Datenschutzverletzung: Was hilft da die DSGVO?

Autoren: Frederik Zuiderveen Borgesius & Hadi Asghari

Stellen Sie sich vor, Sie wachen eines Morgens auf und merken, dass Ihr bevorzugter Online-Dienst zum Opfer eines Hacker*innenangriffs geworden ist. Die Hackenden haben vertrauliche Daten des Unternehmens ausspioniert, darunter Ihren Namen, Ihre Adresse und Ihre Kreditkartendaten. Ein solches Szenario verdeutlicht, was eine Datenschutzverletzung bedeuten kann: ein unbefugter Zugriff auf oder die Freigabe von sensiblen Informationen durch böswillige Akteur*innen. Doch welche Schritte müssen unternommen werden, wenn eine solche Sicherheitsverletzung auftritt? Nach der Allgemeinen Datenschutzgrundverordnung (DSGVO) muss eine Organisation (z. B. der Online-Dienst) die zuständige Datenschutzaufsichtsbehörde benachrichtigen und in einem zweiten Schritt die betroffenen Personen informieren (z. B. Sie), wenn die Datenschutzverletzung deren Rechte und Freiheiten bedroht. Aber trägt diese Meldepflicht wirklich zum Schutz personenbezogener Daten und zur Abmilderung der möglichen Folgen von Datenschutzverletzungen bei? In einem neuen wissenschaftlichen Artikel, den wir zusammen mit unseren Kollegen Noël Bangma und Jaap-Henk Hoepman verfasst haben, kombinieren wir Erkenntnisse aus verschiedenen Disziplinen (Recht, Informationssicherheit und Wirtschaft), um die folgende Frage zu beantworten: Was sind die Stärken und Schwächen der Meldepflicht für Datenschutzverletzungen in der DSGVO? In diesem Blogbeitrag fassen wir die wichtigsten Punkte unseres Artikels zusammen.

Die DSGVO und Datenschutzverletzungen

Die in der DSGVO vorgesehene Verpflichtung zur Meldung von Datenschutzverletzungen lässt sich wie folgt zusammenfassen. Gemäß Artikel 33 müssen die Datenverantwortlichen eine Datenschutzverletzung der Datenschutzaufsichtsbehörde melden, es sei denn, es ist unwahrscheinlich, dass die Verletzung zu Risiken für Personen führt. Gemäß Artikel 34 müssen die Datenverantwortlichen die betroffene Person über eine Datenschutzverletzung benachrichtigen, wenn die Verletzung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person zur Folge hat. Kurz gesagt: Ein Datenverantwortlicher ist die Organisation, die den Verwendungszweck und die Verfahren bei der Verarbeitung personenbezogener Daten festlegt; die betroffene Person ist die Person, deren personenbezogene Daten verarbeitet werden. Eine Verletzung des Datenschutzes kann weitreichende Auswirkungen für die Betroffenen haben, besonders wenn es sich um sensible Daten handelt. Sie kann zu finanziellen Verlusten, Identitätsbetrug, Rufschädigung und anderen Beeinträchtigungen der Privatsphäre führen.

Sechs Ziele der Meldepflicht für Datenschutzverletzungen in der DSGVO

Im Rahmen unserer Analyse haben wir sechs Argumente für die Pflicht zur Meldung von Datenschutzverletzungen in der DSGVO ermittelt und für jedes dieser Argumente untersucht, ob die Pflicht nützlich sein könnte.

1. Die Menschen können sich selbst schützen

Ein Argument für eine Pflicht zur Meldung von Datenschutzverletzungen ist, dass sich die Menschen nach einer solchen Meldung selbst schützen können. Eine solche Verpflichtung kann beispielsweise dazu führen, dass Menschen ihre Passwörter ändern, wenn eine für die Daten verantwortliche Organisation ihre Passwörter weitergegeben hat, oder dass sie ihre Kreditkarten sperren, nachdem eine Sicherheitsverletzung mit einem Leck bei den Kreditkarten stattgefunden hat. 

Einige personenbezogene Daten sind jedoch nur schwer zu ändern. Die Krankenakte einer Person kann sensible und risikoreiche Daten enthalten, aber es gibt nicht viel, was die Menschen tun können, wenn ihre medizinischen Daten durchsickern. Hinzu kommt, dass viele Menschen nicht über die technischen Kenntnisse verfügen, um sich vor Identitätsbetrug und anderen Risiken zu schützen. Zusammenfassend lässt sich sagen, dass Meldungen von Datenschutzverletzungen zwar in einigen Fällen helfen können, sich zu schützen, dass wir aber keine allzu optimistischen Ausnahmen machen sollten.

2. Die Menschen können konkurrierende Dienste wählen oder zu ihnen wechseln.

Ein öffentlich bekannt gewordener Datenschutzverstoß könnte theoretisch Kund*innen dazu bewegen, zu einem anderen, konkurrierenden Online-Dienst zu wechseln. In der Praxis ist dieses Argument jedoch in vielen Situationen nicht stichhaltig. Wenn z. B. Ihr Arbeitgeber oder Ihre Universität von einer Datenschutzverletzung betroffen ist, können Sie nicht einfach zu einem anderen Arbeitsplatz oder einer anderen Universität wechseln. Bei vielen Online-Diensten ist ein Wechsel ebenfalls schwierig, vor allem wenn der Nutzen des Dienstes von der Zahl der anderen Nutzer*innen abhängt. Und in vielen Fällen ist es für die Menschen schwierig oder lästig, zu wechseln. 

