Verletzungen des Schutzes personenbezogener Daten

Verletzungen des Schutzes personenbezogener Daten sind Verletzungen der Datensicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung personenbezogener Daten führen bzw. diese gegenüber Unbefugten offenlegen oder einen unbefugten Zugang zu personenbezogenen Daten ermöglichen (Artikel 4 Nr. 12 DSGVO).

Damit verbunden sind in den meisten Fällen Angriffe auf die IT-Systeme oder der unerlaubte Umgang mit personenbezogenen bzw. sensiblen Daten (Informationssicherheitsvorfälle). Sämtliche Angriffe, unerlaubte Datennutzung oder diesbezügliche Verdachtsmomente müssen sorgfältig geprüft werden, um Datenschutzverletzungen zu erkennen. Hierunter fallen beispielsweise

  • Angriffe auf zentrale IT-Systeme (PAUL, PANDA, MACH) oder dezentrale IT-Systeme (Umfragesysteme oder Forschungsdatenbanken), bei denen Angreifer personenbezogene Daten zur Kenntnis gelangt sein können,
  • Systemveränderungen oder Ausspähen von Zugangskennungen (Passwörter) durch massenhafte Verbreitung von Viren, Malware und Spam-Mails,
  • die unbeabsichtigte Fehlkonfiguration eines Systems, sodass personenbezogene Daten ungewollt veröffentlicht werden,
  • der versehentliche Versand personenbezogener Daten an einen für diese Daten nicht zuständigen E-Mail-Verteiler,
  • der Verlust eines mobilen Endgeräts (Notebook, Smartphone) oder Datenträgers (USB-Stick), auf dem sich personenbezogene Daten befinden,
  • aber auch die unzulässige Veröffentlichung papierbasierter Unterlagen wie namentliche Aushänge von Klausurergebnissen.

Wird durch einen Vorfall die Sicherheit einer Verarbeitung verletzt, so können datenschutzrechtliche Risiken für die betroffenen Personen entstehen. Für solche Verletzungen des Schutzes personenbezogener Daten (Datenschutzverletzungen) sieht die DSGVO Melde- und Benachrichtigungspflichten gegenüber der zuständigen Datenschutz-Aufsichtsbehörde sowie den betroffenen Personen vor:

  • Eine Meldung gemäß Artikel 33 DSGVO gegenüber der Datenschutz-Aufsichtsbehörde darf nur unterbleiben, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
  • Eine Benachrichtigung gemäß Artikel 34 DSGVO gegenüber den von der Datenschutzverletzung betroffenen Personen muss hingegen nur erfolgen, wenn die Datenschutzverletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Die Meldung an die zuständige Aufsichtsbehörde, die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, muss unverzüglich, innerhalb von 72 Stunden nach Bekanntwerden erfolgt sein, andernfalls ist die Verzögerung zu begründen. Zusätzlich sind geeignete Maßnahmen zu ergreifen, um die Auswirkungen der Datenschutzverletzung zu minimieren und/oder für die Zukunft zu verhindern.

Meldepflicht innerhalb der Universität

Damit die Universität als verantwortliche Stelle ihrer Meldepflicht fristgerecht nachkommen kann, ist sie darauf angewiesen, dass alle Beschäftigten erkannte Informationssicherheitsvorfälle unmittelbar nach Erkennen der Universität melden. In welchen Fällen und wie gemeldet werden muss, erläutert die Seite Meldung von Informationssicherheitsvorfällen.

Die Hochschulleitung hat die Mitarbeiter der Universität Paderborn darüber in einem Schreiben zur Umsetzung der Europäischen Datenschutz-Grundverordnung bzgl. der Meldung von Informationssicherheitsvorfällen informiert.