Blackout in Berlin – Meldepflichten für Unternehmen?

Von dem großflächigen Stromausfall im Berliner Südwesten sind etwa 2.200 Unternehmen betroffen. Viele davon müssen wohl leider damit rechnen, noch bis Donnerstag nicht wieder an das Stromnetz angeschlossen zu werden. Der Blackout hat für Unternehmen auch eine (datenschutz- und IT-Sicherheits-)rechtliche Dimension. Die Datenschutz-Grundverordnung sowie das BSI-Gesetz sehen für relevante Sicherheitsvorfälle Meldepflichten vor.  

I. DSGVO-Meldepflichten

Nach Art. 33 DSGVO müssen Verantwortliche Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde melden, es sei denn, diese Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Darüber hinaus sieht Art. 34 DSGVO vor, dass bei einem voraussichtlich hohen Risiko für die Rechte und Freiheiten auch die betroffenen Personen zu benachrichtigen sind.

1. Stromausfall als Verletzung des Schutzes personenbezogener Daten?

Nach Auffassung des Europäischen Datenschutzausschusses (EDSA, Leitlinien 09/2022 Rn. 17) sind Verletzungen der Verfügbarkeit personenbezogener Daten als Verletzung ihres Schutzes einzustufen.

Ein Stromausfall geht regelmäßig mit einer Beeinträchtigung der Datenverfügbarkeit einher – Unternehmen können also etwa nicht auf ihre Kundendaten zugreifen. Der EDSA nennt diesen Fall sogar als Beispiel einer solchen Verletzung, auch wenn die Verfügbarkeit nur vorübergehend eingeschränkt ist (Leitlinien 09/2022 Rn. 19 und Rn. 21). Nicht relevant sind hingegen Fälle, in denen die Daten beispielsweise über außerhalb des betroffenen Gebiets liegende Rechenzentren weiterhin verfügbar sind. Kann also z.B. ein Unternehmen aktuell nicht aus dem Büro auf seine Kundendaten zugreifen, sind diese aber nicht selbst gehostet, sondern liegen etwa in der Cloud bei einem Dienstleister, so dürfte keine Verletzung vorliegen.   Etwas anderes könnte nur dann gelten, wenn das Unternehmen trotz Cloud-Hostings keine Möglichkeit hat, von anderen Standorten aus auf die Daten zuzugreifen, etwa aufgrund organisatorischer Besonderheiten oder technischer Einschränkungen. Entscheidend ist damit, ob das Unternehmen tatsächlich auf die Daten zugreifen kann.

Die DSGVO verfolgt einen risikobasierten Ansatz. Nicht jede Datenschutzverletzung führt zur Meldepflicht. Ob eine Verletzung der Verfügbarkeit meldepflichtig ist, hängt davon ab, welche Risiken für die Rechte und Freiheiten der betroffenen Personen entstehen. Sind diese nur gering, besteht keine Meldepflicht (siehe FAQ des LfD Niedersachsen). Anderenfalls muss eine Meldung an die zuständige Aufsichtsbehörde erfolgen.

Keine Meldepflicht:

• Beispiel 1 (kein Risiko): Ein Medienunternehmen ist vom Stromausfall betroffen und kann an seine Abonnenten keinen Newsletter verschicken.
• Beispiel 2 (geringes Risiko): Eine Autowerkstatt ist vom Stromausfall betroffen und kann auf die Kundendaten nicht zugreifen, um vereinbarte Termine abzusagen.

Meldepflicht besteht:

• Beispiel 3 (mittleres Risiko): Ein IT-Dienstleister ist vom Stromausfall betroffen und ein von ihm gehostetes HR‑ und Payroll‑System, das von mehreren Unternehmen genutzt wird, ist nicht verfügbar.
• Beispiel 4 (hohes Risiko): Ein Krankenhaus ist vom Stromausfall betroffen und kann auf die Patientendaten nicht zugreifen.

Grundsätzlich gilt: Je sensibler die nicht verfügbaren Daten sind und je dringender sie während des Stromausfalls benötigt werden und der Zugriff nicht möglich ist, desto höher ist die Wahrscheinlichkeit, dass eine Meldepflicht besteht.

2. Format der Meldung

Ein Stromausfall schränkt die verfügbaren Möglichkeiten der Meldung ein – insbesondere dann, wenn keine Möglichkeit besteht, von einem anderen Ort mit Internetzugang die Datenpanne zu melden.

Neben der „klassischen“ Variante, nämlich einer Meldung per Online-Formular, können Verantwortliche laut Hinweisen der Berliner Datenschutzbehörde auch per E-Mail, Fax oder postalisch eine Meldung abgeben.

3. Haftungsfragen

Art. 32 DSGVO verpflichtet Verantwortliche grundsätzlich, die Verfügbarkeit der Daten durch technische und organisatorische Maßnahmen sicherzustellen. Ein Verstoß gegen diese Vorgabe kann eine Schadensersatzpflicht nach Art. 82 DSGVO auslösen. Allerdings sieht Art. 82 Abs. 3 DSGVO vor, dass ein Verantwortlicher von der Haftung befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Bei einem extern verursachten Stromausfall ist grundsätzlich davon auszugehen, dass ein solcher Fall vorliegt.

