Informierung bei Datenpannen

Meldung von Datenpannen und andere Datenschutz-Krisen-PR sind nicht nur rechtlich, sondern auch kommunikativ herausfordernd. Typische Ursachen für Datenpannen und Datenschutzverstöße sind neben dem Fehlverhalten von Mitarbeitern die fehlende Umsetzung gesetzlicher Vorgaben bezüglich organisatorischer und technischer Maßnahmen. Auch der sorglose Umgang mit IT-Technologie oder das unbedachte Einspielen von Updates kann zu Problemen führen. Im schlimmsten Fall ist je nach Branche auch mit vorsätzlichen Angriffen auf die Dateninfrastruktur zu rechnen.

Natürlich sollte der Fokus in der täglichen Arbeit in der Datenschutzkommunikation in den vorher geschilderten Phasen liegen und Probleme mit Datenpannen durch technische und organisatorische Maßnahmen möglichst verhindert werden. Für den Fall, dass eine Datenpanne dennoch eintritt, sollte man aber vorbereitet sein.

In einem solchen Fall sind aus Sicht der Datenschutzkommunikation zwei Problemkomplexe zu unterscheiden. Zum einen bestehen möglicherweise rechtliche Mitteilungspflichten. Dies kann sowohl gegenüber den Aufsichtsbehörden als auch gegenüber den Betroffenen der Fall sein. Bei vorsätzlichen Angriffen kann auch das Einschalten der Strafverfolgung angezeigt sein.

Verpflichtung und Verfahren

In Rahmen dieser Mitteilungen muss sich die Kommunikation zwingend nah an den gesetzlichen Vorgaben orientieren, damit den dort festgelegten Pflichten nachgekommen wird. Der Spielraum ist hier eher gering. In der DSGVO ergeben sich Mitteilungspflichten aus Art. 33 und 34. Weitere Pflichten bestehen momentan im Rahmen der § 42a BDSG; § 15a TMG; § 73 Abs. 1 S. 3 Messstellenbetriebsgesetz [MsbG]; VO (EU) 611/2013; § 109a TKG.

Pflichten gegenüber der Aufsichtsbehörde

Den Aufsichtsbehörden ist nach Art. 33 Abs. 1 DSGVO eine Verletzung des Schutzes personenbezogener Daten zu melden. Art. 4 Nr. 12 DSGVO enthält die dazugehörige Definition. Die Pflicht greift danach sowohl bei Verarbeitung, Speicherung, als auch bei der Übermittlung von personenbezogenen Daten. Auf einen Vorsatz, anderes eigenes unrechtmäßiges Verhalten oder eigene Fehler kommt es hier nicht an. Meldepflichtig ist jede Verletzung der Sicherheit, die zu Vernichtung, Verlust, Veränderung zu unbefugter Offenlegung oder zu unbefugtem Zugang zu persönlichen Daten führt.

Nach dem Bekanntwerden einer solchen Verletzung muss die Meldung an die Aufsichtsbehörde unverzüglich, spätestens jedoch nach 72 Stunden, erfolgen. Eine spätere Meldung muss eine Begründung für die Verzögerung beigelegt werden. Gerade im Hinblick darauf, dass Einbrüche in die IT von Unternehmen und Behörden in Deutschland im Schnitt erst nach etwa eineinhalb Jahren entdeckt werden, ist das Abstellen auf den Moment des Bekanntwerdens essentiell.

Entfallen kann die Pflicht zur Mitteilung, wenn voraussichtlich kein Risiko für Rechte und Freiheiten von natürlichen Personen besteht (Art. 33 Abs. 1 Hs. 2 DSGVO). In Zusammenschau mit den Haftungs- und Sanktionsvorschriften ist hier vor allem auf die Wahrscheinlichkeit des Eintritts von materiellen und immateriellen Schäden abzustellen. Je nach Art der gespeicherten Daten bestehen hier ganz erhebliche Risiken. Die Prognose ist dabei methodisch sorgfältig zu erstellen und im Nachhinein gerichtlich voll überprüfbar.

