Читать книгу DS-GVO/BDSG - David Klein - Страница 164

224

Art. 4 Nr. 12 definiert die Verletzung des Schutzes personenbezogener Daten als „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

225

Da zunächst eine Verletzung der Sicherheit vorliegen muss, umfasst der Begriff des Art. 4 Nr. 12 nicht sämtliche Verstöße gegen Datenschutzrecht, sondern nur solche Fälle, die entgegen der Vorgaben des Verantwortlichen erfolgen. Dies sind insbesondere Fehler der Mitarbeiter oder gezielte Angriffe von Dritten.[532] Werden die personenbezogenen Daten dagegen unrechtmäßig, z.B. unter Missachtung der in Art. 5 Abs. 1 normierten Grundsätze[533], vom Verantwortlichen an einen Dritten übermittelt, liegt darin keine Verletzung der Sicherheit. Der Verantwortliche nimmt dann eine unrechtmäßige Datenverarbeitung vor.

226

Die Verletzung kann unbeabsichtigt oder absichtlich geschehen. Der Hintergrund der Datenpanne spielt keine Rolle. Vorsatz wie Fahrlässigkeit, gezieltes Handeln wie auch Nebeneffekte anderer Handlungen oder Versäumnisse können gleichermaßen ursächlich sein. Ein Verschulden ist nicht erforderlich. Selbst rein zufällig entstandene Datenlecks fallen unter den Begriff.[534]

227

Die Sicherheitsverletzung muss „zur Vernichtung, zum Verlust, zur Veränderung“ oder „zur unbefugten Offenlegung von beziehungsweise Zugang“ zu personenbezogenen Daten geführt haben.

228

Die personenbezogenen Daten sind vernichtet, wenn sie unwiederbringlich gelöscht sind.[535]

229

Ein Verlust liegt in der Abgrenzung zur Vernichtung vor, wenn Daten dem Verantwortlichen nicht mehr zur Verfügung stehen, bspw. im Fall des unbeabsichtigten Abhandenkommen physischer Originaldatenträger.[536] Die Daten müssen dauerhaft verloren gegangen und nicht mehr im Herrschaftsbereich des Verantwortlichen sein. Ein vorübergehendes „Verlegen“ stellt noch keinen Verlust da.[537] Die Verschlüsselung durch sog. Ransomware in Form von Verschlüsselungstrojanern, bei denen Daten lokal verschlüsselt und ansonsten gelöscht werden, wobei der Schlüssel nur gegen eine Zahlung angeboten wird, kann bei fehlendem Backup einen Verlust nach Art. 4 Nr. 12 darstellen.[538]

230

Die Veränderung der Daten bezieht sich nicht auf den Bestand der Daten selbst, sondern auf ihren Informationsgehalt. Eine Veränderung von Daten wird man i.S.v. § 3 Abs. 4 Nr. 2 BDSG a.F. als das inhaltliche Umgestalten von personenbezogenen Daten verstehen können.[539] Sie kann immer dann angenommen werden, wenn die Daten modifiziert wurden und damit nicht mehr unversehrt sind. Beispielsweise ist dies der Fall, wenn ein Mitarbeiter die Adresse eines Kunden aus Versehen mit einer veralteten Adresse des Kunden überschreibt.

231

Eine unbefugte Offenlegung ist bereits dann gegeben, wenn Dritten ohne entsprechende Rechtsgrundlage nach der DS-GVO eine Kenntnisnahmemöglichkeit eingeräumt wird.[540] Das ist bspw. der Fall, wenn eine öffentliche Zugänglichmachung personenbezogener Daten auf einer Internetseite erfolgt. Ein unbefugter Zugang liegt dann vor, wenn nicht hierzu autorisierte Personen Kenntnis von den personenbezogenen Daten oder auch nur Zugang zu den Geräten, mit denen personenbezogene Daten verarbeitet werden, erlangt haben.[541] Fraglich ist, ob es für eine Verletzung der Sicherheit, insbesondere in den Fällen der unbefugten Offenlegung und des unbefugten Zugangs, erforderlich ist, dass ein unbefugter Zugang oder unbefugte Kenntnisnahme tatsächlich stattgefunden hat oder lediglich möglich ist. So kann der Verlust eines Speichermediums, z.B. ein USB-Stick oder ein Smartphone, dazu führen, dass die Daten von Dritten zur Kenntnis genommen werden. Die Möglichkeit der Kenntnisnahme besteht auch dann, wenn die Daten verschlüsselt sind, dass Handy bspw. mit einem Pin geschützt ist. In diesen Fällen wird man davon ausgehen müssen, dass eine Verletzung der Sicherheit bereits eingetreten ist. Die für das weitere Vorgehen entscheidende Frage, wie hoch das Risiko einer Entschlüsselung tatsächlich ist, wird im Rahmen der zu treffenden Maßnahmen, etwa nach Art. 33 f., zu berücksichtigen sein.[542]

232

Eine Datenschutzverletzung ist nur relevant, wenn sie personenbezogene Daten betrifft. Ein reiner Zugriff auf technische Daten, die keinen Bezug zu einer natürlichen Person zulassen, stellt keine Verletzung dar. Art. 4 Nr. 12 legt auch fest, dass personenbezogenen Daten, die das Schutzobjekt der Norm sind, in irgendeiner Form verarbeitet wurden. Der Begriff der Verarbeitung ist in Art. 4 Nr. 2 definiert und sehr weit gefasst. Dementsprechend kommt dem Merkmal „übermittelt, gespeichert oder sonst verarbeitet“ kaum einschränkende Wirkung zu.