Geheimnisschutzverletzung im Fadenkreuz des Datenschutzes

Kommt der Verdacht auf, dass ein (ehemaliger) Mitarbeiter Kundendaten entwendet hat, ist die Aufregung berechtigter Weise groß. Um so größer ist der Ärger, wenn sich der Verdacht nicht nur erhärtet, sondern sogar bestätigt. Regelmäßig liegt der Fokus in der Verfolgung des Täters, sei es zivil- oder strafrechtlich. Was im Eifer des Gefechts nur zu gerne übersehen wird, ist die Tatsache, dass die Geheimnisschutzverletzung auch einen Datenschutzverstoß darstellen kann. 

Entwendet der Täter beispielsweise Kunden- oder Lieferantenlisten, sind neben Preisen regelmäßig auch Namen, Kontaktdaten, Kundenhistorie oder auch Kundenprofile betroffen. Diese Informationen stellen personenbezogene Daten dar. Wird der Schutz dieser personenbezogenen Daten verletzt, besteht für die verantwortliche Stelle nach Art. 33 DSGVO eine Pflicht, diese Verletzung der zuständigen Datenschutzaufsichtsbehörde zu melden. Eine Verletzung des Schutzes personenbezogener Daten liegt bereits vor, wenn „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“ (Art. 4 Nr. 12 DSGVO). Das ist regelmäßig der Fall, wenn der Täter besagte Kunden- oder Lieferantenlisten entwendet hat. 

Die Meldung gegenüber der Aufsichtsbehörde ist zudem zeitkritisch, da sie unverzüglich, möglichst innerhalb von 72 Stunden erfolgen muss. Eine unterlassene, aber auch eine verspätete Meldung ist bußgeldbewehrt. Die Meldepflicht sollte daher ernst genommen werden. Allerdings wird die Meldepflicht wohl noch nicht bei einem bloßen Verdacht ausgelöst. Hierfür spricht der Wortlaut des Art. 33 DSGVO, wonach „im Falle einer Verletzung“ zu melden ist. Nichtsdestotrotz erfolgen in der Praxis vorsorglich immer wieder Verdachtsmeldungen, was sich z.B. bei einer Bußgeldbemessung positiv auswirken kann. Es spielt nämlich laut Erwägungsgrund 148 eine Rolle, wie eine Aufsichtsbehörde von einer Verletzung Kenntnis erlangt hat, sprich von der verantwortlichen Stelle selbst oder einem Dritten. 

Eine Ausnahme von dieser Meldepflicht besteht nur dann, wenn die Verletzung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Wenn ein Schadenseintritt beim Betroffenen nicht möglich erscheint, muss auch keine Meldung erfolgen. Als Beispiele möglicher Schäden nennt Erwägungsgrund 85 unter anderem den Verlust der Kontrolle über die eigenen personenbezogenen Daten oder die Einschränkung der Rechte Betroffener. Werden die Daten ohne Wissen der Betroffenen verwendet, liegt bereits eine Einschränkung der Betroffenenrechte vor. Die Betroffenen haben über ihre Daten auch keine Kontrolle mehr, wenn diese in die Hände eines Ihnen unbekannten Dritten gelangen. Ob ein Risiko für die Rechte und Freiheiten der betroffenen Personen vorliegt, sollte daher sorgfältig abgewogen werden. Diese Prognoseentscheidung muss die verantwortliche Stelle fällen, die auch das Risiko einer Fehlbeurteilung trägt. Im nächsten Schritt muss bewertet werden, wie wahrscheinlich dieses Risiko ist. Unterstellt man, dass der Täter die Daten geklaut hat, um sie auch zu verwenden, wird die Wahrscheinlichkeit, dass sich das Risiko verwirklicht, in der Regel nicht ohne weiteres zu vernachlässigen sein. Kommt die verantwortliche Stelle zu dem Ergebnis, dass voraussichtlich kein Risiko besteht – z.B. weil die Daten wirksam verschlüsselt waren – sollte sie die durchgeführte Risikobewertung unbedingt dokumentieren. 

Kommt die verantwortliche Stelle zu dem Ergebnis, dass die Datenschutzverletzung der Datenschutzaufsichtsbehörde zu melden ist, sollte unbedingt Art. 34 DSGVO ebenfalls im Auge behalten werden. Hier droht nämlich weiteres Ungemach. Kommt die verantwortliche Stelle im Rahmen ihrer Prüfung zu dem Ergebnis, dass die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, so muss sie zusätzlich auch die betroffenen Personen unverzüglich von dem Datenschutzvorfall benachrichtigen. Die Aussicht, seine Kunde darüber zu informieren, dass ihre Daten abhandengekommen sind, wird sicherlich in den wenigsten Fällen Jubelschreie auslösen. 

Ob ein hohes Risiko vorliegt, lässt sich nur im Einzelfall feststellen und hängt neben der Wahrscheinlichkeit des Schadenseintritts auch von der schwere eines möglichen Schadens ab. Im Rahmen dieses risikobasierten Ansatzes kommt entscheidende Bedeutung der Art der entwendeten Daten zu. Adressdaten sind sicherlich unkritischer als Passwörter, Bankdaten oder Gesundheitsdaten. Erneut ist das Ergebnis der Risikoprognose, insbesondere wenn ein hohes Risiko verneint wird, zu dokumentieren. 

Letztlich muss der Verletzte, obwohl er nicht Täter, sondern Opfer ist, bei jedem Datendiebstahl auch die datenschutzrechtlichen Meldepflichten beachten. Während die Meldepflicht gegenüber der Aufsichtsbehörde nach Art. 33 DSGVO bereits bei jeder Datenschutzverletzung besteht und nur ausnahmsweise entfällt, wenn voraussichtlich kein Risiko für die Rechte und Freiheiten des Betroffenen besteht, wird die Benachrichtigungspflicht des Art. 34 DSGVO erst ausgelöst, wenn ein voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht.