Direkt zum Inhalt springen Direkt zur Hauptnavigation springen

Datenschutzverletzungen

Die Datenschutzgrundverordnung sieht die Pflicht vor, dass Datenschutzverletzungen (z.B. Verlust, unbefugte Offenlegung/ Weitergabe von Daten) möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde zu melden.

Die Aufsichtsbehörde ist der Landesbeauftragte für den Datenschutz Hannover.

Die Datenschutzgrundverordnung fasst alle Fälle von Datenschutzverstößen unter dem Begriff der „Verletzung des Schutzes personenbezogener Daten“ zusammen.

Es handelt sich um eine Verletzung der Sicherheit,

  • die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung,
  • oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten

führt (vgl. Art. 4 Nr.12 DSGVO).

Beispiele:
  • Gerät/mobiler Datenträger verloren oder gestohlen
  • Dokumente (Papier) verloren oder gestohlen oder unrichtige Entsorgung
  • Hacking, Malware (z.B. Ransomware) und/oder Phishing
  • Unbeabsichtigte Veröffentlichung (z.B. auch bei Löschung durch eine nicht autorisierte Person)

Eine Meldung muss erfolgen, sofern eine Datenschutzverletzung festgestellt worden ist und diese voraussichtlich zu einem Risiko für die Rechte und Freiheiten eines Betroffenen führen kann. Da man nicht ausschließen kann, dass ein solches Risiko besteht und andernfalls begründet werden müsste, warum dieses Risiko nicht besteht, ist grds. von einer Meldepflicht auszugehen.

Dies ist z.B. bei besonderen Kategorien von personenbezogenen Daten (Art. 9 DSGVO) z.B. personenbezogenen Daten mit Bezug zu einem sonderpädagogischen Förderbedarf (Fördergutachten) oder bei Daten über schulische Leistungen wie z.B. Noten, Kompetenzen, Beurteilungen usw. der Fall.

Eine Ausnahme besteht nur dann, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Hier ist eine Risikoabwägung erforderlich.

Beispiele für ein geringes Risiko:
  • Verlust eines verschlüsselten USB-Sticks oder Smartphones
  • Fehlversandter Brief kam ungeöffnet zurück
  • Unbefugter Zugriff Dritter auf Daten, die aber verschlüsselt sind
  • Festplatte verbrennt bis zur Unkenntlichkeit, Backups sind vorhanden

Für die Meldung von Datenschutzverstößen hat der Landesbeauftragte für den Datenschutz Niedersachsen ein Online-Formular entwickelt. Dieses können Sie unter folgendem Link abrufen: ► https://www.navo.niedersachsen.de/navo2/portal/csend/8916/fileget/artikel_33.html

Im Fall einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche diese unverzüglich und möglichst binnen 72 Stunden nach Kenntnisnahme der Aufsichtsbehörde (LfD). Falls eine Meldung erst nach Ablauf dieser Frist erfolgt, muss die zeitliche Verzögerung besonders begründet werden.

Nicht jede Verletzung des Schutzes personenbezogener Daten führt dazu, dass die betroffenen Personen auch informiert werden müssen. Die DSGVO schreibt eine solche Information nur dann vor, wenn die Verletzung „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten“ dieser Personen zur Folge hat.
Dies ist u. a. dann der Fall, wenn sog. besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten, Daten über die rassische oder ethnische Herkunft) oder Daten über schulische Leistungen (Noten, Kompetenzen, Beurteilungen) einer Schülerin oder eines Schülers betroffen sind.

Folgende Schritte sollten berücksichtigt werden:

1.    Umgehende Kenntniserlangung von Datenpannen

Es sollte unter den Mitarbeitern in Schule (die Schulleitung, die Lehrkräfte und das Sekretariat) kommuniziert werden, dass die zügige Weiterleitung des Vorfalls an den Datenschutzbeauftragten besonders wichtig ist. Es sollte hervorgehoben werden, dass durch zügiges Handeln (weitere) Schäden abgewendet und Prozesse optimiert werden können. Es sollte die Angst genommen werden, dass das eigene Handeln (Verschulden) zu schlimmen Konsequenzen führt.

2.    Bewertung des Vorfalls

Diese sollte durch die/den Datenschutzbeauftragten erfolgen. Mögliche Kriterien zur Ermittlung des Risikos einer Datenschutzpanne sind u.a. die Kategorien der betroffenen Daten oder die Art der Verletzung.

3.    Maßnahmen zur Abwendung/Eindämmung

Prüfung - mit welchen Maßnahmen lassen sich Auswirkungen der Datenpanne minimieren?

4.    Entscheidung, ob eine Meldung erfolgen soll

An die Bewertung der Datenpanne schließt sich die Entscheidung an, ob eine Meldung an die Aufsichtsbehörde und/oder an den Betroffenen erfolgen soll.