Eine Verletzung des Schutzes personenbezogener Daten (auch Datenschutzverletzung oder Datenpanne) ist legaldefiniert als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.[1]
Der Europäische Datenschutzausschuss führt eine Liste von Beispielen von Verletzungen.[2]
Rechtsfolgen
Verletzungen sind regelmäßig an die zuständige Aufsichtsbehörde zu melden.[3] Die Meldung hat innerhalb von 72 Stunden nach der Feststellung der Verletzung zu erfolgen. Hierbei werden alle Beschäftigten einer Organisation und gegebenenfalls beauftragte Auftragsverarbeiter dieser zugerechnet.[4] Wegen einer unterlassenen Meldung oder einer verspäteten Meldung an die Aufsichtsbehörde kann diese ein Bußgeld von bis zu 10 Millionen Euro oder bei Unternehmen bis zu 2 % des gesamten weltweiten Jahresumsatzes verhängen, je nach dem welcher Betrag der höhere ist.[5]
Im Falle einer Verletzung ist eine Risikobewertung durchzuführen. Kommt diese zum Ergebnis, dass es „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ kommt kann von einer Meldung an die zuständige Aufsichtsbehörde abgesehen werden.[3] Aufgrund der Absolutheit („kein Risiko“) komnmt der Europäische Datenschutzausschuss zur Überzeugung, dass bereits sehr geringe und sehr unwahrscheinliche Risiken zu einer entsprechenden Meldepflicht führen.[2]
Kommt die Risikobewertung zum Ergebnis, dass voraussichtlich „ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ muss die Verletzung den betroffenen Personen unverzüglich mitgeteilt werden.[6]
Der Verantwortliche hat alle Schäden die einer Person aus einer Verletzung entstehen zu ersetzen.[7] Ob allein durch eine Verletzung den betroffenen Personen ein immaterieller Schaden entsteht ist umstritten.[8][9][10][11][12][13]
Verletzung der Sicherheit
Die Verletzung der Sicherheit beschränkt sich auf die technisch-organisatorische Hinsicht.[14] Hierzu zählen einerseits Konstellationen wie Systemabstürze und andere (auch durch Dritteinflüsse ausgelöste) technische Probleme, die zu Datenverlusten oder -veränderungen geführt haben, aber andererseits auch gezielte Angriffe wie Hacking oder Datendiebstahl.[15]
Einzelnachweise
- ↑ Datenschutz-Grundverordnung. Artikel 4 Nummer 12. In: EUR-Lex. 3. April 2021, abgerufen am 27. Juni 2021.
- ↑ 2.0 2.1 Europäischer Datenschutzausschuss: Guidelines 01/2021 on Examples regarding Data Breach Notification. In: edpb.europa.eu. 14. Januar 2021, abgerufen am 27. Juni 2021 (Lua error in Module:Multilingual at line 149: attempt to index field 'data' (a nil value).).
- ↑ 3.0 3.1 Datenschutz-Grundverordnung. Artikel 33 Absatz 1. In: EUR-Lex. 3. April 2021, abgerufen am 21. Juni 2021: „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“
- ↑ Artikel-29-Datenschutzgruppe: Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679. In: datenschutz-bayern.de. 6. Februar 2018, abgerufen am 28. Juni 2021.
- ↑ Datenschutz-Grundverordnung. Artikel 83 Absatz 4 Buchstabe b. In: EUR-Lex. 3. April 2021, abgerufen am 28. Juni 2021: „Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43 [...].“
- ↑ Datenschutz-Grundverordnung. Artikel 34 Absatz 1. In: EUR-Lex. 3. April 2021, abgerufen am 28. Juni 2021: „Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“
- ↑ Datenschutz-Grundverordnung. Artikel 82 Absatz 1. In: EUR-Lex. 3. April 2021, abgerufen am 28. Juni 2021: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
- ↑ Julia Storkenmaier: DSGVO-Schadensersatzansprüche – wie viel sind sie wert? In: cmshs-bloggt.de. CMS Hasche Sigle, 24. November 2020, abgerufen am 28. Juni 2021.
- ↑ Dr. Datenschutz: DSGVO: Schadensersatz bei Datenschutzverstoß möglich 3. In: dr-datenschutz.de. intersoft consulting services AG, 3. April 2018, abgerufen am 28. Juni 2021.
- ↑ Ulrich Lasser: Schadensersatz aufgrund von DSGVO-Verstößen. In: activemind.de. activeMind AG, 14. Januar 2021, abgerufen am 28. Juni 2021.
- ↑ Hannah Zitzmann: Immaterieller Schadenersatz bei Datenschutzverletzungen. In: datenschutz-notizen.de. DSN Holding GmbH, 23. Dezember 2020, abgerufen am 28. Juni 2021.
- ↑ Cornelia Mattig: Achtung, wir haben eine Datenpanne! Was nun? In: EXPERT FOCUS. Band 2019, Nr. 6-7. EXPERTsuisse AG, Zürich/Epalinges 2019, S. 491–497 ([1] [PDF]).
- ↑ Markus Allram: Die Verletzung des Schutzes personenbezogener Daten ("Data Breach") nach der DSGVO unter besonderer Berücksichtigung des Rechts auf Ersatz immaterieller Schäden. Diplomarbeit. In: Karl-Franzens-Universität Graz (Hrsg.): unipub.uni-graz.at. (VLID)4630777. Graz November 2019, urn:nbn:at:at-ubg:1-148150 (uni-graz.at [abgerufen am 28. Juni 2021]).
- ↑ Artikel 4 Nummer 12. In: Spiros Simitis, Gerrit Hornung, Indra Spiecker genannt Döhmann (Hrsg.): Datenschutzrecht DSGVO mit BDSG. 1. Auflage. Nomos Verlagsgesellschaft, Baden-Baden 2019, ISBN 978-3-8487-3590-7, S. 335.
- ↑ Jan-Michael Grages: Artikel 33. Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde. Artikel 33. In: Kai-Uwe Plath (Hrsg.): BDSG/DSGVO. Verlag Dr. Otto Schmidt, Köln 2016, ISBN 978-3-504-38495-1, doi:10.9785/9783504384951-074.