Was ist eine Datenpanne nach DSGVO?

Im Zeitalter von Big Data, in dem immer mehr Daten und Informationen gesammelt werden, steigt auch die Gefahr einer Datenpanne bei dem Daten sammelnden bzw. verarbeitenden Unternehmen.

Diese Datenpannen können verschiedene Ursachen haben, bspw. eine fehlerhaft adressierte E-Mail, ein unberechtigter Zugriff oder der Verlust eines Speichermediums.

Kommt es zu einer Datenpanne, so stellt sich in den Unternehmen sofort die Frage, ob sie einer Aufsichtsbehörde oder gar den betroffenen Personen gemeldet werden muss. Um diese Frage zu beantworten, müssen wir einen Blick in Artikel 33 bzw. 34 DSGVO werfen.

Sinn und Zweck von Artikel 33 und 34 DSGVO ist es, Transparenz über Datenschutzverletzungen zu schaffen und es den Aufsichtsbehörden und dem Betroffenen zu ermöglichen, erforderliche Vorkehrungen zu ergreifen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko im Sinne des Artikel 33 Absatz 1 DSGVO bzw. zu einem hohen Risiko im Sinne des Artikel 34 Absatz 1 DSGVO für die persönlichen Rechte und Freiheiten natürlicher Personen führt.

Die Melde- bzw. Benachrichtigungspflicht wird alleine dem Verantwortlichen im Sinne des Art. 4 Nr. 7 DSGVO auferlegt. Der Verantwortliche trägt die Gesamtverantwortung für den Schutz personenbezogener Daten.

Doch zuerst: Was ist eigentlich eine »Datenpanne« nach DSGVO?

Entscheidende Begriffe der DSGVO werden in Artikel 4 DSGVO definiert. Nach dem Begriff “Datenpanne” brauchen wir aber nicht zu suchen, denn der ist natürlich umgangs- und nicht fachsprachlich. Die DSGVO spricht fachlich von der »Verletzung des Schutzes personenbezogener Daten«, weswegen die Wortwahl »Datenschutzverletzung« fachlich vornehmer ist, als »Datenpanne«.

Artikel 4 Nummer 12 DSGVO

„Verletzung des Schutzes personenbezogener Daten“ (bezeichnet) eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

Aus Artikel 4 Nummer 12 DSGVO folgt, dass eine Verletzung in Datensicherheit kausal zur Verletzung eines datenschutzrechtlichen Schutzziels führen (können) muss. Denn es muss »eine Verletzung der Sicherheit« zu bestimmten, in Artikel 4 Nummer 12 DSGVO genannten »Erfolgen« führen.

Die Regelung nennt dabei Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von bzw. ein solcher Zugang zu personenbezogenen Daten. Diese Verletzungserfolge lassen sich den Schutzzielen von Verfügbarkeit, Integrität und Vertraulichkeit personenbezogener Daten, wie sie Artikel 32 DSGVO benennt, zuordnen.

Wir müssen mithin feststellen, ob eine Verletzung der Datensicherheit gegeben ist und ob diese zu bestimmten Verletzungserfolgen an Schutzzielen führt oder zumindest führen kann.

Die nachfolgende Grafik verdeutlicht das:

20220422 Verletzung des Schutzes personenbezogener Daten Datenschutzverletzung oder Datenpanne

Eine Verletzung der Datensicherheit liegt vor, sofern eine technische oder organisatorische Maßnahme des Verantwortlichen versagt oder nicht eingehalten wird. In etlichen Fällen mag das Fehlverhalten eines Mitarbeiters vorliegen oder die Fehlfunktion einer technischen Maßnahme. Als Beispiele gelten die Wahl eines wenig komplexen Passworts, der fehladressierte Versand einer E-Mail oder gar der Versand einer solchen elektronischen Nachricht an einen offenen Verteiler. In letzter Zeit hat die Bedeutung von Cyberattacken zugenommen, die unmittelbar selbst schon als Datenpanne angesehen müssen oder jedenfalls mittelbar zu einer solchen führen können.

Eine Verletzung der Datensicherheit muss adäquat kausal zu einer Verletzung der genannten Schutzziele führen. Doch, was heißt »adäquat kausal«? Ein adäquater Kausalzusammenhang liegt immer dann vor, wenn ein direkter, ursächlicher und angemessener Zusammenhang zwischen der Handlung eines Schädigers und dem dadurch entstandenen Schaden gegeben ist. Die verantwortliche Stelle muss also nicht für solche Ereignisse einstehen, die nach der normalen Lebensanschauung eines objektiven, informierten Dritten völlig außerhalb der Erfahrung und Erwartung liegen. Aspekte wie unwahrscheinliche, ungewöhnliche oder eigenartige Verhaltensweisen bleiben also unberücksichtigt.

Als Schutzziele hatten wir Verfügbarkeit, Integrität und Vertraulichkeit personenbezogener Daten erkannt. Schauen wir uns die möglichen Verletzungssituationen genauer an.

Verletzung der Verfügbarkeit

Als Verletzung der Verfügbarkeit personenbezogener Daten kommen gemäß Artikel 4 Nummer 12 DSGVO Verlust bzw. Vernichtung u.a. in Betracht. Sind Daten verloren bzw. vernichtet, sind sie eben nicht mehr verfügbar. Eine Vernichtung ist anzunehmen, wenn die personenbezogenen Daten nicht mehr existieren oder nicht mehr in einer Form existieren, die für den Verantwortlichen von Nutzen ist. Es geht also um die unwiderrufliche, irreversible Löschung der Daten bzw. eine Zerstörung des Datenträgers, durch die ein Auslesen der Daten nicht mehr möglich ist. Zerstörung ist dabei nur die extremste Variante der Vernichtung.

