Im ersten Teil unserer Ratgeber Serie zeigten wir auf, dass nicht alle personenbezogenen Daten gleichermaßen sensibel sind und, dass eine feingliedrigere Betrachtung daher durchaus sinnvoll sein kann. Im gegenständlichen Artikel geht es nun darum wie man mithilfe einer solchen Gliederung der in der Praxis nicht ganz unbedeutende Frage der Meldepflichtigkeit eines Data Breach begegnet.

Data Breach Meldung binnen 72h

Bereits soetwas wie Allgemeinwissen in Datenschutzkreisen ist, dass die DSGVO nach Artikel 33 im Fall eines Data Breach grundsätzlich vorsieht, dass dieser der Aufsichtsbehörde binnen 72h zu melden ist.
Sofern davon auszugehen ist, dass ein hohes Risiko für die betroffenen Personen besteht sind auch diese zu informieren.

Was im Eifer des Gefechts jedoch oft untergeht ist, dass eine Meldung an die Behörde (ausnahmsweise) unterbleiben kann, wenn von keinem Risiko für die Rechte und Freiheiten der betroffenen Personen auszugehen ist.
Leider liefert die DSGVO (bewusst?) keine Erklärung wie genau dieses Risiko beschaffen ist. Auch die Aufsichtsbehörden halten sich hier (ebenfalls bewusst?) mit Kriterien sehr bedeckt.

Praxistauglicher Zugang

Eine durchaus praxistaugliche und auch semi-offizielle Antwort auf diese Frage wurde jedoch bereits vor längerer Zeit von der ENISA im Jahr 2013 in einem entsprechenden Guideline geliefert, wonach die Meldepflichtigkeit eines Data Breach nach folgenden drei Kriterien und mit dieser Formel zu bewerten ist:

SE = DPC x EI + CB


die Art der betroffenen Kategorien von Daten (DPC)

Hierbei wird nach dem im ersten Teil erörterten Modell zunächst beurteilt, welche Art von Daten betroffen sind und je nach Kritikalität wird dann ein Wert zwischen 1 und 4 genommen.
"normale" Daten haben hierbei einen Wert von 1.
"Standortdaten" oder Browserhistorien und ähnlichem wird ein Wert von 2 zugeschrieben.
Daten mit einem finanziellen Kontext wie etwa Gehaltszetteln oder Rechnungen etc... kommt ein Wert von 3 zu.
Daten besonderer Kategorie nach Art 9 DSGVO kommt schließlich ein Wert von 4 zu.

Identifizierbarkeit der betroffenen Personen (EI)

Getrennt von der Art der betroffenen Daten setzt man sich mit der Frage der Identifizierbarkeit der betroffenen Personen aus. Besteht zum Beispiel aufgrund pseudonymisierter Daten keine bzw kaum eine Möglichkeit der Identifizierbarkeit ist hier ein Wert von 0,25 anzunehmen. Sind hingegen die betroffenen Personen sofort identifizierbar (zB weil Klarnamen betroffen sind) so ist Wert von 1 anzunehmen.

Umstände des Data Breach (CB)

Gemeint sind hierbei die besonderen Umstände und auch Dimensionen des Einzelfalls. Zum Beispiel soll ein Data Breach in dem Daten sowohl in ihrer Vertraulichkeit als auch in ihrer Verfügbarkeit beeinträchtigt wurden höher wiegen als wenn Daten "nur" geleakt worden sind. Auch soll es schwerer wiegen, wenn Daten unwiderbringlich verloren sind als wenn diese durch ein Backup rasch wiederhergestellt wurden. Zusammengefasst kann man sagen, dass je nach Ausmaß des Data Breach hier zusätzliche Werte hinzuaddiert werden.

Interpretation der Ergebnisse

Die Frage ob ein Data Breach nun meldepflichtig ist hängt vom ermittelten Zahlenwert ab.
ENISA empfiehlt dabei, dass ein Wert unter 2 regelmäßig ein geringes Risiko darstellt und man dann von einer Meldung absehen kann.
Werte zwischen 2 und 3 hingegen stellen bereits ein signifikantes Risiko dar und sollten der Behörde gemeldet werden. Darüber hinausgehende Werte über 3 hingegen bedeuten zusätzlich auch, dass eine Meldung an die betroffenen Personen erfolgen sollte.

Soweit zur Theorie...

im nächsten Artikel unserer Ratgeber-Serie sehen wir uns das ENISA Modell anhand eines praktischen Beispiels an und setzen uns mit der Frage auseinander, ob sich das Modell mit der DSGVO in Einklang bringen lässt, denn diese verlangt - wie schon eingangs erwähnt - "kein Risiko".