Jeder kennt sie – die Pflicht einen Data Breach bei der Aufsichtsbehörde zu melden. Doch was steckt dahinter? Lesen Sie in unserem vierteiligen Blog-Artikel
- Was ist ein Data Breach?
- Wie erkenne ich einen Data Breach?
- Wann muss ein Data Breach gemeldet werden und wann müssen die Betroffenen informiert werden?
- Muss jeder Data Breach dokumentiert werden?
Begriffsdefinition
Ein Data Breach ist eine Verletzung des Schutzes personenbezogener Daten und wird in Art 4 Z 12 DSGVO definiert:
Artikel 4
BegriffsbestimmungenIm Sinne dieser Verordnung bezeichnet der Ausdruck:
[…]
12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;
[…]
Eine Sicherheitsverletzung kann von einem Versehen, über Naturkatastrophen bis hin zu Hacking-Angriffen oder Cyberkriminalität reichen. Allerdings ist eine Sicherheitsverletzung nur dann eine Datenschutzverletzung, wenn dadurch personenbezogene Daten beeinträchtigt werden.
Die Konsequenz einer solchen Datenschutzverletzung ist, dass der Verantwortliche die Grundsätze der Datenverarbeitung iSd Art 5 DSGVO nicht mehr gewährleisten kann.[1]
Ausgangspunkt ist dabei immer ein Versagen der vom Verantwortlichen eingesetzten technischen und organisatorischen Maßnahmen gem Art 32 und eine daraus resultierende unbeabsichtigte oder unrechtmäßige Verletzungshandlung.[2]
Eine Datenschutzverletzung (Data Breach) liegt immer dann vor, wenn es zu einer dauerhaften Verletzung der Verfügbarkeit, zu einer Verletzung der Integrität oder einer Verletzung der Vertraulichkeit von personenbezogenen Daten kommt![3]
Aus der Definition von Art 4 Z 12 ist erkennbar, dass mit der Verletzung des Schutzes nicht das Fehlen einer erforderlichen Rechtsgrundlage oder die Verarbeitung entgegen der Grundsätze der Datenverarbeitung iSd Art 5 gemeint ist, sondern es vielmehr um die Datensicherheit geht.
Die Datensicherheit umfasst die Gesamtheit aller technischen und organisatorischen (nicht aber rechtlichen) Maßnahmen (TOMs), mit denen ein unzulässiger Vorgang verhindert wird und die Integrität, Vertraulichkeit und Verfügbarkeit gewährleistet werden.[4]
Wenn der Jurist von Datensicherheit spricht, versteht der Informatiker darunter Informationssicherheit oder IT-Sicherheit.
Eine Verletzung der Datensicherheit setzt immer
- eine Verletzungshandlung (Verletzung der Sicherheit) sowie
- einen Verletzungserfolg (Vernichtung, Verlust, Veränderung, oder unbefugte Offenlegung von bzw unbefugten Zugang zu personenbezogenen Daten) voraus.
Verletzungshandlung
Eine Verletzung der Sicherheit und somit auch eine Datenschutzverletzung kann durch aktives Tun oder Unterlassen eintreten. Die Verletzungshandlung kann in einer aktiven Handlung durch den Verantwortlichen, Auftragsverarbeiter, durch einen Dritten oder durch den Betroffenen selbst erfolgen, wenn zB Daten unautorisiert geändert, gestohlen oder kopiert werden. Ebenso kann die Verletzungshandlung aber auch durch zB Unterlassen von Daten-sicherheitsmaßnahmen, Zufall oder höhere Gewalt hervorgerufen werden. Ein Verschulden ist dabei nicht maßgeblich.
Beispiele:
- irrtümliche Änderung/Löschung von Dateien
- Cyberangriff, Verschlüsselungstrojaner, Phishing-Mail
- Hochwasser, Stromausfall, Feuer
- Diebstahl von Laptop, Aktentasche, USB-Stick, etc.
- Nichtbefolgung von Anweisungen durch Mitarbeiter
- Zustellung von Informationen an den falschen Empfänger (zB via E-Mail oder Post)
- Verschlüsselte Daten können nicht mehr entschlüsselt werden
- etc.
Ob es sich bei der Verletzungshandlung um eine vorsätzliche oder fahrlässige Handlung oder um einen gezielten Angriff handelt, ist grds. irrelevant. Auch ein zufälliges Datenleck fällt unter die Bestimmung des Art 4 Z 12.[5]
Verletzungserfolg
Datenschutzverletzungen lassen sich – wie bereits in der Stellungnahme 03/2014 der Artikel-29-Datenschutzgruppe dargelegt[6] – nach den Grundsätzen der Informationssicherheit unterscheiden in
- Verletzungen der Vertraulichkeit
- Verletzungen der Integrität
- Verletzungen der Verfügbarkeit
Eine Datenschutzverletzung kann je nach Konstellation eine oder mehrere Kategorien zugleich betreffen und für die betroffenen Personen zahlreiche nachteilige Auswirkungen haben und ggf physische, materielle oder immaterielle Schäden nach sich ziehen. In ErwGr 85 werden etwa der Verlust der Kontrolle über die personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder –betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten, oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile genannt.
Lesen Sie im Teil 2/4 wie Sie einen Data Breach erkennen und welche Auswirkungen dieser auf die personenbezogenen Daten hat.
[1] Vgl Artikel-29-Datenschutzgruppe, Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679, angenommen am 3. Oktober 2017, zuletzt überarbeitet und angenommen am 6. Februar 2018, S8. Siehe auch in diesem Buch auf Seite 96.
[2] Vgl Klabunde in Ehmann/Selmayr, DS-GVO2 (2018), Art 4 Rz 56.
[3] Vgl Feiler/Forgó, EU-Datenschutz-Grundverordnung (2017), Art 4 Rz 30.
[4] Vgl Jandt in Kühling/Buchner, DS-GVO Kommentar (2017), Art 4 Z 12 Rz 5.
[5] Vgl Ernst in Paal/Pauly, DS-GVO/BDSG2 Art 4 Rz 95.
[6] Siehe Stellungnahme 03/2014 über die Meldung von Verletzungen des Schutzes personenbezogener Daten, angenommen am 25. März 2014.