Sofern eine Datenschutzverletzung begangen wurde, kann für die verantwortliche Stelle eine Meldepflicht gegenüber der Aufsichtsbehörde und eine Benachrichtigungspflicht gegenüber der betroffenen Person bestehen. Eine derartige Verletzung kann beispielsweise eine fehlerhafte Übermittlung personenbezogener Daten eines Schülers oder einer Lehrkraft sein (Verwendung einer falschen E-Mailadresse), durch Datendiebstahl erfolgen oder durch das Verlieren eines Datenträgers geschehen.
1) Meldung an die Aufsichtsbehörde
Eine Meldung muss erfolgen, sofern eine Datenschutzverletzung (also z.B. der Verlust personenbezogener Daten) festgestellt worden ist und diese voraussichtlich zu einem Risiko für die Rechte und Freiheiten eines Betroffenen führen kann. Davon ist oftmals auszugehen, weil bei den meisten Ereignissen ein derartiges Risiko nicht ausgeschlossen werden kann. Anderenfalls ist der Ausschluss des Risikos nachzuweisen („Rechenschaftspflicht").
Inhalt der Meldung
a) Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der
- Kategorien der Daten und der
- ungefähren Zahl der betroffenen Personen,
- der betroffenen Kategorien der Personen und der
- ungefähren Zahl der betroffenen personenbezogenen Datensätze,
b) Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
c) Beschreibung der wahrscheinlichen Folgen,
d) Beschreibung der von der verantwortlichen Stelle ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Aufsichtsbehörde ist der „Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI)“.
Zeitpunkt der Meldung
Eine Meldung der Datenpanne muss innerhalb von 72 Stunden erfolgen. Das Überschreiten der Frist ist nur in begründeten Fällen möglich. Die Begründung ist der verspäteten Meldung beizufügen. Liegen die für die Meldung erforderlichen Informationen im Meldezeitraum noch nicht vollständig vor, sind diese schrittweise zur Verfügung zu stellen.
2) Benachrichtigung der betroffenen Person
Eine Benachrichtigung muss erfolgen, sofern eine Verletzung des Schutzes personenbezogener Daten stattgefunden hat und diese voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt. Dies ist u. a. dann der Fall, wenn sog. „besondere Kategorien personenbezogener Daten“ nach Art. 9 Abs. 1 DS-GVO (z. B. Gesundheitsdaten, Daten über die rassische oder ethnische Herkunft) oder Daten über schulische Leistungen (Noten, Kompetenzen, Beurteilungen) einer Schülerin oder eines Schülers betroffen sind.
Keine Benachrichtigung ist erforderlich, wenn:
- die Schule geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat, die den unbefugten Zugang auf die personenbezogenen Daten praktisch nicht ermöglichen, etwa durch Verschlüsselung der Daten,
- die Schule durch Maßnahmen sichergestellt hat, dass das hohe Risiko, das zum Zeitpunkt der Datenpanne bestand, beseitigt wurde,
- die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre. Stattdessen muss eine öffentliche Bekanntmachung oder ähnliche Maßnahme erfolgen, durch die die betroffene Person vergleichbar wirksam informiert wird.
Inhalt der Benachrichtigung
a) Beschreibung der Art der Schutzverletzung in klarer und einfacher Sprache,
b) Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
c) Beschreibung der wahrscheinlichen Folgen durch die Schutzverletzung,
d) Beschreibung der von der Schule ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Schadens.
3) Grundsätzliches zur Meldung und Benachrichtigung
Die Meldung an die Aufsichtsbehörde bei Datenpannen hat immer zu erfolgen, es sei denn, dass die Datenpanne voraussichtlich nicht zu einem Risiko für die betroffene Person führt.
Beispiel:
Eine Lehrkraft verliert einen Stick, auf dem personenbezogene Daten von Schülern gespeichert sind. Ist dieser Stick verschlüsselt, so kann man davon ausgehen, dass das Risiko für die betroffenen Personen, deren Daten auf dem Datenträger gespeichert sind, gering und eine Meldung an die Aufsichtsbehörde nicht erforderlich ist. War der Stick jedoch nicht verschlüsselt, muss eine Meldung erfolgen.
Stand: 05.08.2018