Datenpanne

Was ist eine Datenpanne (Datenschutzverletzung)?

Datenschutzverletzungen sind Vorfälle, die Datenschutz und Datensicherheit betreffen und bei denen unberechtigte Personen vermutlich oder erwiesenermaßen von personenbezogenen Daten Kenntnis nehmen konnten oder solche Daten verloren gegangen oder vernichtet, unbefugt verändert oder offengelegt worden sind. Dabei spielt es keine Rolle, ob die Daten in analoger oder elektronischer Form vorliegen.

Darunter fallen z. B.:
- Versenden einer E-Mail an den falschen Empfänger oder das Setzen eines Empfängers (oder einer Vielzahl von Empfängern) in das cc-Feld anstatt in das bcc-Feld;
- Abhandenkommen (durch Verlieren oder Diebstahl) eines Speichermediums (z. B. USB-Stick, externe Festplatte, Speicherkarte) oder eines mobilen Gerätes (Smartphone, Tablet, Notebook, Digitalkamera);
- („Hacker“-) Angriffe auf die technische Infrastruktur (z. B. das interne Netzwerk) durch Schadsoftware (z. B. Computervirus, [Krypto-/ Verschlüsselungs-] Trojaner) oder durch Ausnutzen einer Sicherheitslücke im Betriebssystem oder in einer Anwendungssoftware;
- Papierdokumente mit sensiblen Daten (z. B. Personalakten) werden nicht datenschutzkonform entsorgt (z. B. mittels eines Papiershredders mit angemessener Sicherheitsstufe/ durch eine hierauf spezialisierte Firma), sondern landen im Altpapier.
 

Wann muss eine Datenpanne an die Datenschutzaufsicht gemeldet werden?

Das Gesetz über den Kirchlichen Datenschutz sieht in => § 33 KDG vor, dass die Meldung an die Datenschutzaufsicht immer dann zu erfolgen hat, wenn die Verletzung des Schutzes personenbezogener Daten eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellt.

Ob eine solche Gefahr besteht, muss der Verantwortliche mittels einer Risikoabwägung feststellen:
Ein Risiko im Sinne des Datenschutzrechts liegt vor, wenn die Möglichkeit besteht, dass ein Ereignis eintritt,
- das selbst einen Schaden darstellt (z. B. das Abhandenkommen einer Digitalkamera hat unmittelbar zur Folge, dass die gespeicherten Bilder durch Unbefugte betrachtet werden könnten)
- oder zu einem weiteren Schaden für eine oder mehrere Personen führen kann (z. B. eine E-Mail, der ein ärztliches Gutachten beigefügt ist, wird an einen falschen Adressaten versendet).

Wesentliche Kriterien für die Einschätzung des Risikos sind dabei

  • die Art der Verletzung (Verletzung der Verfügbarkeit, Vertraulichkeit oder Integrität), z. B. ist ein unautorisierter Zugriff oft gravierender als ein Datenverlust;
  • die Art, Sensibilität und Menge der betroffenen Daten sowie deren Eignung zum fortwährenden Missbrauch (ggf. auch nur in Kombination mit anderen Daten);
  • die Identifizierbarkeit betroffener Personen (wie einfach und wahrscheinlich ist es, dass ein Dritter, der unautorisierten Zugriff nimmt, den Personenbezug herstellen kann?);
  • die (potenzielle) Schwere der Folgen für die betroffenen Personen;
  • besondere Eigenschaften der betroffenen Person (z. B. Kinder/Jugendliche) oder des Verantwortlichen (z. B. Sozialstation)
  • sowie die Anzahl der von der Datenschutzverletzung betroffenen Personen.

Dokumentationspflicht des Verantwortlichen:
Die Datenschutzverlet­zung und alle damit zusammenhängenden Tatsachen sind nachvollziehbar zu dokumentieren. Neben den Umständen, die zur Datenschutzverletzung geführt haben und die die Verletzung selbst beschreiben sind auch deren Auswirkun­gen und die ergriffenen Abhilfemaßnahmen in die Dokumentation aufzunehmen. Da die Dokumentation der Datenschutzaufsicht ermöglichen soll, die Einhaltung der Vorgaben des § 33 KDG zu überprüfen, umfasst die Dokumentationspflicht insbesondere auch die für die Risiko­abwägung relevanten Umstände.
Wichtig: Daher sind auch solche Datenschutzvorfälle zu dokumentieren, bei denen der Verantwortliche nach dem Ergebnis seiner Risikoabwägung von einer Meldung abgesehen hat. Auch diese Fälle müssen für die Datenschutzaufsicht nachvollziehbar sein.

Frist für die Meldung:
Die Meldung hat unverzüglich, also ohne schuldhaftes Zögern zu erfolgen. Erfolgt die Meldung nicht binnen 72 Stunden, nachdem die Verletzung des Schutzes personenbezogener Daten bekannt wurde, so ist ihr eine Begründung für die Verzögerung beizufügen.
Es sind auch abgestufte Meldungen möglich: Innerhalb der Meldefrist werden die Verletzung an sich und die bis dahin bekannten Fakten gemeldet; weitere Details werden baldmöglichst nachgereicht.

Wie wird eine Datenschutzverletzung gemeldet?

Ergänzend unterrichtet der Verantwortliche den zuständigen betrieblichen Datenschutzbeauftragten, hier die Stabsstelle Datenschutz der Diözese Rottenburg-Stuttgart -> datenschutz(at)bo.drs.de.
 

Wann müssen darüber hinaus die betroffenen Personen benachrichtigt werden?

Hat die an die Datenschutzaufsicht gemeldete Datenschutzverletzung voraussichtlich auch ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person zur Folge, so hat der Verantwortliche gemäß => § 34 KDG die betroffene(n) Person(en) unverzüglich von der Verletzung zu unterrichten.

Für die Pflicht zur Benachrichtigung der betroffenen Person gilt also eine höhere Schwelle als für die Meldung an die Aufsichtsbehörde. Ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person kommt insbesondere in Betracht, wenn die Datenschutzverletzung schwerwiegende Folgen für den Betroffenen nach sich ziehen kann:
- Verlust der Vertraulichkeit von persönlichen Daten, die der Geheimhaltung unterliegen;
- Diskriminierung;
- Identitätsdiebstahl oder -betrug;
- finanzielle Verluste;
- unbefugte Aufhebung der Pseudonymisierung;
- Rufschädigung
- oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.

Zweck der Benachrichtigung ist es, der betroffenen Person die Möglichkeit zu geben, mittels der Informationen eigene Vorkehrungen zu treffen, um negative Auswirkungen, die sich aus den Umständen der Datenschutzverletzung ergeben können, zu verhindern oder zu verringern.

Form der Benachrichtigung der betroffenen Person(en):
Die Benachrichtigung hat in einfacher und klarer Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben. Sie muss außerdem mindestens die Kontaktdaten des betrieblichen Datenschutzbeauftragten oder einer anderen Stelle für weitere Informationen, die Beschreibung der möglichen Folgen der Datenschutzverletzung und die Beschreibung der ergriffenen Maßnahmen enthalten. Eine bestimmte Form der Benachrichtigung ist nicht vorgegeben.