Zudem ist fraglich, ob ein Verstoß gegen Art. 32 DSGVO hier überhaupt in Betracht kommt. Denn: der EuGH hat in der Rs. C-340/21 (Rn. 29) klargestellt, dass die DSGVO keine vollständige Beseitigung aller Risiken, sondern lediglich angemessene Maßnahmen verlangt. In der Regel müssen Unternehmen nicht damit rechnen, dass Daten aufgrund eines Stromausfalls über mehrere Tage hinweg nicht verfügbar sind. Etwas anderes dürfte allerdings für größere Rechenzentren gelten, die grundsätzlich über eine Notstromversorgung verfügen sollten.

II. Meldepflichten nach dem BSI-Gesetz

Neben der Frage, ob der derzeit andauernde Stromausfall und der damit verbundene Verlust bzw. die Zugriffseinschränkung zu Daten in Berlin nach der DSGVO meldepflichtig ist, stellt sich vor dem Hintergrund der Umsetzung der europäischen NIS-2-Richtlinie in deutsches Recht die Frage, ob ein solcher Ausfall als „Sicherheitsvorfall“ i. S. d. Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG) einzuordnen ist und damit für bestimmte „besonders wichtige“ bzw. „wichtige“ Einrichtungen Meldepflichten auslösen kann.

Sowohl besonders wichtige als auch wichtige Einrichtungen im Sinne des BSIG können durch Stromausfälle betroffen sein. Dazu zählen primär Einrichtungen der Stromversorgung selbst (z. B. Betreiber von Elektrizitätsverteilernetzen, Betreiber von Übertragungsnetzen oder Betreiber von (Strom-)Erzeugungsanlagen, vgl. Nr. 1.1 Anlage 1 BSIG). Aber auch andere in Anlage 1 und 2 aufgeführte Einrichtungen, die für ihren Betrieb auf die dauerhafte Verfügbarkeit von Strom angewiesen sind, können betroffen sein. Zu denken ist insbesondere an digitale Infrastrukturen (z. B. Anbieter von Cloud-Computing-Diensten oder Anbieter öffentlich zugänglicher Telekommunikationsdienste, vgl. Nr. 6 Anlage 1 BSIG).

Nach § 2 Nr. 40 BSIG ist ein „Sicherheitsvorfall“ ein Ereignis, das die Verfügbarkeit, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über informationstechnische Systeme, Komponenten und Prozesse angeboten werden oder zugänglich sind, beeinträchtigt. Führt ein Stromausfall also zur Nichtverfügbarkeit von Servern oder sonstiger IT-Infrastruktur, kommt die Qualifikation als Sicherheitsvorfall in Betracht.

Meldepflichtig gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist regelmäßig ein „erheblicher Sicherheitsvorfall“ (§ 32 Abs. 1 BSIG). Um einen solchen handelt es sich gemäß § 2 Nr. 11 BSIG bei einem Sicherheitsvorfall, der

a) schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann oder

b) andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann,

sofern durch die Rechtsverordnung nach § 56 Absatz 5 keine konkretisierende Begriffsbestimmung erfolgt.

Ergeben sich durch einen Stromausfall also etwa schwerwiegende Betriebsstörungen bei (Strom-)Erzeugungs- oder Cloud-Diensten (weil Strom nicht erzeugt/transportiert bzw. Server nicht betrieben werden können), kann dies die Voraussetzungen des § 2 Nr. 11 lit. a) BSIG erfüllen. In diesem Fall ist eine Erstmeldung gemäß § 32 Abs. 1 Nr. 1 BSIG „unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Kenntniserlangung“ an die gemeinsame Meldestelle des BSI und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe abzugeben.

Die Meldung hat über das Melde- und Informationsportal des BSI zu erfolgen. Praktisch stellt sich jedoch die Frage, wie eine elektronische Meldung online erfolgen kann, wenn gerade der Strom ausgefallen ist. Bei lokal begrenzten Ausfällen (wie aktuell), ist denkbar, die Meldung von einem Dienst-Laptop in einem Hotel oder über einen Hotspot abzugeben. Im Fall eines großflächigen Ausfalls (etwa in ganz Nordostdeutschland) sind alternative Übermittlungswege zu prüfen — etwa eine telefonische oder postalische Erstmeldung (das BSI betreibt ein Service-Center mit Telefonnummer und E-Mail-Adresse (siehe hier))— wobei die Erstmeldung innerhalb der 24-Stunden-Frist nicht abschließend sein muss. Eine erste Mitteilung kann lediglich den Umstand eines erheblichen Sicherheitsvorfalls bestätigen. Eine abschließende, detaillierte Meldung kann nachgereicht werden (§ 32 Abs. 1 Nr. 2 – 4 BSIG), sobald weitere Erkenntnisse vorliegen und gegebenenfalls die Stromversorgung wiederhergestellt ist.

Das vorstehende Szenario macht deutlich: Es ist für betroffene Einrichtungen sinnvoll, vorab Notfallpläne für Kommunikations- und Meldewege zu erstellen (inkl. redundanter Kommunikationsmittel, Verantwortlichkeiten und Proben der Meldewege) und diese Pläne in Papierform, etwa in einem Ordner, vorzuhalten, damit im Ernstfall die gesetzlichen Meldepflichten zuverlässig erfüllt werden können.