Читать книгу DSGVO - BDSG - TTDSG - Группа авторов - Страница 234

377

Auch bei der zweiten Kategorie, der unbefugten Kenntnisnahme in Form der Offenlegung oder des Zugangs, ist für die Feststellung einer Verletzung auf die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO abzustellen.723 Obwohl der Wortlaut „unberechtigt“ auf das Kriterium der Rechtmäßigkeit der Datenverarbeitung hindeutet, verbietet die Schutzrichtung der Datensicherheit den Begriff „unbefugt“ als „unrechtmäßig“ zu lesen. So liegt eine unbefugte Kenntnisnahme lediglich dann vor, sofern eine Person Daten (unter Verletzung von Maßnahmen i.S.v. Art. 32 DSGVO) zur Kenntnis nimmt bzw. nehmen könnte, obwohl sie nach dem Vorstellungsbild des jeweiligen Verantwortlichen diese Information nicht zur Kenntnis nehmen soll.724 Ob die Kenntnisnahme rechtmäßig war oder nicht, ist dabei unbeachtlich.

378

Eine Offenlegung liegt dabei vor, wenn die jeweils betroffenen personenbezogenen Daten einem Empfänger gemäß Art. 4 Nr. 9 DSGVO zur Kenntnis gelangen. Nach der hier vertretenen Ansicht handelt es sich dabei ausschließlich um Personen und Stellen außerhalb der Organisation des Verantwortlichen (bzw. des Auftragsverarbeiters725), da nur in solchen Fällen eine „Offenlegung“ von personenbezogenen Daten vorliegt.726 Das Tatbestandsmerkmal des Zugangs impliziert demgegenüber, dass auch interne Sachverhalte erfasst werden, mithin Fälle, in denen personenbezogene Daten Mitarbeitern zugänglich gemacht werden, obwohl diese nach dem Vorstellungsbild des Verantwortlichen hierauf keinen Zugriff haben sollten (etwa versehentliches Ablegen einer Datei in einem nicht zugangsbeschränkten Verzeichnis). Der Begriff „Zugang“ legt insoweit nicht nahe, dass es sich dabei um einen Zugriff von außerhalb des Verantwortlichen handeln muss. Für ein solches Verständnis spricht zudem, dass die beiden Verletzungserfolge der Offenlegung sowie des Zugangs insoweit in einem Alternativ- und nicht in einem Spezialitätsverhältnis („beziehungsweise“) stehen. Auch die Begriffsbestimmung der „Verarbeitung“ nach Art. 4 Nr. 2 DSGVO nennt den Zugang zu personenbezogenen Daten insoweit nicht als Unterfall der „Offenlegung“. Letztlich ist auch aus Wertungsgesichtspunkten nicht ersichtlich, warum rein interne Vorfälle bereits von der Begriffsbestimmung gemäß Art. 4 Nr. 12 DSGVO ausgenommen werden sollten. Insofern können auch solche Sachverhalte zu erheblichen Risiken für die Betroffenen führen, etwa wenn Gesundheitsdaten oder andere sensible Daten in einem Unternehmen allgemein zugänglich aufbewahrt werden. Es erscheint daher eher angemessen, interne, gleichwohl unkritische Vorfälle im Rahmen der in Art. 33 bzw. 34 DSGVO vorzunehmenden Risikoanalyse entsprechend zu würdigen.

379

Der Zweiklang zwischen unbefugter Offenlegung und unbefugtem Zugang stellt zudem klar, dass eine unbefugte Kenntnisnahme im Sinne der Norm sowohl durch die tatsächliche Einsichtnahme als auch die bloße mögliche Abrufbarkeit der von der verantwortlichen Stelle bereitgehaltenen Daten erfolgen kann, ohne dass die jeweiligen Daten auch tatsächlich abgerufen worden sein müssen.727 Dies wird insoweit durch die Definition der „Verarbeitung“ gemäß Art. 4 Nr. 2 DSGVO unterstrichen, die statuiert, dass sich eine Offenlegung von personenbezogenen Daten als „[...] Übermittlung, Verbreitung oder eine andere Form der Bereitstellung [...]“ manifestieren kann. Die Differenzierung zwischen „Übermittlung und Verbreitung“ auf der einen Seite und „andere Form der Bereitstellung“ auf der anderen Seite legt insoweit nahe, dass sich erstere Bestimmung auf einen tatsächlichen Transfer von Informationen bezieht, während es für letztere Konstellation genügt, dass die datenverarbeitende Stelle den potenziellen Zugang zu personenbezogenen Daten ermöglicht.