Datenschutzverletzung: Definition, Beispiele und Pflichten
Der Begriff Datenschutzverletzung ist oftmals allgegenwärtig. Doch was ist eigentlich eine Datenschutzverletzung per Definition? Was kann eine Datenpanne sein und wie sollten Betroffene anschließend handeln?
Definition einer Datenschutzverletzung
Laut Definition beschreibt eine Datenschutzverletzung die „Verletzung des Schutz personenbezogener Daten“. Doch was sind laut dem Gesetz personenbezogene Daten?
Das wird im sogenannten Telekommunikationsgesetz festgehalten. Laut dem TKG §3 Nr. 71 ist die „Verletzung des Schutzes personenbezogener Daten" demnach eine Verletzung der Datensicherheit, die zum Verlust, zur unrechtmäßigen Löschung, Veränderung, Speicherung, Weitergabe oder sonstigen unrechtmäßigen Verwendung personenbezogener Daten führt, sowie der unrechtmäßige Zugang zu diesen.
Das TKG wird seit Mai 2018 noch um die allseits bekannte DSGVO erweitert. Denn die Datenschutz-Grundverordnung stellt eigene Anforderungen an die Meldepflicht. Doch was ist dabei zu unterscheiden?
Korrekte Aufsichtsbehörde wählen
Damit eine Datenschutzverletzung korrekt gemeldet werden kann, muss zwischen beiden Gesetzen unterschieden werden. Denn es gilt folgender Grundsatz:
- Erfolgt eine Datenschutzverletzung nach §169 TKG erfolgt die Meldung sowohl beim BfDI (Bundesbeauftrage für den Datenschutz und die Informationsfreiheit) als auch bei der Bundesnetzagentur.
- Ist dagegen §33 DSGVO betroffen, so muss die Meldung der Datenpannen nur gegenüber dem BfDI erfolgen.
Datenpannen aus der Praxis
Datenschutzverletzungen können grundsätzlich immer und überall passieren. Sowohl in der digitalen als auch in der physischen Welt. Dazu ein paar ausgewählte Beispiele:
Datenpannen in der digitalen Welt:
- Hackerangriff
- Phishing per E-Mail
- Versand von vertraulichen E-Mails an offenen Empfängerkreis
- Installation von Schadsoftware über Drittanbieter-Plattform
- Versand von personenbezogenen Daten ohne entsprechende Sicherheitsmaßnahmen
Physische Datenverletzungen:
- Verlust von Datenträgern wie USB-Stick in der Öffentlichkeit
- Diebstahl von Firmeneigentum wie Laptop
- Nicht datenschutzgerechte Entsorgung von Datenträgern wie Festplatten
- Versehentliches öffnen einer Postsendung
- Nicht korrekte Ablage personenbezogener Daten wie Bewerbungsunterlagen
Notfallmaßnahmen bei einer Datenpanne
Grundsätzlich ist bei den meisten Datenpannen von Unwissenheit oder Fahrlässigkeit auszugehen. Trotzdem ist schnelles und unverzügliches Handeln unumgänglich. Dabei sind aus rein gesetzlicher Perspektive zwei Punkte besonders relevant:
- Die Meldung der Datenschutzpanne muss unverzüglich erfolgen.
- Möglichst binnen 72 Stunden.
Sollte eine Meldung erst nach dem Zeitfenster von 72 Stunden sein, muss dies schriftlich begründet werden.
Wichtig: Eine Meldung ist nicht notwendig, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Christoph Mers
Online Content Manager