ZAP 9/2022, Die digitale Kanzlei: Datenschutz-Bestandsau ... / VIII. Datenpannen

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn eine Verletzung der Sicherheit vorliegt, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt (vgl. Art. 4 Nr. 12 DSGVO). Umgangssprachlich werden solche Fälle auch als Datenpannen bezeichnet, die u.U. gegenüber der zuständigen Aufsichtsbehörde oder auch den davon betroffenen Personen gemeldet werden müssen (Art. 33, 34 DSGVO). Typische Datenpannen sind etwa:

• Hack eines Servers
• Virus/Malware im Kanzlei-Netzwerk
• Verlust eines Schriftstücks, Aktenordners o.ä.
• Verlust eines externen Datenträgers (z.B. USB-Stick)
• Diebstahl eines Laptops, Tablets, Handys etc.
• Versenden eines Schriftstücks an falschen Empfänger
• unbeabsichtigtes Löschen/Verändern von Daten

Ob und wem Meldung zu machen ist, hängt maßgeblich vom Vorliegen eines Risikos bzw. hohen Risikos ab. Dieses Risiko ist stets aus Sicht der Betroffenen zu beurteilen. Eine Einstufung erfolgt mit Hilfe einer bestimmten Formel (vgl. Art. 32 Abs. 1 i.V.m. ErwGr. 75 S. 1 DSGVO):

Eintrittswahrscheinlichkeit einer Bedrohung × Schwere der Auswirkung = Höhe des Risikos

In ErwGr. 75 nennt die DSGVO folgende potenzielle Risiken, die hier als Abwägungskriterien berücksichtigt werden sollten:

• Diskriminierung
• Identitätsdiebstahl oder -betrug
• finanzieller Verlust
• Rufschädigung
• Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden Daten
• unbefugte Aufhebung der Pseudonymisierung
• sonstige erhebliche wirtschaftliche oder gesellschaftlichen Nachteile
• unzulässige Beschränkung der Rechte und Freiheiten von Betroffenen
• Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten bzgl. strafrechtlicher Verurteilungen bzw. Straftaten (Art. 10 DSGVO)
• Verarbeitung von Daten schutzbedürftiger Personen (insb. von Kindern)
• Verarbeitung einer großen Menge von Daten
• große Anzahl von Betroffenen
• Bewertung persönlicher Aspekte (zur Erstellung persönlicher Profile), insb. von Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlichen Vorlieben/Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort bzw. Ortswechsel

Für beide Faktoren der o.a. Formel lassen sich unterschiedliche Schweregrade festlegen, etwa geringfügig (Wert 1), überschaubar (Wert 2), gravierend (Wert 3) und groß (Wert 4). Dies kann auf eine Risiko-Matrix übertragen werden, die wie folgt aussehen kann:

		Eintrittswahrscheinlichkeit
		Geringfügig	Überschaubar	Gravierend	Groß
Schwere des Schadens	Geringfügig	1	2	3	4
	Überschaubar	2	4	6	8
	Gravierend	3	6	9	12
	Groß	4	8	12	16

Ein Beispiel soll die vorgenannte Risiko-Matrix erläutern: Wird eine Datenpanne z.B. mit einer großen Auswirkung (4), aber nur mit einer überschaubaren Eintrittswahrscheinlichkeit (2) bewertet, ergibt sich als Produkt der beiden Werte der Gesamtwert 8. Übertragen in die Risiko-Matrix ergäbe dies eine Datenpanne im hohen (roten) Bereich, sodass nicht nur von einem "normalen", sondern von einem hohen Risiko auszugehen ist. Folglich wäre in diesem Beispiel eine Meldung sowohl an die Aufsichtsbehörde als auch an die Betroffenen erforderlich, mit den jeweiligen Pflichtinhalten aus Art. 33 Abs. 3 bzw. Art. 34 Abs. 3 DSGVO. Da die Meldung an die Aufsichtsbehörde unverzüglich, aber spätestens innerhalb von 72 Stunden nach Bekanntwerden der Datenpanne zu erfolgen hat und die Betroffenen ebenfalls unverzüglich zu benachrichtigen sind, ist es unerlässlich, auch für solche Fälle interne Prozesse vorzuhalten, die ein fristgerechtes Handeln ermöglichen.