Читать книгу DS-GVO/BDSG - David Klein - Страница 163

222

Art. 4 Nr. 12 definiert den Begriff „Verletzung personenbezogener Daten“. Der Begriff wurde mit der ePrivacy-RL 2009/136/EG in Art. 2 lit. h DSRL eingeführt. Art. 2 lit. h DSRL i.F.d. RL 2009/136/EG definiert die „Verletzung des Schutzes personenbezogener Daten“ als „eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang personenbezogener Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher Kommunikationsdienste in der Gemeinschaft verarbeitet werden“. Die Formulierung ist wörtlich fast identisch mit der in Art. 4 Nr. 12.

223

Die Definition des Art. 4 Nr. 12 steht in unmittelbarem Zusammenhang mit Art. 33 und 34[531]. Eine Verletzung des Datenschutzes löst die Verpflichtung zur Mitteilung an die Aufsichtsbehörde und an die betroffene Person aus. Die Definition richtet sich an jeden Rechtsanwender der Art. 33 und 34. In erster Linie adressiert sie damit den Verantwortlichen, da dieser den Meldepflichten direkt unterliegt. Im Verhältnis zum Verantwortlichen als Auftraggeber treffen den Auftragsverarbeiter bei Eintreten einer Datenschutzverletzung gem. Art. 33 Abs. 2 und 28 Abs. 3 lit. f Melde- und Mithilfepflichten. Insoweit wird die Definition des Art. 4 Nr. 12 auch für den Auftragsverarbeiter relevant. Für „Anbieter kritischer Infrastrukturen“ i.S.d. IT-Sicherheitsgesetzes bzw. „Betreiber wesentlicher Dienste“ i.S.d. NIS-RL 2016/1146 gelten daneben Meldepflichten bei Sicherheitsverstößen.