Bei der Bewertung von Datenschutzverletzungen gibt es einige Punkte, die zu beachten und zu bewerten sind. Dies ist in der Praxis nicht immer leicht, daher finden Sie hier eine Anleitung zur Bewertung sowie einige Beispiele der Datenschutz-Aufsichtsbehörden.
Was gilt als Datenschutzverletzung?
Eine Datenschutzverletzung liegt vor, wenn eine Verarbeitung – also z. B. eine Übermittlung oder eine Speicherung – von personenbezogenen Daten unbeabsichtigt oder unrechtmäßig
- zur Vernichtung oder
- zum Verlust oder
- zur Veränderung oder
- zur unbefugten Offenlegung bzw.
- zum unbefugten Zugang
von personenbezogenen Daten natürlicher Personen führt.
Für eine Bewertung der vorliegenden Datenschutzverletzung ist es wichtig die Auswirkungen auf die Risiken der
- Diskriminierung
- Identitätsdiebstahl oder -betrug
- Finanzieller Verlust
- Rufschädigung
- Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden personenbezogenen Daten
- Unbefugte Aufhebung der Pseudonymisierung
- Erhebliche wirtschaftliche oder gesellschaftliche Nachteile Verhinderung der Betroffenenrechte
- Verhinderung der Kontrolle über eigene personenbezogene Daten
- Verarbeitung personenbezogener Daten besonderer Kategorien (Art. 9)
- Bewertung oder Prognostizierung persönlicher Aspekte (z.B. Arbeitsleitung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel)
- Verarbeitung personenbezogener Daten schutzbedürftiger natürlicher Personen (z. B. Kinder)
- Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von personenbezogenen Daten
- Unbefugter Zugang zu personenbezogenen Daten
für die betroffenen Personen zu bewerten. Dabei sind auch die gemäß Datenschutzgrundordnung besonders schützenswerte Datenarten der
- Rassische und ethnische Herkunft
- Politische Meinungen
- Religiöse und weltanschauliche Überzeugungen Gewerkschaftszugehörigkeit
- Genetische Daten
- biometrische Daten zur Identifizierung einer Person Gesundheitsdaten
- Sexualleben oder sexuelle Orientierung
- Daten zu Straftaten oder Ordnungswidrigkeiten
- und sensible Datenarten, wie z. B.
- Bank- oder Kreditkartendaten,
- Benutzerkennungen, Passwörter oder andere Bestands- und Nutzungsdaten bei Telemedien
in die Bewertung zu integrieren.
Muss jede Datenschutzverletzung gemeldet werden?
Kann nach der Bewertung der obengenannten Punkte ausgeschlossen werden, dass die Datenschutzverletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, kann auf eine Meldung an die Datenschutz-Aufsichtsbehörde verzichtet werden. Wenn ferner die Datenschutzverletzung voraussichtlich nicht zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, so kann auch auf eine Meldung an die betroffenen Personen verzichtet werden. Die Schwelle für eine Meldung an die betroffene Person liegt somit höher als die Meldung an die Datenschutz-Aufsichtsbehörden.
Eine Meldung an die Datenschutz-Aufsichtsbehörden muss gemäß Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung erfolgen. Sollte der Verantwortliche die Frist von 72 Stunden nicht einhalten, muss später eine Begründung dafür eingereicht werden. Wird durch den Verantwortlichen bewertet, dass auch eine Meldung an die betroffene Person erfolgen muss, so muss dies unverzüglich geschehen. Eine falsch bewertete Meldepflicht kann den Verantwortlichen ein Ordnungswidrigkeitsverfahren kosten.
Auch wenn ein Vorgang als nicht meldepflichtige Verletzungen des Schutzes personenbezogener Daten bewertet wurde, sollte der Verantwortliche stets diese Datenschutzverletzung dokumentieren und Maßnahmen für die Zukunft definieren.
Beispiele für Datenschutzverletzungen und Meldepflichten
| Fallbeispiel (gekürzt) | Meldung an Behörde | Meldung an Betroffene | Anmerkungen (gekürzt) | Link |
| Gestohlener USB-Stick mit wirksam verschlüsselten Daten | Nein | Nein | Kein Art.-33-Fall aufgrund der Ver-schlüsselung. Meldepflicht besteht jedoch, wenn die Daten nicht anderweitig gesichert sind. | ⭷ |
| Datenzugriff durch Cyber-Attacke | Ja | Nein | ||
| Mehrminütiger Stromausfall, dadurch zwischenzeitlich kein Zugriff möglich | Nein | Nein | Aber interne Dokumentation nach Art. 33 Abs. 5 | |
| Ransomware-Attacke, die Kundendaten verschlüsselt(Erpressungstrojaner) | Ja, in der Regel | Ja, in der Regel | Außer es gibt ein Backup, sodass die Daten zügig wiederhergestellt werden können. | |
| Kontoauszug an falschen Kunden verschickt | Ja | Im Einzelfall i.d.R. nicht, bei Häufung schon | ||
| Hacker erbeuten Nutzernamen, Passwörter und Kauf-historie der Kunden eines Onlineshops | Ja | Ja | ||
| Kunden können aufgrund eines Programmierfehlers im Kundenportal fremde Kundendaten einsehen | Ja, wenn Daten abgerufen wurden | Kommt darauf an | ||
| Cyber-Attacke auf Krankenhaus, dadurch für 30 Minuten kein Zugriff auf Patientendaten | Ja | Ja | ||
| Versehentliche Versendung von Schülerdaten an eine Mailingliste | Ja | Ja, in der Regel | ||
| Werbe-E-Mail mit offenem Mailverteiler (cc statt bcc) | Ja (bei großer Empfängerzahl oder sensiblem Inhalt, z.B. Pass-wörter) | Ja (außer nur wenige Betroffene und kein sensibler Inhalt) | ||
| Unbefugte haben Zugang zu personenbezogenen Daten erhalten oder sich verschafft, die aber verschlüsselt sind. Aber: wenn die Daten etwa gestohlen wurden und daher nun für den Verantwortlichen verloren sind, kann auch bei verschlüsselten Daten ein zu meldender Datenschutzverstoß vorliegen. Hier kommt es dann auf die Art der verlorenen Daten an. | Nein | Nein | ⭷ | |
| Verlust eines verschlüsselten USB-Sticks oder Smartphones: Siehe bereits vorheriges Beispiel. Bei einfachem Zugriffschutz, der in der Vergangenheit bereits überwunden wurde, liegt eher ein mittleres Risiko vor. | Nein | Nein | ||
| Fehlversandter Brief kam ungeöffnet zurück: Wenn verschlossene Briefe –ungeöffnet zurückkommen, besteht in der Regel ein nur geringes Risiko | Nein | Nein | ||
| Brief mit falscher Anlage: Wenn aus der Anlage lediglich Namen und Daten zu hervorgehen, ist das Risiko eher gering. Anders bei vollständigen Anschriften oder gar Bankverbindungen – dann ist nicht von einem nur geringen Risiko auszugehen: Meldepflicht. | Nein | Nein | ||
| Gelangen Bankverbindungen an unbefugte Dritte, kann ein hohes Risiko vorliegen, sodass auch die Betroffenen zu benachrichtigen wären. Das hohe Risiko entfällt, wenn die Unterlagen nach glaubhafter Angabe aller Empfänger vernichtet wurden bzw. dem Absender unbeschädigt und ohne, dass eine Kopie angefertigt wurde zurückgegeben wurden. Sofern alle diese Feststellungen binnen der Meldefrist getroffen werden konnten, muss Sie also lediglich eine Meldung an die Aufsichtsbehörde abgegeben werden. | Ja | Ja | ||
| Der Verantwortliche konnte sofort denjenigen, der sich unrechtmäßig Zugang zu personenbezogenen Daten verschafft hat, identifizieren und davon abhalten, die Daten irgendwie weiterzuverwenden. Sollte es sich jedoch um sehr sensible Daten gehandelt haben, von wenigen Individuen, sodass sie der Täter sich gemerkt haben könnte ist dennoch von der Benachrichtigungspflicht auszugehen. | Ja | Ja | ||
| Beim Verlust eines USB-Sticks, auf dem personenbezogene Daten unverschlüsselt gespeichert sind. | Ja | ⭷ | ||
| Ein Dritter teilt einem Verantwortlichen mit, dass er versehentlich die personenbezogenen Daten eines Kunden des Verantwortlichen erhalten hat. | Ja | |||
| Ein Verantwortlicher bemerkt, dass möglicherweise in sein Netzwerk eingedrungen wurde. | Ja | |||
| Ein Cyberkrimineller hackt das System eines Verantwortlichen und kontaktiert ihn anschließend mit einer Lösegeldforderung. | Ja | |||
| Ein Verantwortlicher hat die Sicherungskopie eines Archivs mit personenbezogenen Daten in verschlüsselter Form auf einem USB-Stick gespeichert. Bei einem Einbruch wird der USB-Stick entwendet. | Nein | Nein | Solange die Daten durch einen dem Stand der Technik entsprechenden Algorithmus verschlüsselt sind, Datensicherungen existieren, der eindeutige Schlüssel nicht beeinträchtigt wurde und sich die Daten zeitnah wiederherstellen lassen. | |
| Ein Verantwortlicher betreibt einen Onlinedienst. Der Dienst wird Opfer eines Cyberangriffs und dabei werden personenbezogene Daten abgeschöpft. Der Verantwortliche hat nur in einem Mitgliedstaat Kunden. | Ja | Ja | ||
| Im Callcenter eines Verantwortlichen kommt es zu einem kurzen, mehrere Minuten andauernden Stromausfall , sodass nicht auf ihre Unterlagen zugreifen können. | Nein | Nein | Allerdings dokumentationspflichtig. | |
| in Verantwortlicher wird Opfer eines Ransomware-Angriffs, bei dem sämtliche Daten verschlüsselt werden. Es sind keine Sicherungskopien vorhanden und die Daten können nicht wiederhergestellt werden. Die Ransomware diente ausschließlich der Datenverschlüsselung | Ja | Ja | Wenn eine Datensicherung vorhanden gewesen wäre und sich die Daten zeitnah hätten wiederherstellen lassen, wären die Meldung an die Aufsichtsbehörde und die Benachrichtigung der betroffenen Personen nicht erforderlich gewesen. | |
| Eine Person ruft im Callcenter einer Bank an, um eine Datenschutzverletzung zu melden. Die Person hat einen für jemand anderer bestimmter monatlicher Kontoauszug erhalten. | Ja | Nur die betroffenen Personen werden benachrichtigt, wenn ein hohes Risiko besteht und klar ist, dass keine anderen Personen betroffen sind | ||
| Ein Verantwortlicher betreibt einen Online-Marktplatz mit Kunden in mehreren Mitgliedstaaten. Nach einem Cyberangriff auf den Marktplatz veröffentlicht der Angreifer Benutzernamen, Passwörter und Kaufhistorie im Internet | Ja, Vorfälle mit grenzüberschreitender Verarbeitung müssen an die federführende Aufsichtsbehörde gemeldet werden. | Ja, denn der Vorfall könnte zu einem hohen Risiko führen. | ||
| Ein als Auftragsverarbeiter fungierendes Webhosting-Unternehmen stellt fest, dass der Code zur Steuerung der Benutzerautorisierung einen Fehler enthält. Aufgrund des Fehlers kann jeder Benutzer die Kontodaten aller anderen Benutzer einsehen. | Als Auftragsverarbeiter muss seine betroffenen die Verantwortlichen unverzüglich benachrichtigen | Wenn voraussichtlich kein hohes Risiko für die betroffenen Personen besteht, müssen diese nicht benachrichtigt werden. | ||
| Aufgrund eines Cyberangriffs sind in einem Krankenhaus medizinische Unterlagen 30 Stunden lang unzugänglich | Ja | Ja | ||
| Die personenbezogenen Daten einer großen Zahl von Studenten wurden versehentlich an eine falsche Mailingliste mit gut 1000 Empfängern geschickt. | Ja | Ja | ||
| Eine E-Mail für Direktwerbezwecke wird an Empfänger in den Feldern „An…“ oder „Cc…“ geschickt, sodass die E-Mail-Adressen der Empfänger für alle Empfänger sichtbar sind. | Ja, wenn sehr viele Personen betroffen sind, sensible Daten offengelegt werden oder z.B. wenn die E-Mail die ursprünglichen Passwörter enthält | Ja | Die Benachrichtigung ist unter Umständen nicht erforderlich, wenn keine sensiblen Daten offengelegt werden und nur eine kleine Anzahl von E-Mail-Adressen sichtbar ist | |
| Ein Laptop mit medizinischen Befunden wird einem Arzt entwendet. Die Daten auf der Festplatte des Laptops sind mit einem kryptographischen Verfahren nach dem Stand der Technik sicher verschlüsselt und alle gespeicherten Daten sind in einem Backup vorhanden. | Nein | Nein | ⭷ |
Quelle:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Update 16.02.2021:
Am 18.01.2021 hat der Europäische Datenschutzausschuss (EDSA) Richtlinien zur Einordnung und Meldung von Datenpannen herausgegeben. Diese können Sie hier nachlesen.