Data Breach Teil 4 von 4: Muss jeder Data Breach dokumentiert werden?

 

Ja.

Unabhängig von einer etwaigen Meldepflicht nach Art 33 oder Benachrichtigung an die Betroffenen nach Art 34 hat der Verantwortliche jede Datenschutzverletzung zu dokumentieren.

Dies ergibt sich aus Artikel 33 Abs 5. Diese Dokumentation dient der Aufsichtsbehörde zur Überprüfung, ob die Bestimmungen dieses Artikels eingehalten werden.

Artikel 33
Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

[…]

 (5)  Der Verantwortliche dokumentiert Verletzungen des Schutzes personen-bezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

[…]

Für die Behörde muss aufgrund der Dokumentation ersichtlich sein, welche Datenschutzverletzungen aufgetreten sind und deren Begründung warum sie ggf nicht gemeldet wurden.

Inhalt der Meldung

Es empfiehlt sich daher jegliche Datenschutzverletzungen mit demselben Mindestinhalt wie in Art 33 Abs 1 gefordert intern zu dokumentieren und um die Begründung warum eine Meldung (nicht) erforderlich ist sowie eine Begründung warum eine Benachrichtigung an die Betroffenen (nicht) erforderlich ist, zu ergänzen. Diese Pflicht des Verantwortlichen zur Aufzeichnung ergibt sich bereits aus Art 5 Abs 2 (Rechenschaftspflicht) sowie Art 24, der geeignete technische und organisatorische Maßnahmen zur Einhaltung der DSGVO vorschreibt.

Speicherdauer

Die Dokumentationspflicht von Datenschutzverletzungen enthält keine Bestimmung für eine bestimmte Aufbewahrungspflicht.

Die Aufzeichnungen stehen somit im Spannungsverhältnis zum Grundsatz der Speicherbegrenzung (Art 5 Abs 1 lit e). Werden personenbezogene Daten in der Dokumentation verarbeitet, obliegt es dem Verantwortlichen zu entscheiden und zu begründen, wie lange diese Daten gespeichert werden. Rechtsgrundlage für die Verarbeitung ist jedenfalls die Nachweispflicht von Data Breaches gegenüber der Behörde und der allgemeine Grundsatz der Rechenschaftspflicht (accountability).[1]

Es obliegt also wieder dem Verantwortlichen eine angemessene Speicherfrist für die Aufbewahrung von personenbezogenen Daten bei der Dokumentation von Datenschutzverletzungen zu definieren.

Obwohl die Verjährungsfrist eines Anspruchs nicht automatisch die Speicherdauer festlegt, sehe ich in diesem Fall die Aufbewahrung der personenbezogenen Daten (zumindest die Kontaktdaten der betroffenen Personen) für die Dauer von einem Jahr durchaus als angemessen, wobei es dazu noch keine bindenden Aussagen der DSB gibt.


[1] Vgl König/Schaupp in Knyrim, DatKomm Art 33 DSGVO Rz 65 (Stand 1.10.2018, rdb.at).