Verletzungen des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (Art. 4 Nr. 12 DS-GVO).

Verletzungen des Schutzes personenbezogener Daten können sich auf vielfältige Art und Weise stattfinden. Damit verbunden sind bspw. Angriffe auf die IT-Systeme oder der unerlaubte Umgang mit personenbezogenen bzw. sensiblen Daten. Hierunter fallen beispielsweise

Angriffe auf zentrale IT-Systeme (bspw. PAUL, PANDA, MACH) oder dezentrale IT-Systeme (Umfragesysteme oder Forschungsdatenbanken), bei denen Angreifer personenbezogene Daten zur Kenntnis gelangt sein können,

Systemveränderungen oder Ausspähen von Zugangskennungen (Passwörter) durch massenhafte Verbreitung von Viren, Malware und Spam-Mails,

• die unbeabsichtigte Fehlkonfiguration eines Systems, sodass personenbezogene Daten ungewollt veröffentlicht werden,
• der versehentliche Versand personenbezogener Daten an einen für diese Daten nicht zuständigen E-Mail-Verteiler,
• der Verlust eines mobilen Endgeräts (Notebook, Smartphone) oder Datenträgers (USB-Stick), auf dem sich personenbezogene Daten befinden,
• aber auch die unzulässige Veröffentlichung papierbasierter Unterlagen wie namentliche Aushänge von Klausurergebnissen.

Sämtliche Angriffe, unerlaubte Datennutzung oder diesbezügliche Verdachtsmomente müssen sorgfältig geprüft werden, um Verletzungen des Datenschutzes sowie zugleich der Informationssicherheit zu erkennen.

Wird durch einen Vorfall die Sicherheit einer Verarbeitung verletzt, so können datenschutzrechtliche Risiken für die betroffenen Personen entstehen. Für solche Verletzungen des Schutzes personenbezogener Daten (Datenschutzverletzungen) sieht die DS-GVO in ihren Art. 33 und 34 Melde- und Benachrichtigungspflichten gegenüber der zuständigen Datenschutz-Aufsichtsbehörde sowie (bei hohen Risiken) gegenüber den betroffenen Personen vor:

Die Meldung an die zuständige Aufsichtsbehörde, die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, muss unverzüglich, grundsätzlich innerhalb von 72 Stunden nach Bekanntwerden erfolgt sein. Zusätzlich sind geeignete Maßnahmen zu ergreifen, um die Verletzung des Schutzes personenbezogener Daten zu beseitigen und Auswirkungen der Datenschutzverletzung für die Betroffenen zu minimieren und/oder für die Zukunft zu verhindern

Meldepflicht innerhalb der Universität

Damit die Universität Paderborn als verantwortliche Stelle ihrer Meldepflicht fristgerecht nachkommen kann, ist sie darauf angewiesen, dass alle Beschäftigten erkannte Informationssicherheitsvorfälle/Datenschutzverletzungen oder belastbare Hinweise darauf unmittelbar nach Erkennen der Universität Paderborn melden. In welchen Fällen und wie gemeldet werden muss, erläutert die Seite Meldung von Informationssicherheitsvorfällen.

Die Hochschulleitung hat die Beschäftigten der Universität Paderborn darüber in einem Schreiben zur Umsetzung der Europäischen Datenschutz-Grundverordnung bzgl. der Meldung von Informationssicherheitsvorfällen informiert.