Pflichten gegenüber den Betroffenen

In besonderen Fällen sind auch die Betroffenen selber zu informieren. Die Regelungen hierzu enthält Art. 34 DSGVO. Die Meldepflicht den Betroffenen gegenüber tritt allerdings nur in dem Fall ein, dass ein „hohes Risiko“ für deren Rechte und Freiheiten besteht. Während die Mitteilung an die Aufsichtsbehörde im Fall einer Verletzung also den Regelfall darstellt, ist die an den Betroffenen selbst die Ausnahme. Art. 34 Abs. 3 DSGVO enthält dabei noch konkretere Fälle, in denen die Mitteilung an die Betroffenen in jedem Fall ausscheidet. Dies gilt vor allem bei Abhandenkommen ohnehin ausreichend verschlüsselter Daten (lit. a), bei Ausschluss eines hohen Risikos für die Betroffenen zwischen Mitteilung an die Aufsichtsbehörde und möglicher Benachrichtigung der Betroffenen (lit. b) und insbesondere in dem Fall, wenn die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre (lit. c). Im letzten Fall ist das allerdings ersatzweise eine öffentliche Bekanntmachung oder ähnlich wirksame Maßnahme zur Informierung zu treffen. Die möglichen kommunikativen Folgen einer solchen öffentlichen Mitteilung sollten bei der Entscheidung, sich auf einen unverhältnismäßigen Aufwand zu berufen, berücksichtigt werden.

Haftung und Sanktionen

Gerade für den Fall einer Datenpanne ist auch auf die damit verbunden Haftungs- und Sanktionsrisiken hinzuweisen.

Dies gilt einmal in Anknüpfung an die Panne selbst: Nach Art. 82 Abs. 1 DSGVO ist eine umfangreiche Haftung für materielle oder immaterielle Schäden vorgesehen, die dem Betroffenen aus Verstößen entstehen.

Daneben sind die obigen Kommunikationspflichten aus Art. 33 und 34 DSGVO gegenüber Aufsichtsbehörde und Betroffenem bußgeldbewehrt, Art. 83 Abs. 4 DSGVO. Nicht nur aus Kommunikationssicht bestehen hier also große Anreize für eine gute Informierung.

Inhaltliche Anforderungen

Den Inhalt der Meldung beschreibt Art. 33 Abs. 3 DSGVO. Dies umfasst einmal eine möglichst detaillierte Angabe der betroffenen Daten und der möglichen Anzahl von Betroffenen, die Angabe von Kontaktdaten für die Aufsichtsstelle für weitere Rücksprache, insbesondere die des möglicherweise benannten Datenschutzbeauftragten, die eine Beschreibung der wahrscheinlichen Folgen der Datenpanne und der von der Verantwortlichen Stelle bereits getroffenen oder vorgeschlagenen Maßnahmen zur Eindämmung des Problems.

Dabei können die Informationen gemäß Art. 33 Abs. 4 DSGVO auch später nachgereicht werden, sofern dies nicht anders möglich ist. Art. 33 Abs. 5 DSGVO verlangt darüber hinaus das Anlegen einer umfangreicheren, überprüfbaren Dokumentation der Verletzung selber und der zur Minderung der Folgen getroffenen Maßnahmen.

Die Mitteilung an den Betroffenen selbst ist dabei in klarer und einfacher Sprache zu verfassen (Art. 34 Abs. 1 DSGVO). Dabei kann auf die obigen Ausführungen zu zielgruppenorientierter Kommunikation verwiesen werden (II.3.b.cc.). Abweichungen von den möglicherweise sehr juristisch oder technisch geprägten Ausführungen für die fachlich vorgebildeten Aufsichtsbehörden sind hier empfehlenswert.

Zusätzliche Felder der Kommunikation von Datenpannen

Interessanter aus Sicht der Datenschutzkommunikation ist der Umgang mit der Datenpanne in der Öffentlichkeit. Die Öffentlichkeit kann zum einen aus eigenem Antrieb gesucht werden, zum anderen besteht aber bei einer großen Zahl von Betroffenen auch immer das Risiko, dass Dritte über die eigene Datenpanne berichten. In diesem Bereich sind der Kommunikation zumindest aus rechtlicher Sicht wenige Grenzen gesetzt. Hier geht es um die sinnvolle Nutzung von Krisen-PR, die aber innerhalb der Kommunikationswissenschaften nicht unumstritten ist und auch nicht zuletzt vom angestrebten Image des Unternehmens abhängt.

