Datenschutzaufsicht: Datenpannen gehören inzwischen zum Alltagsgeschäft

Die DSGVO verlangt, Datenschutzverletzungen zu melden. Wurden früher Datenpannen kaum gemeldet, fällt heute derjenige auf, der keine Verstöße zu melden hat.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 32 Beiträge

(Bild: PopTika / shutterstock.com)

Von

Erst vor wenigen Tagen kam es aufgrund eines Programmierfehlers zu einer meldepflichtigen Datenpanne bei der Investitionsbank Berlin. Sie machte Schlagzeilen. Von den meisten Datenpannen hört man hingegen nur wenig. Dabei haben die deutschen Aufsichtsbehörden wohl in keinem anderen Arbeitsbereich so viel zu tun wie in diesem. Das Bayerische Landesamt für Datenschutzaufsicht stellt für 2019 rückblickend fest, "dass die Bearbeitung von Datenschutzverletzungen einen großen Anteil unserer täglichen Arbeit einnimmt und wir an vielen Tagen über 20 Meldungen erhalten."

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Seit dem Wirksamwerden der europäischen Datenschutz-Grundverordnung (DSGVO) im Mai 2018 ist die Zahl der Meldungen zu Datenschutzverletzungen nach Artikel 33 DSGVO in vielen Datenschutz-Aufsichtsbehörden deutlich gestiegen. Die Berliner Datenschutzbeauftragte zählt in ihrem jetzt für das Jahr 2019 veröffentlichten Jahresbericht 1017 solcher Pannen. Damit hat sich das Aufkommen seit Mai 2018 versiebzehnfacht. Mit einem Rückgang der Meldungen rechnet die Datenschutzbeauftragte nicht. Sie hält fest: "Derzeit steigen die Zahlen eher noch an und es ist von einem Einpendeln auf einem hohen Niveau auszugehen."

Die Bremer Datenschutzbeauftragte zählt für das Jahr 2019 nur 83 Meldungen von Datenpannen – dabei handelt es sich um eine Verdopplung im Vergleich zum Vorjahr. In ihrem vor wenigen Tagen veröffentlichten Tätigkeitsbericht kommt die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen für das Jahr 2018 nur auf eine Verdreifachung der gemeldeten Pannen auf 349. Mit Blick auf die Berichte anderer Aufsichtsbehörden sieht Hansen "solche Bereiche kritisch, in denen gar nicht oder sehr sparsam gemeldet wird, obwohl uns dann später doch irgendwie Vorfälle bekannt werden, die hätten gemeldet werden müssen."

Marit Hansen widmete in ihrem Tätigkeitsbericht dem Polizeibereich daher sogar ein eigenes Kapitel, da er mit "Null Datenpannen-Meldungen" auffällt: "Während bei Aufsichtsbehörden anderer Bundesländer beinahe wöchentlich Meldungen der Polizei eingehen, gibt es in Schleswig-Holstein bisher keine einzige Meldung aus diesem Bereich." Der Datenschutzbeauftragten ist bis heute weder ein Konzept zur Schulung der rund 6.500 Bediensteten im Polizeibereich, noch ein Konzept zur Meldung und Bewertung entsprechender Datenschutzverletzungen bekannt. Aus dem Justizbereich kam immerhin eine einzige Meldung, weshalb Hansen vermutet, dass die gesetzliche Meldepflicht dort noch nicht überall umgesetzt ist. Sie sagt deshalb: "Es wäre fatal, wenn der Eindruck entstehen würde, dass die Polizei zwar ihre gesetzlichen Befugnisse zum Eingriff in Bürgerrechte nutzt, auf der anderen Seite aber nicht dafür Sorge trägt, selbst ihre gesetzlichen Pflichten zu erfüllen, die die Bürgerrechte stärken sollen."

Häufig erkundigen sich diejenigen, die eine Datenpanne gemeldet und die Betroffenen benachrichtigt hatten, ob sie nun seitens der Aufsichtsbehörde Sanktionen zu erwarten seien. Die Berliner Datenschutzbeauftragte stellt klar, dass allein aufgrund der Informationen in der Meldung kein Bußgeld verhängt werden dürfe. Anders sei dies jedoch, wenn die Aufsichtsbehörde durch eine Beschwerde von Betroffenen davon erfahren hat, der durch den Verantwortlichen darüber nicht informiert wurde. In solchen Fällen kann die Aufsichtsbehörde eine Verwarnung aussprechen.

Bußgelder sind dann möglich, wenn bei der Überprüfung des Falls weitere Sachverhalte aufgedeckt werden. So hatte etwa die baden-württembergische Aufsichtsbehörde die Meldung eines Hackervorfalls näher überprüft. Dabei stellte sich heraus, dass das soziale Netzwerk Knuddels die Nutzer-Passwörter im Klartext gespeichert hatte, um einen Passwortfilter zu verwenden. Diesen Verstoß gegen Artikel 32 DSGVO ahndete die Behörde mit einem Bußgeldbescheid in Höhe von 20.000 Euro.

Auffallend ist in diesem Jahr, dass viele Aufsichtsbehörden keine Zahlen angeben. So führt etwa der Hamburgische Datenschutzbeauftragte in seinem Bericht für 2019 nur einige besonders eklatante Fälle beispielhaft auf. In Baden-Württemberg hatte sich die Zahl der Meldungen im Laufe des Jahres 2018 verzehnfacht, doch im aktuellen Tätigkeitsbericht verzichtet die Behörde ebenfalls darauf, die Zahl der gemeldeten Datenpannen zu nennen. Sie erwähnt nur, dass 2019 „überraschend oft“ Datenpannen gemeldet wurden, die über nicht oder nicht ausreichend abgesicherte Fernwartungszugänge erfolgten. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) meldete für das Jahr 2018 um das 18-Fache, für 2019 veröffentlichte sie ebenfalls keine Zahlen.

Der Grund für die Zurückhaltung liegt darin, dass die Aufsichtsbehörden in Deutschland und Europa noch immer kein gemeinsames Verständnis darüber gefunden haben, was eine meldepflichtige Datenpanne überhaupt ist. Konkret gehe es um die Frage, so erklärt das BayLDA, wann bei einer Datenschutzverletzung kein Risiko für die Rechte und Freiheiten einer betroffenen Person vorliegt. Ein Arbeitskreis der Datenschutzkonferenz befasst sich deshalb nun damit, ein gemeinsames Verständnis zu erarbeiten. (tiw)