Es ist dann von einer (umgangssprachlich so bezeichneten) Datenpanne auszugehen, wenn eine Verletzung der Sicherheit vorliegt, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt (vgl. Art. 4 Nr. 12 DSGVO). Zu solchen personenbezogenen Daten zählen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (die „betroffene Person”) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insb. mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art. 4 Nr. 1 DSGVO).
Der Begriff der personenbezogenen Daten ist mithin sehr weit gefasst, sodass ihm nicht nur beispielsweise Name, Anschrift, Kontaktdaten, Bankverbindung oder Geburtsdatum unterfallen, sondern u.a. auch Kfz-Kennzeichen oder IP-Adressen. Auch wenn ein Personenbezug nur mit Hilfe der Informationen von Dritten hergestellt werden kann, reicht dies bereits aus, um die Anwendbarkeit des Datenschutzrechts zu bejahen.
Neben „normalen” personenbezogenen Daten nennt die DSGVO in Art. 9 Abs. 1 solche Daten, die sie als besonders sensibel einstuft. Zu diesen besonderen Kategorien personenbezogener Daten zählen die folgenden:
- rassische/ethnische Herkunft
- politische Meinungen
- religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- genetische oder biometrische Daten
- allgemeine Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung
Die Verarbeitung dieser sensiblen Daten ist grds. untersagt und nur ausnahmsweise in den Fällen von Art. 9 Abs. 2 DSGVO gestattet. Wenn diese sog. Art.9-Daten von einer Datenpanne betroffen sind, sind erhöhte Wachsamkeit und schnelles Handeln gefordert, denn in solchen Fällen ist stets von einem erhöhten Risiko auszugehen.
Praxistipp:
Es gibt aber auch Datenkategorien, wie etwa Finanzdaten, die sicherlich für die meisten Menschen als sensible Informationen gelten, die aber i.R.d. DSGVO nicht als solche eingestuft werden. Wenn also z.B. Online-Banking- oder Kreditkartendaten in die falschen Hände geraten, dann entsteht ebenfalls ein erhöhtes Risiko, auch wenn gerade kein Fall von Art. 9 Abs. 1 DSGVO vorliegt.
Anhand der Definition von „personenbezogenen Daten” wird schnell deutlich, dass diese Begrifflichkeit sehr weitgehend gemeint und zu verstehen ist. Faustregel: Im Zweifel sollte davon ausgegangen werden, dass Daten einen Personenbezug aufweisen. Hiervon sollen nur gänzlich anonyme, reine Maschinen- oder Unternehmensdaten (z.B. die Bilanz einer GmbH) ausgenommen sein.
Typische Datenpannen im Zusammenhang mit personenbezogenen Daten sind etwa:
- Hack eines Servers
- Virus/Malware im Kanzlei-Netzwerk (z.B. durch Verschlüsselungstrojaner bzw. Ransomware)
- Verlust eines Schriftstücks, Aktenordners o.Ä.
- Verlust eines externen Datenträgers (z.B. USB-Stick)
- Diebstahl eines Laptops, Tablets, Handys etc.
- Versenden eines Schriftstücks an falschen Empfänger (z.B. postalisch oder per E-Mail)
- unbeabsichtigtes Löschen/Verändern von Daten
Neben solchen „Klassikern”, gibt es aber auch Sachverhalte, bei denen man erst einmal darauf kommen muss, dass eine u.U. meldepflichtige Datenpanne vorliegt.
Beispiel:
Ein mittelständisches Unternehmen hat sich personell verstärkt und will in größere Büroräumlichkeiten umziehen. Als keine passenden bzw. verfügbaren Objekte gefunden werden können, entschließt man sich, ein eigenes Gebäude zu bauen. Bis zur Fertigstellung wird übergangsweise eine Wohnung in einem Mehrfamilienhaus als Aktenlager für Personal-, Buchhaltungsakten u.Ä. angemietet. An einem Samstagmorgen kommt es dann zu einem Wasserrohrbruch in einer Wohnung über dem „Zwischenlager”. Der Hausverwalter informiert alle Bewohner, nur in der besagten Aktenunterkunft erreicht er natürlich niemanden. Um den Schaden so gering wie möglich zu halten und um auch den herbeigerufenen Handwerken die Möglichkeit zur Ursachensuche zu ermöglichen, öffnet er mit seinem Schlüssel auch die Wohnung mit den Akten. Den Rest des Wochenendes gehen die Handwerker im gesamten Haus, u.a. auch im „Aktenlager”, ein und aus, um ihre Arbeiten durchzuführen. Fazit: Abgesehen von etwaigen Wasserschäden durch den Rohrbruch haben fast zwei Tage lang fremde Personen – jedenfalls theoretisch – vollen Zugriff auf alle dort lagernden Aktenordner. Nach der Definition in Art. 4 Nr. 12 DSGVO muss hier von einer Verletzung des Schutzes personenbezogener Daten ausgegangen werden.
Allerdings ist ein Verstoß gegen das Datenschutzrecht (und die daraus erwachsenden Folgen) in derartigen Situationen wohl nicht das erste, an das man angesichts der ansonsten noch bestehenden Probleme denkt. ...