Verlust ist im Gegensatz zu einer Datenvernichtung die möglicherweise vorübergehend verlorene Kontrolle über den Zugang zu den personenbezogenen Daten.

Ein Beispiel wäre das Verlieren eines Firmennotebooks durch einen Mitarbeiter. Zerstörung und Verlust unterscheiden sich mithin, wie weitgehend die Aufhebung der Zugriffsmöglichkeit ist. Im Falle der Zerstörung kann sie nie wieder hergestellt werden, während sie beim bloßen Verlust nach einer gewissen Zeit wieder hergestellt werden kann, wenn nämlich das Notebook wieder gefunden und vor allen Dingen dem Verantwortlichen wieder zugänglich gemacht wird oder »gelöschte« Daten durch eine Datenwiederherstellung zurückerlangt werden. In diesem Sinne kann eine unfreiwillige Einbuße der Verfügbarkeit, etwa durch den Entzug von Zugriffs- oder Nutzungsmöglichkeiten, einen Datenverlust darstellen. Letzteres ist regelmäßig bei Cyberattacken der Fall. Ein Datenverlust liegt demzufolge auch vor, wenn nach einem Ransomware-Angriff alle Daten verschlüsselt werden, keine Backups verfügbar sind und die Daten nicht wiederhergestellt werden können.

Ob diese unterschiedlichen Erscheinungsformen zu einer unterschiedlichen Beurteilung z.B. der Meldepflicht führen ist immer eine Frage des Einzelfalles und sollte nicht abstrakt beurteilt werden. Die Vernichtung von Daten kann u.U. zu einem größeren Risiko für die Rechte und Freiheiten betroffener Personen führen, als der bloße vorübergehende Verlust eines Datenträgers, vor allem, wenn die Daten auf diesem angemessen verschlüsselt sind.

Die von Artikel 33 DSGVO geforderte Risikoprognose kann ohnehin erst am konkreten Einzelfall erfolgen, also vor allem erst, nachdem das Vorliegen der Verletzung festgestellt worden ist.

Verletzung der Integrität

In dieses Schutzziel wird regelmäßig durch die in Artikel 4 Nummer 12 DSGVO genannte unrechtmäßige Veränderung von Daten eingegriffen. Veränderung bedeutet die inhaltliche Umgestaltung der personenbezogenen Daten. Eine derartige Umgestaltung kann aufgrund von Manipulationen an einer Datenbank erfolgen.

Verletzung der Vertraulichkeit

Unbefugte Offenlegung von und unbefugter Zugang zu personenbezogenen Daten gemäß Artikel 4 Nummer 12 DSGVO führen zu einer Verletzung des datenschutzrechtlichen Schutzziels der Vertraulichkeit.

Eine Offenlegung liegt vor, wenn Dritten die Möglichkeit zur Kenntnisnahme eröffnet wird. Entscheidend ist dabei nicht die tatsächliche Kenntnisnahme. Die Beseitigung einer Zugangsbeschränkung auf einer Website ist folglich ausreichend, selbst, wenn keine unbefugte Person die Daten tatsächlich einsieht. Unbefugt ist die Offenlegung, sofern die Erlangung der Kenntnisnahme nicht auf technischen oder organisatorischen Maßnahmen der verantwortlichen Stelle beruht.

Ein unbefugter Zugang zu personenbezogenen Daten ist anzunehmen, wenn eine nicht autorisierte Person Kenntnis von den personenbezogenen Daten nimmt. Dabei ist es unerheblich, ob es sich um einen Mitarbeiter oder eine außenstehende Person handelt. Ein Mitarbeiter kann für bestimmte Verarbeitungsvorgänge als nicht berechtigt angesehen werden, ein Mitarbeiter der Produktion z.B. für sensible Vorgänge (wie Arbeitsunfähigkeitsbescheinigungen) in der Personalabteilung.

Verschulden und Rechtswidrigkeit nicht erforderlich

Ob diese Datenschutzverletzung verschuldet wurde, ob also Vorsatz oder eine Form der Fahrlässigkeit vorliegt, ist vollkommen unerheblich. Artikel 4 Nummer 12 DSGVO drückt aus, dass es nicht darauf ankommt, ob die Verletzung “unbeabsichtigt oder unrechtmäßig” erfolgt. Mithin muss also auch kein Verstoß gegen den Grundsatz der Rechtmäßigkeit gegeben sein. Es kommt allein darauf an, ob die Datensicherheit beeinträchtigt wird oder nicht.

So, jetzt wissen wir also, was eine sogenannte Datenpanne ist. Doch, wie ist mit ihr umzugehen? Muss die Datenpanne einer Aufsichtsbehörde gemeldet werden? Oder schlimmer noch: Muss die betroffene Person über die Verletzung ihrer personenbezogenen Daten benachrichtigt werden? Diese Fragen beantwortet der Beitrag Umgang mit Datenpannen nach DSGVO (in Vorbereitung).

Relevante Normen:

Artikel 33 DSGVO

Informieren Sie sich über die Kurse und Workshops der datenrecht.ACADEMY:

Klicken Sie einfach auf das Bild oder diesen Link:

Kurse und Workshops der datenrecht.ACADEMY


Newsletter

Regelmäßige Informationen zum gesamten Datenrecht sowie über neue Kurse und Webinare.

Beliebteste Beiträge

Transparenz

Transparenz

Rechtliche Verpflichtung

Rechtliche Verpflichtung

Artikel 1 DSGVO (MVK)

Artikel 1 DSGVO (MVK)

Artikel 2 DSGVO (MVK)

Artikel 2 DSGVO (MVK)