Für die meisten Menschen besteht eine weitere Herausforderung darin, dass es schwierig ist, zu beurteilen, ob ein andere für Daten verantwortliche Organisation eine bessere Sicherheit bietet. Hier besteht oft  eine Informationsasymmetrie hinsichtlich der Sicherheitspraktiken verschiedener Online-Dienste. Ungeachtet unserer Kritik können Meldepflichten für diejenigen Verbraucher*innen nützlich sein, die bereit und in der Lage sind, nach einer Datenschutzverletzung zu einem anderen Unternehmen zu wechseln.

3. Anreize für Organisationen, die Sicherheit zu verbessern

Eine Meldepflicht könnte die Datenverantwortlichen dazu veranlassen, sich auf eine bessere Datensicherheit zu konzentrieren, da gemeldete Datenschutzverletzungen negative Publicity verursachen. Murcian-Goroff fand solche besseren Sicherheitspraktiken in Kalifornien, nachdem dieser Staat das weltweit erste Gesetz zur Meldung von Datenschutzverletzungen verabschiedet hatte. Auch in Europa scheinen Organisationen nach der Verabschiedung der DSGVO begonnen zu haben, die Datensicherheit ernster zu nehmen. Es ist jedoch schwierig, zwischen den Auswirkungen der DSGVO im Allgemeinen und den Auswirkungen der Meldepflichten bei Datenschutzverletzungen zu unterscheiden.

4. Die Meldepflicht für Datenschutzverletzungen ermöglicht es den Aufsichtsbehörden, ihre Aufgaben zu erfüllen

Ein vierter Grund für die Meldepflicht ist, dass sie die Datenschutzaufsichtsbehörde in die Lage versetzt, ihre Aufgaben zu erfüllen. (Jeder EU-Mitgliedstaat hat seine eigene Datenschutzaufsichtsbehörde, und in Deutschland hat jedes Bundesland seine eigene Behörde). Erstens kann die Aufsichtsbehörde eine zweite Stellungnahme abgeben, wenn eine für die Daten verantwortliche Organisation beschlossen hat, die betroffene Person nicht zu benachrichtigen. (Hält die Behörde die Verletzung des Schutzes personenbezogener Daten für sehr riskant, kann sie von der verantwortlichen Organisation verlangen, die betroffene Person über die Verletzung zu informieren, unabhängig von ihrer Meinung). Zweitens erhalten die Aufsichtsbehörden durch die Meldungen Informationen über Sicherheitsrisiken in der Gesellschaft. Zum Beispiel, dass viele Datenschutzverletzungen in einem bestimmten Sektor auftreten.

5. Verbesserung von Transparenz und Rechenschaftspflicht

Eine Pflicht zur Meldung von Datenschutzverletzungen kann dazu beitragen, die Transparenz gegenüber den betroffenen Personen und den Datenschutzaufsichtsbehörden zu verbessern. Wie im Folgenden erörtert, hätte die DSGVO jedoch mehr zur Transparenz beitragen können.  

6. Erstellung von Statistiken

Eine Meldepflicht für Datenschutzverletzungen ermöglicht es den Behörden, Statistiken über Datenschutzverletzungen zu erstellen und zu veröffentlichen. Der Europäische Datenschutzausschuss (EDPB) veröffentlicht bereits einige Daten: Er berichtet manchmal über die Anzahl der Datenschutzverletzungen, die den Aufsichtsbehörden gemeldet wurden. Mehr Transparenz wäre jedoch wünschenswert, und wir empfehlen, dass die europäischen Aufsichtsbehörden und der Ausschuss mehr Statistiken und Informationen für Forscher*innen und andere zur Verfügung stellen. Auf der Grundlage der vom EDPB veröffentlichten Daten haben wir die Anzahl der Meldungen von Datenschutzverletzungen pro hunderttausend Unternehmen für alle EU-Mitgliedstaaten (außer Griechenland) zwischen Mai 2018 und November 2019 berechnet. Die Ergebnisse reichen von weniger als 200 (Italien, Spanien, Rumänien) bis zu über 7.000 (Dänemark, Irland, Niederlande) Meldungen von Sicherheitsverletzungen pro 100.000 Unternehmen im angegebenen Zeitraum. Die Zahl für Deutschland liegt bei etwa 3.000 Meldungen von Sicherheitsverletzungen je 100.000 Unternehmen. Ein solch großer Unterschied ist etwas verwunderlich. Ein höheres Verhältnis spiegelt nicht unbedingt eine schlechtere Sicherheitslage wider; es kann auch auf bessere Fähigkeiten zur Aufdeckung von Sicherheitsverletzungen und eine vorsichtigere Unternehmenskultur hindeuten, die es vorzieht, zu viel zu melden.

Schlussfolgerung zur Datenschutzverletzung

Unsere wichtigste Schlussfolgerung ist, dass die Vorschriften der DSGVO wahrscheinlich zur Erreichung der sechs Ziele beitragen werden. So kann die Pflicht zur Meldung von Datenschutzverletzungen Organisationen zu besserer Sicherheit veranlassen; eine solche Pflicht ermöglicht es den Aufsichtsbehörden, ihre Aufgaben zu erfüllen, und eine solche Pflicht verbessert die Transparenz und Rechenschaftspflicht. 

Wir warnen jedoch auch davor, unrealistische Erwartungen an die Möglichkeiten der Menschen zu haben, ihre Interessen nach einer Meldung über eine Datenschutzverletzung zu schützen. Ebenso sollten wir keine hohen Erwartungen an die Menschen stellen, die nach einer solchen Meldung von Datenschutzverletzungen zu einem anderen Dienstanbieter wechseln. 

Schließlich fordern wir die Datenschutzaufsichtsbehörden auf, mehr Informationen über Datenschutzverletzungen, die ihnen gemeldet wurden, zu veröffentlichen. Solche Informationen ermöglichen Untersuchungen und eine bessere Politikgestaltung im Bereich der Datensicherheit. 

Weitere Einzelheiten finden Sie in unserem Beitrag.