Die Zahl der der gemeldeten Datenschutzvorfälle steigt stetig. In 2019 gab es europaweit mehr als 40.000 Datenpannen. Sehr viele davon wurden nur in Deutschland registriert.
Was ist ein Datenschutzvorfall?
In der DSGVO in Art. 4 Nr. 12 wird beschrieben, wann eine Verletzung des Schutzes personenbezogener Daten vorliegt.
Somit bei:
- Vernichtung,
- Verlust,
- Veränderung,
- unbefugten Offenlegung oder unbefugten Zugang
- von/zu personenbezogenen Daten bei Übermittlung, Speicherung oder grundsätzlich bei Verarbeitung.
Die Pflicht zur Meldung von Datenschutzvorfällen ist in Art. 33 DSGVO geregelt.
Demnach ist vom Verantwortlichen eine Meldung bei der zuständigen Aufsichtsbehörde durchzuführen, falls eine Verletzung des Schutzes personenbezogener Daten eintritt.
1. Vernichtung von Daten
Eine Vernichtung ist anzunehmen, wenn die personenbezogenen Daten der Betroffenen faktisch nicht mehr oder nicht mehr in irgendeiner bekannten Form existieren.
Ursache dessen kann z.B. das Zerstören einer Festplatte sein.
2. Verlust
Beim Verlust von personenbezogenen Daten handelt es sich oftmals um die nicht mehr vorhandene Zugriffsmöglichkeit, beispielsweise ein gestohlener Laptop.
Wenn Daten also faktisch noch auf einem Gerät vorhanden sind, jedoch keine Zugriffsmöglichkeit mehr für den Mitarbeiter bzw. dem Verantwortlichen besteht, spricht man ebenso von Verlust von personenbezogenen Daten.
Ein Verlust, oder in besonderen Fällen eine Vernichtung, kann auch nur temporär sein.
3.Veränderung personenbezogener Daten
Diese liegt vor, wenn der Inhalt personenbezogener Daten umgestaltet wird.
Ein in der Praxis häufig angewandte Methode ist z.B. der Angriff auf eine Webdatenbank über eine sog. SQL-Injection. Hier können Daten verändert und für den Angreifer nutzbar gemacht werden; z.B. Bankkonten, Adressen oder sonstige personenbezogene Daten.
4. Unbefugte Offenlegung und unbefugter Zugang/Zugriff
Eine (unbefugte) Offenlegung liegt meist dann vor, wenn Dritten die Möglichkeit zur Kenntnisnahme ermöglicht wird.
Hierbei wirkt ein Dritter immer als „der Außenstehende“ bzw. „Die verantwortliche, fremde Person“.
Auch ein Mitarbeiter innerhalb eines Unternehmens kann als unbefugte Person qualifiziert werden und personenbezogene Daten offenlegen, indem ihm keine Zugriffsrechte eingeräumt wurden oder keine Autorisierung erfolgte. Deshalb sind Zugriffsrechte auf Dateien in bestehenden Datenschutzkonzepten sehr wichtig.
In der Praxis entstanden aufgrund einer unbefugten Offenlegung prominente Fälle von Bußgeldern bei großen Unternehme wie Marriot, British Airways und auch das deutsche Unternehmen Knuddels.
Die Aufsichtsbehörde bei einem Datenschutzvorfall
Der Verantwortliche kann bei Unklarheit die Aufsichtsbehörde natürlich immer um Rat fragen, soweit er mit dem Datenschutzbeauftragten keine klare Einschätzung des Datenschutzvorfalles vornehmen kann. Auf Art. 57 Abs. 1 lit. c DSGVO, die Beratungspflicht bei Aufsichtsbehörden wird hier nochmals hingewiesen.
Ein evtl. Kontrollverfahren wird meist erst dann eingeleitet, wenn sich Anhaltspunkte dazu ergeben, dass der Verletzung unzureichende Schutzmaßnahmen nach Art.33 DSGVO zugrunde liegen; dies wiederum erst nach vorangegangener aufsichtsbehördlicher Prüfung.
Der wichtige Prozess
Wichtig ist, dass Sie einen Prozess zur Reaktion auf einen Datenschutzvorfall innerhalb ihres Unternehmens implementiert haben, um eben auch die 72-Stunden-Frist einzuhalten.
Die Mitarbeiter müssen über diesen Prozess mittels Schulung nachweisbar sensibilisiert sein und in der Praxis einen Datenschutzvorfall zumindest in der Grundanlage erkennen.