Was ist der Unterschied zwischen einer „schrittweisen Mitteilung“ und einer „verzögerten Meldung“?
Die Meldung einer Verletzung des Schutzes personenbezogener Daten ist nach Art. 33 Abs. 1 Satz 1 DSGVO unverzüglich, mithin ohne schuldhaftes Zögern, zu erstatten. Doch es gibt Ausnahmen davon.
Schrittweise Mitteilung
Je nach Art einer Datensicherheitsverletzung muss der Verantwortliche zur Ermittlung aller für einen Vorfall relevanten Fakten eventuell zusätzliche Untersuchungen durchführen.
Wenn und soweit die Informationen nicht zur gleichen Zeit bereitgestellt werden können, kann der Verantwortliche diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen (Art. 33 Abs. 4 DSGVO).
Dies bedeutet, dass weitere Informationen nachgereicht werden können, entbindet aber nicht von der fristgereichten Meldefrist.
Der Art. 33 Abs. 4 DSGVO trägt der Tatsache Rechnung, dass einem Verantwortlichen nicht immer binnen 72 Stunden, nachdem ihm eine Datensicherheitsverletzung bekannt wurde, alle erforderlichen Informationen vorliegen, da vollständige und umfassende Details eines Vorfalls nicht immer schon innerhalb dieses ersten Zeitraums verfügbar sind. Deshalb darf die Meldung schrittweise erfolgen. Die schrittweise Meldung wird wahrscheinlich eher bei komplexeren Datensicherheitsverletzungen zum Tragen kommen, etwa bei bestimmten Cybersicherheitsvorfällen, die beispielsweise eingehende forensische Ermittlungen erfordern, um alle Aspekte der Datensicherheitsverletzung aufzuklären und festzustellen, in welchem Umfang personenbezogene Daten beeinträchtigt wurden. In vielen Fällen wird der Verantwortliche daher weitere Untersuchungen durchführen und zu einem späteren Zeitpunkt zusätzliche Informationen nachreichen müssen. Dies ist zulässig, sofern der Verantwortliche die Verzögerung gemäß Art. 33 Abs. 1 begründet. Der Verantwortliche sollte in diesem Fall die Aufsichtsbehörde bei seiner ersten Meldung auch darüber informieren, dass ihm noch nicht alle geforderten Informationen vorliegen und dass er weitere Angaben zu einem späteren Zeitpunkt nachreichen wird, nämlich dann, wenn ihm weitere relevante Details zu der Datensicherheitsverletzung bekannt werden, die an die Aufsichtsbehörde weitergegeben werden müssen. Das gilt insbesondere für Informationen, welche die der Erstmeldung zugrunde liegenden Annahmen zu Eintrittswahrscheinlichkeit und Schwere möglicher Nachteile für betroffene Personen in einem anderen Licht erscheinen lassen (insbesondere: Aufstufung des Risikos auf Grund nachträglich gewonnener Erkenntnisse).
Ferner sollte der Verantwortliche die Aufsichtsbehörde nach der ersten Meldung informieren, wenn sich bei Folgeuntersuchungen herausstellt, dass der Sicherheitsvorfall eingedämmt wurde und letztlich keine Datensicherheitsverletzung aufgetreten ist. Die neuen Erkenntnisse könnten dann den bereits an die Aufsichtsbehörde übermittelten Informationen hinzugefügt werden, sodass der Vorfall nicht als Datensicherheitsverletzung verzeichnet wird. Es gibt keine Strafe für die Meldung eines Vorfalls, der sich letztlich nicht als Datensicherheitsverletzung erweist.
Verzögerte Meldung
Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist nach Art. 33 Abs. 1 Satz 2 DSGVO eine Begründung für die Verzögerung beizufügen. Mit dieser Vorgabe sowie mit dem Konzept der schrittweisen Meldung wird zugestanden, dass die Verantwortlichen möglicherweise nicht immer in der Lage sind, eine Datenschutzverletzung innerhalb dieses Zeitraums zu melden, und dass eine verzögerte Meldung zulässig sein kann.
Bei der Abgabe einer verzögerten Meldung müssen außergewöhnliche Umstände dargelegt werden. Zwar enthält die Datenschutz-Grundverordnung keine Anhaltspunkte über die Qualität der Begründung, allerdings muss die Begründung für die verspätete Meldung nach Art. 33 Abs. 1 DSGVO umso tragfähiger sein, je gravierender die Datensicherheitsverletzung ist und je länger die 72-Stunden-Frist überzogen wird. So reicht die Angabe, die Mitarbeiter hätten die Pflicht zur Meldung nicht gekannt, als Begründung in der Regel nicht aus.
Bereits mit dem Konzept der schrittweisen Meldung – siehe oben – wird zugestanden, dass die Verantwortlichen möglicherweise nicht immer in der Lage sind, eine Datensicherheitsverletzung innerhalb dieses Zeitraums zu melden, und dass eine verzögerte Meldung zulässig sein kann.
Ein solches Szenario wäre beispielsweise denkbar, wenn bei einem Verantwortlichen in einem kurzen Zeitraum mehrere vergleichbare Verletzungen der Datenvertraulichkeit auftreten, von denen sehr viele Personen in gleicher Weise betroffen sind. Einem Verantwortlichen könnte eine Datensicherheitsverletzung bekannt werden, und zu Beginn seiner Untersuchungen sowie vor der Meldung könnte er feststellen, dass weitere ähnliche Verletzungen mit unterschiedlichen Ursachen aufgetreten sind. Je nach den Umständen kann der Verantwortliche das Ausmaß der Datensicherheitsverletzungen vielleicht erst nach einer gewissen Zeit feststellen; anstatt jede Verletzung einzeln zu melden, erstellt er eine aussagekräftige Meldung, in der mehrere sehr ähnlich gelagerte Verletzungen mit verschiedenen möglichen Ursachen wiedergegeben werden. Dadurch könnte sich die Meldung an die Aufsichtsbehörde um mehr als 72 Stunden, nachdem dem Verantwortlichen die Datensicherheitsverletzungen bekannt wurden, verzögern.
Streng genommen gilt jede einzelne Datensicherheitsverletzung als meldepflichtiger Vorfall. Um aber einen übermäßigen Aufwand zu vermeiden, kann der Verantwortliche alle Datensicherheitsverletzungen in einer Meldung „bündeln“, sofern dabei dieselben Arten von personenbezogenen Daten auf dieselbe Weise in einem relativ kurzen Zeitraum beeinträchtigt wurden. Kommt es zu einer Reihe von Datensicherheitsverletzungen, bei denen unterschiedliche Arten von personenbezogenen Daten auf unterschiedliche Weise verletzt werden, sollte die Meldung wie gewohnt erfolgen und jede Datensicherheitsverletzung einzeln gemäß Art. 33 gemeldet werden. Auch wenn die DSGVO in gewissem Umfang verzögerte Meldungen zulässt, darf dies nicht als regelmäßige Vorgehensweise betrachtet werden. Erwähnenswert ist, dass die gebündelte Meldung auch für mehrere ähnliche Datensicherheitsverletzungen innerhalb der 72-Stunden-Frist genutzt werden kann.