Kevin Marschall, Stephan Blazy

"Datenpanne" ist der umgangssprachliche Begriff für die in Art. 4 Nr. 12 DSGVO definierte "Schutzverletzung personenbezogener Daten", engl. "Personal Data Breach".

1.1 Arten von Schutzverletzungen

Der Begriff umfasst folgende Verletzungsarten personenbezogener Daten:

  • Vernichtung (Data Destruction): Darunter fallen alle Formen der Datenlöschung, die Daten unwiderbringlich machen, gleich ob rechtlich unzulässig oder unbeabsichtigt.

    Beispiel: Analoge oder digitale Patientenakten, einschließlich Vorbehandlungs- und Medikamentationsdaten werden vernichtet.

  • Verlust (Data Loss): Gemeint ist das unvorhergesehene Verlorengehen von Daten, gleich ob temporär oder dauerhaft, etwa durch einen Serverabsturz oder Viren.

    Beispiel: Ransomware hat personenbezogene Daten verschlüsselt.

  • Veränderung (Data Alternation): Hierbei handelt es sich um unbeabsichtigtes oder unrechtmäßiges inhaltliches Umgestalten von Daten, wodurch diese einen neuen Informationsgehalt erhalten.

    Beispiel: Finanzdaten werden unbeabsichtigt und zum Nachteil von Kunden verändert.

  • Unbefugte Offenlegung/Weitergabe (Unauthorised Data Disclosure): Hier erhält ein Dritter Daten, ohne dass die Weitergabe durch Einwilligung oder Rechtsvorschrift gedeckt ist.

    Beispiel: Personenbezogene Daten von Kunden eines Unternehmens werden im Internet veröffentlicht oder zum Kauf angeboten; Datendiebstahl

  • Unbefugter Zugang (Unauthorised Data Access): Darunter fällt der unbefugte Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Zu einem unbefugten Zugang in diesem Sinne kann es auch durch fehlende oder fehlerhafte Berechtigungskonzepte kommen, da tatsächliche Kenntnisnahme der Daten nicht erforderlich ist.

    Beispiel: Personenbezogene Daten sind nicht gegen den Zugang von unbefugten Personen (z. B. Kunden) gesichert.

Diese Verletzungsarten weisen einen engen Zusammenhang mit den bekannten IT-Sicherheitszielen Vertraulichkeit (Confidentiality), Verfügbarkeit (Availability) und Integrität (Integrity) auf und können als Orientierung für Verletzungsszenarien herangezogen werden.

1.2 Situationen, in denen eine Melde-/Benachrichtigungspflicht i. d. R. besteht

Die Pflicht für Meldungen oder Benachrichtigungen ist individuell zu beurteilen. Hier einige Beispiele:

  • E-Mail- oder Post mit personenbezogenen Daten (z. B. Kontosalden, Kreditkartendaten) wird an falschen Empfänger übersendet. Hierbei ist unbedingt der Kontext der Datenverarbeitung beachten: So ist eine falsch adressierte E-Mail aus der Compliance-Abteilung eines Unternehmens, die an sich lediglich den Namen eines Whistleblowers enthält, hoch risikoträchtig.
  • IT-Sicherheitsvorfall: Hacker sind in System eingebrochen und hatten womöglich Zugang zu Daten.
  • Verlust von unverschlüsselten nicht gesicherten Datenträgern jedweder Art.
  • Weitergabe von personenbezogenen Daten an Dritte und unberechtigte Personen.
  • Nicht ordnungsgemäße Entsorgung sensibler Daten (etwa im Hausmüll).
  • Für eine Behandlung erforderliche Gesundheitsdaten sind über einen Zeitraum von über 24 Stunden nicht abrufbar.

1.3 Situationen, in denen eine Melde-/Benachrichtigungspflicht i. d. R. nicht besteht

Hier einige Beispiele, wenn keine Melde- oder Benachrichtigungspflicht besteht:

  • Daten von Kunden des Unternehmens wurden gelöscht, es existiert jedoch eine aktuelle und den Ausgangszustand 1:1 widerspiegelnde Datenkopie (Back-Up).

  • Ein Speichermedium (z. B. Laptop, USB-Stick, Smartphone) wurde verloren, jedoch ist dieses nach aktuellen Standards der IT-Sicherheit sicher verschlüsselt und das Medium zugangsgesichert.

     
    Achtung

    Relationsentscheidend gewichten: Vorfall mit hochsensiblen Daten zählt höher

    Handelt es sich bei solchen Daten um hochsensible Daten, wie Gesundheitsdaten oder Bank- und Kreditkartendaten, so kann aufgrund der Schwere des Schadens dennoch eine Meldung des Vorfalls an die Aufsichtsbehörde erforderlich sein.

  • Daten von Kunden wurden falsch gespeichert oder richtige Daten verändert, es ist aber ein Back-Up vorhanden, mit dem der Ausgangszustand wiederhergestellt werden kann.
  • Ein kurzer Stromausfall, z. B. im Call-Center, durch den Kunden nur vorübergehend die für sie relevanten Daten (Kontostände o. Ä.) nicht abfragen können.

Kommt es zu einer der beschriebenen Schutzverletzungen, stellen sich diese Fragen: 

  • Ist die Datenpanne den zuständigen Aufsichtsbehörden (Supervisory Authority) zu melden?
  • Wenn ja, wann und wie ist die Datenpanne im Unterschied zu § 42a BDSG [bis 25.05.2018] nach Art. 33 DSGVO und Art. 34 DSGVO den zuständigen Aufsichtsbehörden (Supervisory Authority) zu melden und wie muss eine solche Meldung (Notification) ausgestaltet sein?
  • Sind die betroffenen Personen (Data Subject) zu benachrichtigen?
  • Wenn ja, wann und wie sind die betroffenen Personen (Data Subject) zu benachrichtigen und wie muss eine solche Benachrichtigung ausgestaltet sein?

Umfasst von der Pflicht sind unterschiedslos alle Verantwortlichen (Controller) nach Art. 4 Abs. 5 DSGVO, nunmehr auch öffentliche Stellen, Behörden und öffentliche Institutionen.

 
Achtung

Gravierender Unterschied zum alten Recht

Im Gegensatz zu § 42a BDSG [bis 25.05.2018] enthält die Datenschutz-Grundverordnung keine Beschränkung mehr auf bestimmte Datenka...

Das ist nur ein Ausschnitt aus dem Produkt Finance Office Professional. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge