Datenschutzverletzung und Meldung im Kontext des »Hafnium Hacks«

Verantwortliche und Auftragsverarbeiter benötigen Rechtssicherheit, auch bei der Erfüllung datenschutzrechtlicher Meldepflichten. Obwohl es seit 2017 von der Artikel-29-Datenschutzgruppe eine Leitlinie zum Umgang mit den Meldepflichten gibt, hat der Hafnium-Hack aufgezeigt, dass es zwischen den deutschen Landesdatenschutzbehörden eine große Differenz in der Auslegung der gesetzlichen Datenschutzregelungen gibt. Bei den vorliegenden Stellungnahmen der Datenschutz-Aufsichtsbehörden geht es nicht »nur« um geringfügige Abweichungen der Auslegungen der jeweiligen Datenschutz-Aufsichtsbehörden (z.B. welche Informationen von der jeweiligen Datenschutzaufsichtsbehörde für eine Meldung einer Datenschutzverletzung als »must-have« gefordert werden), sondern in diesem Fall sind die Differenzen der datenschutzrechtlichen Bewertung zur Meldepflicht bedeutend.

Aus diesem Grund hat sich eine Unterarbeitsgruppe des AK Datenschutzes der Bitkom mit der Auslegung der Art. 33 und 34 DSGVO auseinandergesetzt, um Unternehmen bei Meldungen von Datenschutzverletzungen fachlich zu unterstützen. Insbesondere haben wir die herrschende Meinung über den Begriff des »Bekanntwerdens« einer Verletzung des Schutzes personenbezogener Daten untersucht, mit dem Ziel der Harmonisierung der Auslegung durch Unternehmen und den Behörden.