Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 231

368

Ausgangspunkt der Definition ist eine Verletzung der Sicherheit. Die Begriffsbestimmung nimmt insoweit Bezug auf Art. 32 DSGVO, welcher datenverarbeitende Stellen dazu verpflichtet, geeignete technische und organisatorische Datensicherheitsmaßnahmen zu ergreifen. Art. 32 Abs. 2 DSGVO greift insoweit den Wortlaut von Art. 4 Nr. 12 DSGVO auf und statuiert, dass hierbei insbesondere solche Risiken zu berücksichtigen sind, die infolge von „[...] Vernichtung, Verlust, Veränderung oder unbefugte[r] Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten [...]“ entstehen können.

369

Die Datensicherheit umfasst daher die technischen und organisatorischen Maßnahmen, die einen unberechtigten (nicht unrechtmäßigen)707 Umgang mit personenbezogenen Daten verhindern und zugleich die Integrität und Verfügbarkeit der Daten und die zu deren Verarbeitung eingesetzten technischen Einrichtungen erhalten sollen.708 Die Anforderungen an die Datensicherheit umschreiben dabei den technischen und organisatorischen Rahmen, in dem die Verarbeitung erfolgen darf.709 Aus diesem Grund ist bei der Bestimmung, ob eine Verletzung der Sicherheit und damit des Schutzes personenbezogener Daten vorliegt, auf die von dem Verantwortlichen oder Auftragsverarbeiter eingesetzten technischen und organisatorischen IT-Sicherheits- bzw. Datensicherheits-Maßnahmen nach Art. 32 DSGVO abzustellen.710 Eine Verletzung nach Art. 4 Nr. 12 DSGVO liegt demgemäß immer erst dann vor, wenn eine dieser Maßnahmen versagt hat, sei es technisch bedingt (z.B. beim Versagen der Firewall oder einem Fehler im Berechtigungskonzept) oder durch einen Verstoß der Mitarbeiter gegen IT-Sicherheitsbestimmungen oder Vorgaben des Verantwortlichen, die die Datensicherheit betreffen.711 Entsprechendes gilt, wenn die von der datenverarbeitenden Stelle ergriffenen Maßnahmen in Anbetracht der mit den Verarbeitungstätigkeiten verbundenen Risiken kein hinreichendes Schutzniveau etablieren und infolgedessen ein in Art. 4 Nr. 12 DSGVO vorgesehener Vorfall eintritt.

370

Demgegenüber erfüllt eine bloß unrechtmäßige Verarbeitung von personenbezogenen Daten (mithin in erster Linie, wenn für die jeweilige Datenverarbeitung kein entsprechender Erlaubnistatbestand i.S.v. Art. 6 bzw. 9 DSGVO vorliegt) für sich allein genommen nicht den Verletzungstatbestand des Art. 4 Nr. 12 DSGVO.712 Entsprechendes gilt für Verstöße durch Mitarbeiter gegen Anweisungen zum rechtmäßigen Umgang mit personenbezogenen Daten, etwa gegen Regelungen zur Zweckbestimmung, Speicherdauer, Transparenzanforderungen.713 Dies wird durch den Umstand unterstrichen, dass es ausweislich der Begriffsbestimmung des Art. 4 Nr. 12 DSGVO unerheblich ist, ob eine Verletzung im Sinne der Norm unrechtmäßig eintritt. Zu beachten ist, dass ein solcher Vorfall jedoch mit einer Verletzung i.S.v. Art. 4 Nr. 12 DSGVO zusammenfallen kann.

371

Nach dem Wortlaut der Definition kann sowohl unbeabsichtigtes (z.B. fahrlässiges Liegenlassen eines Datenträgers durch eigenen Mitarbeiter oder das nicht ordnungsgemäße Entsorgen von Unterlagen) als auch gezieltes Handeln (z.B. vorsätzliche Weitergaben an Dritte oder Hackerangriffe) eine Verletzung der Datensicherheit begründen.714 Ziel der Datensicherheit ist ein umfassender Schutz der personenbezogenen Daten, weshalb allein objektive Kriterien maßgeblich sind; ob jemand vorsätzlich oder schuldhaft handelt, ist dabei irrelevant.715

372

Von der Verletzung müssen personenbezogene Daten betroffen sein, „[...] die übermittelt, gespeichert oder auf sonstige Weise [i.S.v. Art. 4 Nr. 2 DSGVO] verarbeitet wurden“. Mit Blick auf sich möglicherweise anschließende Meldepflichten gemäß Art. 33, 34 DSGVO, muss es sich dabei um personenbezogene Daten handeln, für welche die datenverarbeitende Stelle als (gemeinsam) Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO (vgl. Art. 33 Abs. 1, Art. 34 Abs. 1 DSGVO) oder Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO (vgl. Art. 33 Abs. 2 DSGVO) agiert.716