Ratgeber - Data Breach & Meldepflicht (Praxisbeispiel) - Teil 3
Thomas Reisinger | 09.April 2020Artikelinhalt
Data Breach wie sieht das in der Praxis wirklich aus? Wir zeigen ob und wie das ENISA Modell mit den Kriterien der Meldepflicht eines Data Breach nach DSGVO vereinbar ist - an Hand eines praktischen, aus dem realen Leben gegriffenen Beispiel. Soviel sei vorweg genommen, es gibt durchaus "Kleinigkeiten" bei welchen eine interne Dokumentation im Vergleich zur Meldung an Die Behörde ausreichend ist.
Beispiel Sachverhalt:
ein Verantwortlicher im Bereich des Einzelhandels, verliert die auf einem Datenträger gespeicherte Sicherungskopie einer Kundendatenbank. Diese enthält Kontaktdaten (Name, Vorname, Adresse und Telefonnummer). Der Datenträger ist - dem Stand der Technik entsprechend verschlüsselt. Weiters verfügt der Verantwortliche über weitere Sicherungskopien der Kundendatenbank.
Nach der ENISA-Formel
SE = DPC x EI + CB
sind in einem ersten Schritt die betroffenen Daten zu bewerten. Da es sich "nur" um unkritische Daten handelt ist für DPC ein Wert von 1 anzunehmen.
Exkurs: würde es sich hier um eine eher pikantere Branche handeln wie etwa um einen Händler im Bereich der Erotik-Branche oder aber um einen Luxus-Händler handeln, dann könnte hier alleine schon deswegen ein höherer Wert angenommen werden.
Für den Identifikationsfaktor ist der maximale Wert 1 anzunehmen, da diese mittels Adressen, Telefonnummer und Klarnamen eindeutig identifizierbar sind. Hinsichtlich der Umstände des Vorfalls (CB) ist im gegenständlichen Fall jedenfalls keine Erhöhung gegeben, da aufgrund der dem Stand der Technik entsprechenden Verschlüsselung und den Sicherungskopien kein Verlust der Vertraulichkeit und Verfügbarkeit anzunehmen ist.
Insofern ergibt sich im gegenständlichen Beispiel folgendes Ergebnis:
SE = 1 x 1 + 0
Insgesamt ist der Data Breach im vorliegenden Beispiel also mit einem Wert von 1 zu beziffern und ist somit nach Empfehlung der ENISA nicht zu melden, da von einem vernachlässigbaren Risiko für die betroffenen Personen auszugehen ist.
Spätestens an diesem Punkt sollte der routinierte DSGVO-Experte aber die Augen aufschlagend einwenden, dass in Art 33 DSGVO nichts von "geringem Risiko" steht, sondern eindeutig "kein Risiko" verlangt wird und man dieses ENISA-Modell damit eher als einen Taschenspieler-Trick abtun sollte.
Strenggenommen trifft dies zu, allerdings haben bereits erste Aufsichtsbehörden durchblicken lassen, dass nicht jeder Data Breach meldepflichtig ist und sich dabei auf ein Working Paper der (ehemaligen) Art 29 Gruppe aus dem Jahr 2017 berufen.
Auch diese Working Paper verfügen über einen gewissen offiziellen Touch, da sie von dem - für die DSGVO relevanten - European Data Protection Board (EDPB) adoptiert wurden und somit - bis auf Widerruf - weiter gelten.
Im - für diesen Artikel relevanten Working Paper 250 - werden mehrere Fallkonstellationen (darunter auch der Verlust von verschlüsselten Datenträgern) genannt bei denen davon auszugehen ist, dass das Risiko für die betroffenen Personen faktisch nicht vorhanden ist, sodass eine interne Dokumentation des Vorfalls ausreicht.
Zusammengefasst kann man daher argumentieren, dass bei einem Wert von unter 2 nach ENISA regelmäßig von "keinem" Risiko nach Art 33 DSGVO auszugehen ist und man einen Data Breach oft "nur" intern dokumentieren muss.
Links zum Artikel
Working Paper 250
ENISA-Guideline