Zusammenfassung
Im Zeitalter von Big Data, in dem immer mehr Daten und Informationen gesammelt werden, steigt auch die Gefahr einer Datenschutzverletzung bei dem Daten sammelnden Unternehmen. Eine generelle europaweite Verpflichtung zur Meldung solcher Schutzverletzungen wurde aber erst mit dem Inkrafttreten der Datenschutz-Grundverordnung eingeführt.
Diese Datenpannen können verschiedene Ursachen haben, bspw. eine fehlerhaft adressierte E-Mail, ein unberechtigter Zugriff oder der Verlust eines Speichermediums. Kommt es zu einer Datenpanne, so stellt sich für das Unternehmen die Frage, ob, wann und wie es Datenpannen gemäß Art. 33 und 34 DSGVO sowie § 65 und § 66 BDSG den zuständigen Aufsichtsbehörden und den betroffenen Personen melden muss.
Der Beitrag erläutert, was eine Schutzverletzung ist und wie sie bezüglich des Risikos bewertet werden sollte. Danach werden Empfehlungen zum Vorgehen bei Meldungen an Aufsichtsbehörden und Betroffene, zu Maßnahmen zur Risikoreduzierung und zur Dokumentation gegeben.
1 Was ist eine Schutzverletzung?
"Datenpanne" ist der umgangssprachliche Begriff für die in Art. 4 Nr. 12 DSGVO definierte "Schutzverletzung personenbezogener Daten", engl. "Personal Data Breach". Dabei handelt es sich um "(...) eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden."
1.1 Arten von Schutzverletzungen
Der Begriff umfasst folgende Verletzungsarten personenbezogener Daten:
Vernichtung (Data Destruction): Darunter fallen alle Formen der Datenlöschung, die Daten unwiederbringlich machen, gleich ob rechtlich unzulässig oder unbeabsichtigt.
Beispiel: Analoge oder digitale Patientenakten, einschließlich Vorbehandlungs- und Medikamentationsdaten werden vernichtet.
Verlust (Data Loss): Gemeint ist das unvorhergesehene Verlorengehen von Daten, gleich ob temporär oder dauerhaft, etwa durch einen Serverabsturz oder Viren.
Beispiel: Ransomware hat personenbezogene Daten verschlüsselt.
Veränderung (Data Alternation): Hierbei handelt es sich um unbeabsichtigtes oder unrechtmäßiges inhaltliches Umgestalten von Daten, wodurch diese einen neuen Informationsgehalt erhalten.
Beispiel: Finanzdaten werden unbeabsichtigt und zum Nachteil von Kunden verändert.
Unbefugte Offenlegung/Weitergabe (Unauthorised Data Disclosure): Hier erhält ein Dritter Daten, ohne dass die Weitergabe durch Einwilligung oder Rechtsvorschrift gedeckt ist.
Beispiel: Personenbezogene Daten von Kunden eines Unternehmens werden im Internet veröffentlicht oder zum Kauf angeboten; Datendiebstahl
Unbefugter Zugang (Unauthorised Data Access): Darunter fällt der unbefugte Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Zu einem unbefugten Zugang in diesem Sinne kann es auch durch fehlende oder fehlerhafte Berechtigungskonzepte kommen, da tatsächliche Kenntnisnahme der Daten nicht erforderlich ist.
Beispiel: Personenbezogene Daten sind nicht gegen den Zugang von unbefugten Personen (z. B. Kunden) gesichert.
Diese Verletzungsarten weisen einen engen Zusammenhang mit den bekannten IT-Sicherheitszielen Vertraulichkeit (Confidentiality), Verfügbarkeit (Availability) und Integrität (Integrity) auf und können als Orientierung für Verletzungsszenarien herangezogen werden. Das BDSG selbst enthält keine vergleichbare Definition dieses zentralen Begriffs. Es verweist stattdessen auf die Definitionen der DSGVO, die unmittelbar gelten. Die Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen sind in den §§ 65 und 66 BDSG geregelt. Diese Paragrafen setzen jedoch den Begriff der "Verletzung des Schutzes personenbezogener Daten" bereits voraus, ohne ihn nochmals zu definieren.
1.2 Situationen, in denen eine Melde-/Benachrichtigungspflicht i. d. R. besteht
Die Pflicht für Meldungen oder Benachrichtigungen ist individuell zu beurteilen. Hier einige Beispiele:
- E-Mail- oder Post mit personenbezogenen Daten (z. B. Kontosalden, Kreditkartendaten) wird an falschen Empfänger übersendet. Hierbei ist unbedingt der Kontext der Datenverarbeitung beachten: So ist eine falsch adressierte E-Mail aus der Compliance-Abteilung eines Unternehmens, die an sich lediglich den Namen eines Whistleblowers enthält, hoch risikoträchtig.
- IT-Sicherheitsvorfall: Hacker sind in System eingebrochen und hatten womöglich Zugang zu Daten.
- Verlust von unverschlüsselten nicht gesicherten Datenträgern jedweder Art.
- Weitergabe von personenbezogenen Daten an Dritte und unberechtigte Personen.
- Nicht ordnungsgemäße Entsorgung sensibler Daten (etwa im Hausmüll).
- Für eine Behandlung erforderliche Gesundheitsdaten sind über einen Zeitraum von über 24 Stunden nicht abrufbar.
1.3 Situationen, in denen eine Melde-/Benachrichtigungspflicht i. d. R. nicht besteht
Hier einige Beispiele, wenn keine Melde- oder Benachrichtigungspflicht besteht:
- Daten von Kunden des Unternehmens wurden gelöscht, es existiert jedoch eine aktuelle und...