"Datenpannen" passieren in jeder Organisation. Solche Vorfälle können schlicht aus Versehen (unbeabsichtigt) ausgelöst werden, z.B. durch das Versenden von personenbezogenen Daten an den falschen Empfänger per E-Mail "Autofill"-Funktion.
Sie können auch einfach durch gestresste Mitarbeiter passieren, die vielleicht ihren Laptop im Taxi vergessen oder ihr Firmenhandy verlieren.
Auch die Nicht-Verfügbarkeit von personenbezogenen Daten kann einen solchen Vorfall darstellen, wenn zum Beispiel durch einen längeren Ausfall von Servern Kunden nicht mehr auf ihre Daten zugreifen können. Am schlimmsten sind für Unternehmen sicherlich die Situationen in denen etwa durch einen Hacker-Angriff oder durch technische Fehlkonfigurationen größere Mengen an personenbezogenen Daten abfließen oder offen gelegt werden.
Die grundsätzliche Frage, ob angemessene Schutzmaßnahmen im Sinne des Art. 32 DSGVO getroffen wurden ist essentiell für die Bewertung, welches Risiko für die Betroffenen durch die Datenpanne entsteht und welche Folgen sich für diese daraus ergeben (könnten).
Aber wieso ist das für die Bewertung "Meldung an die Aufsichtsbehörde oder nicht?" eigentlich relevant?
Die BayLDA sagt in ihren "FAQ": "Bei Datenschutzverletzungen ist die Meldeschwelle unter der DS-GVO geringer, als es beim § 42a BDSG (alt) der Fall war. Dies führt dazu, dass eine Meldung nach Art. 33 DS-GVO die Regel ist, sofern eine Verletzung der Sicherheit festgestellt wurde."
"Das Risiko für die Rechte und Freiheiten [...] betrifft immer die Grundrechte und Grundfreiheiten einer einzelnen Person. Insofern muss das Risiko für jeden einzelnen Betroffenen bestimmt werden - sollte mindestens ein Risiko dabei festgestellt werden, ist eine Meldung nach Art. 33 DS-GVO erforderlich. [...]"
Art. 33 Abs. 1 DSGVO sagt zur Meldepflicht:
"...es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt."
Was zu der Frage führt - (wie) kann man ein Risiko für die Betroffenen ausschließen?
Gesetzt den Fall dass man eben eine Datenbank führen muss (was wohl der "Normalfall" sein wird), ist es zwingend notwendig, diese mit einem entsprechend granularen Berechtigungskonzept zu versehen.
Selbstverständlich muss die Datenbank sicher verschlüsselt sein. Wie diese Verschlüsselung umgesetzt wird, sollte der Verantwortliche dringend mit einem IT Sicherheitsprofi abklären.
Und vergessen sie nicht die personenbezogenen Daten, die auf Laufwerken, in der Cloud, auf mobilen Geräten, Datenträgern etc. gespeichert werden.
Ob dies "ein Risiko" ausschließt lasse ich an dieser Stelle lieber offen und ist letztendlich Entscheidung des Verantwortlichen.
Fazit:
Der Logik der (bayerischen) Aufsichtsbehörde folgend, sollte man im Zweifelsfall eher melden.
In Ungarn hat es schon eine politische Partei mit gut 34.000 Euro Bußgeld wegen Verstößen gegen Art. 33 und 34 DSGVO erwischt.
Nicht vergessen: auch wenn der Verantwortliche entscheidet, nicht zu melden, so hat man nach Art. 33 Abs. 5 DSGVO die Pflicht zur internen Dokumentation eines Datenschutz-Vorfalls.
Wer jetzt immer noch keinen Prozess und entsprechende Dokumentationsvorlagen hat, kann gerne mal bei www.datenschutzdocs.de (externer Link, kostenpflichtige Vorlagen/Onlineshop) vorbeischauen.