Dabei sind die eigentlichen Rechtspflichten zur öffentlichen Mitteilung von Datenpannen als solche wenig attraktiv. Die Verantwortlichen Stellen sind deshalb versucht, Eingeständnisse dieser Art auf ein Minimum, das rechtlich Unvermeidbare, zu reduzieren, um den Reputationsverlust gering zu halten. Allerdings raten Öffentlichkeitsarbeiter für Krisen ab einer gewissen Schwere zu Offenheit und Transparenz, um den Vertrauensverlust zu minimieren. – Es gibt also einen Kipppunkt für die Kommunikationsstrategie in diesem Zusammenhang.

Der eigentliche Fehler ist zu diesem Zeitpunkt ohnehin bereits geschehen und nicht mehr aus der Welt zu schaffen. Zu verhindern ist nun, diesen durch falsche oder ungeschickte Kommunikation noch zu verstärken. Dabei ist eine rein juristische Perspektive, die zwangsläufig auf die Verfahrensbeteiligten bezogen und im Kern fachlich und sachlich ist, meist eher hinderlich. Oft wird sogar aus Rechtsgründen eine möglichst restriktive Informationspolitik angeraten. Dies lässt aber die Informationsinteressen der Öffentlichkeit und letztendlich auch die Image-Ziele des Unternehmens außer Acht.

Anders als die möglicherweise beteiligten Juristen muss es gerade Teil der PR-Strategie sein, mit der generellen Öffentlichkeit und auch den Betroffenen und anderen Interessierten zu kommunizieren. Fasst man die Ziele von PR weiter, so ist hier eine Strategie zur Einflussnahme auf die öffentliche Diskussion und letztlich sogar zur eigenen Reputationskonstitution vonnöten. Eine pauschale Vorgabe kann dabei ohne die Besonderheiten des Einzelfalles aber kaum abgegeben werden.

Möglicherweise kann sogar die Vermeidung einer öffentlichen Debatte angestrebt werden. Dies ist freilich nur möglich, sofern nicht schon Dritte an die Öffentlichkeit gegangen sind. Dem Vertrauen von Betroffenen, Kunden und dem Image der Verantwortlichen Stelle in der Öffentlichkeit sind an diesem Punkt „No comment“-Aussagen, trotz großer Üblichkeit in der Praxis, selten besonders zuträglich.

Auch droht eine Veröffentlichung des Problems natürlich weiterhin, selbst wenn dieses intern bereits erkannt und eine Vermeidung der Debatte angestrebt wurde. Hier kann eine von Anfang an offensive Strategie einen eigenen Interpretationsrahmen eröffnen und mittelfristig durch Eingestehen des Fehlers und ein Bekennen zu Transparenz eine Reputationsförderung eintreten.

Unternehmensinterne Vorbereitung auf Krisen-Kommunikation

Nicht zu vergessen ist hier auch die interne Kommunikation mit den eigenen Beschäftigten. Durch die relative Häufigkeit von Datenpannen muss hier schon im Vorfeld eine Vorbereitung auf eine mögliche Krise stattfinden. Im Hinblick auf den heutigen Stand der Technisierung aller Lebensbereiche ist es realistisch betrachtet kaum zu vermeiden, dass es in einem Unternehmen zu irgendeinem Zeitpunkt zu einer Datenpanne kommen wird.

 Die Vorgaben müssen dabei einheitlich und klar sein, damit insbesondere bei überraschender Aufdeckung des Missstandes durch Dritte von Anfang an richtig reagiert werden kann.

Je größer das Unternehmen ist, desto wichtiger wird hier auch eine gute organisatorische Aufteilung zwischen Rechts- und PR-Mitarbeitern. Die beste Kommunikationsstrategie kann in so einem Moment durch unklare, nicht abgesprochene und am Ende möglicherweise dadurch widersprüchliche Aussagen aus verschiedenen Teilen des Unternehmens torpediert werden. Gerade bei einer aggressiven, gegebenenfalls sogar im Minutentakt aktualisierten Berichterstattung wird ein immenser Druck aufgebaut, dem nur durch von Anfang an klare Vorgaben sinnvoll begegnet werden kann.