlust beziehungsweise eine Vernichtung) oder Verletzungen im Hinblick auf das Schutzziel der Integrität (zum Beispiel bei unbefugter Veränderung) sind hierunter einzuordnen.
72 Stunden-Meldefrist
Für die ordnungsgemäße Erfüllung der sich aus Art. 33 DSGVO ergebenden Verpflichtungen ist die Einhaltung der in dieser Vorschrift verankerten 72 Stunden-Frist von entscheidender Bedeutung. Es ist festzulegen, zu welchem Zeitpunkt von einem Bekanntwerden der Datenschutzverletzung gegenüber dem für die Verarbeitung Verantwortlichen auszugehen ist. Hiervon ist abhängig, zu welchem Zeitpunkt die 72 Stunden-Frist beginnt.
Aufgrund der mit Art. 33 DSGVO verbundenen Intentionen, den Verantwortlichen die Möglichkeit einzuräumen, geeignete Schutzmaßnahmen einzuleiten und die Betroffenen zudem zeitnah über Datenschutzverletzungen in Kenntnis zu setzen, um potentielle Folgeschäden abzuwenden oder zumindest zu minimieren, reicht es aus, wenn ein gewisser Grad der Wahrscheinlichkeit sowie ein mit der Datenschutzverletzung verbundenes Risiko für die Rechte und Freiheiten der Betroffenen gegeben sind, um die 72 Stunden-Frist starten und eine sog. Notifikationspflicht gegenüber der Aufsichtsbehörde auslösen zu lassen.
Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.
Ausschluss von der Meldepflicht
Eine Meldeverpflichtung besteht nicht, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen führt.
Es handelt sich hierbei um eine Risikobetrachtung, bei der im Rahmen des Prognoseprozesses sowohl die Eintrittswahrscheinlichkeit als auch die Schwere der mit der potentiellen Datenschutzverletzung verbundenen Folgeschäden zur Entscheidungsfindung heranzuziehen sind. Sie ist vergleichbar mit der Prognoseentscheidung bei der Auswahl von geeigneten und dem aktuellen Stand der Technik entsprechenden Datensicherungsmaßnahmen gemäß Art. 32 DSGVO.
Meldepflicht des Auftragsverarbeiters (Abs. 2)
Abs. 2 definiert näher die sich unter anderem aus Art. 28 Abs. 3 und 4 DSGVO ergebende Verpflichtung des Auftragsverarbeiters, den Verantwortlichen bei der Aufklärung von Datenschutzverletzungen zu unterstützen und die sich aus Abs. 1 ergebenden Obliegenheiten zu erfüllen. Er hat gegenüber dem Verantwortlichen ausschließlich die objektiven Anhaltspunkte für eine Datenschutzverletzung zu kommunizieren. Die abschließende Risikobewertung einschließlich einer eventuellen Schadensprognose sowie die Entscheidung, ob ein meldepflichtiger Tatbestand im Sinne des Abs. 1 vorliegt, liegt im Zuständigkeitsbereich des Verantwortlichen.
Form und Inhalt der Meldung (Abs. 3)
Art. 33 Abs. 3 Buchst. a bis d DSGVO legt den Mindestumfang fest, der sich im Hinblick auf die Meldung nach Abs. 1 ergibt. Folgende Informationen sind zu melden:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Darüber hinaus kann sich im Einzelfall durchaus die Notwendigkeit ergeben, der zuständigen Aufsichtsbehörde weitergehende Informationen zuzuliefern oder ergänzende Unterlagen zukommen zu lassen, wenn dies erforderlich ist, um den gemeldeten Sachverhalt bewerten und ggf. aufsichtsrechtliche Maßnahmen treffen zu können.
Schrittweise Bereitstellung der Informationen (Abs. 4)
Abs. 4 trägt dem Umstand Rechnung, dass dem Verantwortlichen die zur Abgabe der Meldung über eine Verletzung des Schutzes personenbezogener Daten gegenüber der zuständigen Aufsichtsbehörde notwendigen Mindestangaben nicht immer vollumfänglich zum gleichen Zeitpunkt zur Verfügung stehen. Er lässt daher unabhängig von grundsätzlich der innerhalb von 72 Stunden zu meldenden Tatsache einer Datenschutzverletzung zu, dass die damit einhergehenden und weiterzugebenden Informationen ohne unangemessene weitere Verzögerung schrittweise an die Aufsichtsbehörde gemeldet werden dürfen.
Voraussetzung für die Anwendung des Abs. 4 ist, dass die kompletten Informationen im Einzelfall aus faktischen Gründen nicht zum gleichen Zeitpunkt vorliegen. Dies ist zum Beispiel der Fall, wenn zwar feststeht, dass eine Datenschutzverletzung vorliegt, jedoch deren Ursache noch ungeklärt ist oder die Zahl der betroffenen Personen oder Datensätze noch zu ermitteln ist. Zusätzlich hat der Verantwortliche sämtliche neuen Erkenntnisse unverzüglich, das heißt ohne schuldhaftes Zögern, an die Aufsichtsbehörde weiterzuleiten.
Dokumentationspflicht (Abs. 5)
Die Dokumentationspflicht gemäß Abs. 5 erweitert die nach Abs. 1 für den Verantwortlichen bestehende Meldepflicht gegenüber der Aufsichtsbehörde zu einer umfassenderen Rechenschaftspflicht im Sinne von Art. 5 Abs. 2 und Art. 24 DSGVO. Sie dient insbesondere dazu, der Aufsichtsbehörde eine Prüfung zu ermöglichen, ob der Verantwortliche seiner Meldepflicht im Sinne von Abs. 1 in gebotener Weise nachkommt.
Aus diesem Grund sind neben der Tatsache einer Datenschutzverletzung auch die mit deren Auswirkungen und getroffenen Abhilfemaßnahmen zusammenhängenden Fakten zu dokumentieren. Die Dokumentationspflicht orientiert sich zwar grundsätzlich am Mindestinhalt dessen, was vom Verantwortlichen gegenüber der Aufsichtsbehörde nach den Absätzen 1 und 3 zu melden ist. Sie geht jedoch im Hinblick auf den angestrebten Zweck darüber hinaus und umfasst auch die Grundlagen und das Ergebnis der Risikoprognose (vergleiche Abschnitt 2.4), da andernfalls die Zielsetzung des Art. 33 DSGVO nicht erreicht werden könnte.
| Berichtigung der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) |
Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018 Quelle: Amtsblatt der Europäischen Union vom 22. November 2016 unter L 314/72 und Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1 |
In Artikel 33 Absatz 1 wurden die Worte „… gemäß Artikel 51 zuständigen Aufsichtsbehörde, …“ berichtigt in „… gemäß Artikel 55 zuständigen Aufsichtsbehörde, …“. Die Vorschrift ist in ihrer geänderten Fassung ab dem 25.05.2018 anzuwenden.
| Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) |
Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018 Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1 |
Die Vorschriften der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sind mit Wirkung vom 24.05.2016 in Kraft getreten. Sie sind ab dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union anzuwenden.