"Datenpanne" ist der umgangssprachliche Begriff für die in Art. 4 Nr. 12 DSGVO definierte "Schutzverletzung personenbezogener Daten", engl. "Personal Data Breach". Dabei handelt es sich um "(...) eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden."
1.1 Arten von Schutzverletzungen
Der Begriff umfasst folgende Verletzungsarten personenbezogener Daten:
Vernichtung (Data Destruction): Darunter fallen alle Formen der Datenlöschung, die Daten unwiederbringlich machen, gleich ob rechtlich unzulässig oder unbeabsichtigt.
Beispiel: Analoge oder digitale Patientenakten, einschließlich Vorbehandlungs- und Medikamentationsdaten werden vernichtet.
Verlust (Data Loss): Gemeint ist das unvorhergesehene Verlorengehen von Daten, gleich ob temporär oder dauerhaft, etwa durch einen Serverabsturz oder Viren.
Beispiel: Ransomware hat personenbezogene Daten verschlüsselt.
Veränderung (Data Alternation): Hierbei handelt es sich um unbeabsichtigtes oder unrechtmäßiges inhaltliches Umgestalten von Daten, wodurch diese einen neuen Informationsgehalt erhalten.
Beispiel: Finanzdaten werden unbeabsichtigt und zum Nachteil von Kunden verändert.
Unbefugte Offenlegung/Weitergabe (Unauthorised Data Disclosure): Hier erhält ein Dritter Daten, ohne dass die Weitergabe durch Einwilligung oder Rechtsvorschrift gedeckt ist.
Beispiel: Personenbezogene Daten von Kunden eines Unternehmens werden im Internet veröffentlicht oder zum Kauf angeboten; Datendiebstahl
Unbefugter Zugang (Unauthorised Data Access): Darunter fällt der unbefugte Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Zu einem unbefugten Zugang in diesem Sinne kann es auch durch fehlende oder fehlerhafte Berechtigungskonzepte kommen, da tatsächliche Kenntnisnahme der Daten nicht erforderlich ist.
Beispiel: Personenbezogene Daten sind nicht gegen den Zugang von unbefugten Personen (z. B. Kunden) gesichert.
Diese Verletzungsarten weisen einen engen Zusammenhang mit den bekannten IT-Sicherheitszielen Vertraulichkeit (Confidentiality), Verfügbarkeit (Availability) und Integrität (Integrity) auf und können als Orientierung für Verletzungsszenarien herangezogen werden. Das BDSG selbst enthält keine vergleichbare Definition dieses zentralen Begriffs. Es verweist stattdessen auf die Definitionen der DSGVO, die unmittelbar gelten. Die Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen sind in den §§ 65 und 66 BDSG geregelt. Diese Paragrafen setzen jedoch den Begriff der "Verletzung des Schutzes personenbezogener Daten" bereits voraus, ohne ihn nochmals zu definieren.
1.2 Situationen, in denen eine Melde-/Benachrichtigungspflicht i. d. R. besteht
Die Pflicht für Meldungen oder Benachrichtigungen ist individuell zu beurteilen. Hier einige Beispiele:
- E-Mail- oder Post mit personenbezogenen Daten (z. B. Kontosalden, Kreditkartendaten) wird an falschen Empfänger übersendet. Hierbei ist unbedingt der Kontext der Datenverarbeitung beachten: So ist eine falsch adressierte E-Mail aus der Compliance-Abteilung eines Unternehmens, die an sich lediglich den Namen eines Whistleblowers enthält, hoch risikoträchtig.
- IT-Sicherheitsvorfall: Hacker sind in System eingebrochen und hatten womöglich Zugang zu Daten.
- Verlust von unverschlüsselten nicht gesicherten Datenträgern jedweder Art.
- Weitergabe von personenbezogenen Daten an Dritte und unberechtigte Personen.
- Nicht ordnungsgemäße Entsorgung sensibler Daten (etwa im Hausmüll).
- Für eine Behandlung erforderliche Gesundheitsdaten sind über einen Zeitraum von über 24 Stunden nicht abrufbar.
1.3 Situationen, in denen eine Melde-/Benachrichtigungspflicht i. d. R. nicht besteht
Hier einige Beispiele, wenn keine Melde- oder Benachrichtigungspflicht besteht:
- Daten von Kunden des Unternehmens wurden gelöscht, es existiert jedoch eine aktuelle und den Ausgangszustand 1:1 widerspiegelnde Datenkopie (Back-Up).
Ein Speichermedium (z. B. Laptop, USB-Stick, Smartphone) wurde verloren, jedoch ist dieses nach aktuellen Standards der IT-Sicherheit sicher verschlüsselt und das Medium zugangsgesichert.
Relationsentscheidend gewichten: Vorfall mit hochsensiblen Daten zählt höher
Handelt es sich bei solchen Daten um hochsensible Daten, wie Gesundheitsdaten oder Bank- und Kreditkartendaten, so kann aufgrund der Schwere des Schadens dennoch eine Meldung des Vorfalls an die Aufsichtsbehörde erforderlich sein.
- Daten von Kunden wurden falsch gespeichert oder richtige Daten verändert, es ist aber ein Back-Up vorhanden, mit dem der Ausgangszustand wiederhergestellt werden kann.
- Ein kurzer Stromausfall, z. B. im Call-Center, durch den Kunden nur vorübergehend die für sie relevanten Daten (Kontostände o. Ä.) nicht abfragen können.
Kommt es zu einer der beschriebenen Schutzverletzungen, stellen sich diese Fragen:
- Ist die Datenpanne den zuständigen Aufsichtsbehörden (Supervisory Authority) zu melden?
- Wenn ja, wann und wie ist die Datenpanne im Unterschied zu § 65 BDSG nach Art. 33 DSG...