364
Im Übrigen kann der Einwilligende seine Einwilligung gem. Art. 7 Abs. 3 DSGVO jederzeit selbst mit Wirkung für die Zukunft widerrufen (siehe hierzu ausführlich Art. 7 Rn. 76ff.).
XIII. Verletzung des Schutzes personenbezogener Daten (Nr. 12)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang
365
Die Begriffsbestimmung von Art. 4 Nr. 12 DSGVO ist von maßgeblicher Bedeutung für die Meldepflichten nach Art. 33, 34 DSGVO. Insofern kann einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 DSGVO eine Meldepflicht des Verantwortlichen gegenüber der zuständigen Aufsichtsbehörde sowie nach Art. 34 DSGVO gegenüber den von der Verletzung betroffenen Personen auslösen.
2. Merkmale einer Verletzung des Schutzes personenbezogener Daten
366
Art. 4 Nr. 12 DSGVO definiert eine Verletzung des Schutzes personenbezogener Daten als „[...] eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.
367
Nach Art. 70 Abs. 1 lit. g DSGVO kann der Europäische Datenschutzausschuss705 Leitlinien, Empfehlungen und bewährte Verfahren für die Feststellung von Verletzungen des Schutzes personenbezogener Daten bereitstellen.706
a) Verletzung der Sicherheit
368
Ausgangspunkt der Definition ist eine Verletzung der Sicherheit. Die Begriffsbestimmung nimmt insoweit Bezug auf Art. 32 DSGVO, welcher datenverarbeitende Stellen dazu verpflichtet, geeignete technische und organisatorische Datensicherheitsmaßnahmen zu ergreifen. Art. 32 Abs. 2 DSGVO greift insoweit den Wortlaut von Art. 4 Nr. 12 DSGVO auf und statuiert, dass hierbei insbesondere solche Risiken zu berücksichtigen sind, die infolge von „[...] Vernichtung, Verlust, Veränderung oder unbefugte[r] Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten [...]“ entstehen können.
369
Die Datensicherheit umfasst daher die technischen und organisatorischen Maßnahmen, die einen unberechtigten (nicht unrechtmäßigen)707 Umgang mit personenbezogenen Daten verhindern und zugleich die Integrität und Verfügbarkeit der Daten und die zu deren Verarbeitung eingesetzten technischen Einrichtungen erhalten sollen.708 Die Anforderungen an die Datensicherheit umschreiben dabei den technischen und organisatorischen Rahmen, in dem die Verarbeitung erfolgen darf.709 Aus diesem Grund ist bei der Bestimmung, ob eine Verletzung der Sicherheit und damit des Schutzes personenbezogener Daten vorliegt, auf die von dem Verantwortlichen oder Auftragsverarbeiter eingesetzten technischen und organisatorischen IT-Sicherheits- bzw. Datensicherheits-Maßnahmen nach Art. 32 DSGVO abzustellen.710 Eine Verletzung nach Art. 4 Nr. 12 DSGVO liegt demgemäß immer erst dann vor, wenn eine dieser Maßnahmen versagt hat, sei es technisch bedingt (z.B. beim Versagen der Firewall oder einem Fehler im Berechtigungskonzept) oder durch einen Verstoß der Mitarbeiter gegen IT-Sicherheitsbestimmungen oder Vorgaben des Verantwortlichen, die die Datensicherheit betreffen.711 Entsprechendes gilt, wenn die von der datenverarbeitenden Stelle ergriffenen Maßnahmen in Anbetracht der mit den Verarbeitungstätigkeiten verbundenen Risiken kein hinreichendes Schutzniveau etablieren und infolgedessen ein in Art. 4 Nr. 12 DSGVO vorgesehener Vorfall eintritt.
370
Demgegenüber erfüllt eine bloß unrechtmäßige Verarbeitung von personenbezogenen Daten (mithin in erster Linie, wenn für die jeweilige Datenverarbeitung kein entsprechender Erlaubnistatbestand i.S.v. Art. 6 bzw. 9 DSGVO vorliegt) für sich allein genommen nicht den Verletzungstatbestand des Art. 4 Nr. 12 DSGVO.712 Entsprechendes gilt für Verstöße durch Mitarbeiter gegen Anweisungen zum rechtmäßigen Umgang mit personenbezogenen Daten, etwa gegen Regelungen zur Zweckbestimmung, Speicherdauer, Transparenzanforderungen.713 Dies wird durch den Umstand unterstrichen, dass es ausweislich der Begriffsbestimmung des Art. 4 Nr. 12 DSGVO unerheblich ist, ob eine Verletzung im Sinne der Norm unrechtmäßig eintritt. Zu beachten ist, dass ein solcher Vorfall jedoch mit einer Verletzung i.S.v. Art. 4 Nr. 12 DSGVO zusammenfallen kann.
371
Nach dem Wortlaut der Definition kann sowohl unbeabsichtigtes (z.B. fahrlässiges Liegenlassen eines Datenträgers durch eigenen Mitarbeiter oder das nicht ordnungsgemäße Entsorgen von Unterlagen) als auch gezieltes Handeln (z.B. vorsätzliche Weitergaben an Dritte oder Hackerangriffe) eine Verletzung der Datensicherheit begründen.714 Ziel der Datensicherheit ist ein umfassender Schutz der personenbezogenen Daten, weshalb allein objektive Kriterien maßgeblich sind; ob jemand vorsätzlich oder schuldhaft handelt, ist dabei irrelevant.715
372
Von der Verletzung müssen personenbezogene Daten betroffen sein, „[...] die übermittelt, gespeichert oder auf sonstige Weise [i.S.v. Art. 4 Nr. 2 DSGVO] verarbeitet wurden“. Mit Blick auf sich möglicherweise anschließende Meldepflichten gemäß Art. 33, 34 DSGVO, muss es sich dabei um personenbezogene Daten handeln, für welche die datenverarbeitende Stelle als (gemeinsam) Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO (vgl. Art. 33 Abs. 1, Art. 34 Abs. 1 DSGVO) oder Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO (vgl. Art. 33 Abs. 2 DSGVO) agiert.716
b) Mögliche Verletzungserfolge
373
Art. 4 Nr. 12 DSGVO zählt abschließend die möglichen Verletzungserfolge auf, die sich grundlegend in zwei Kategorien unterteilen lassen: den Integritätsschutz und die unberechtigte Kenntnisnahme.717 Als mögliche Folgen einer solchen Verletzung kommen gemäß ErwG 85 DSGVO sowohl physische, materielle oder immaterielle Schäden der betroffenen Personen in Betracht.
aa) Integritätsschutz (Vernichtung, Verlust, Veränderung)
374
Unter den Integritätsschutz fallen die Vernichtung, der Verlust und die Veränderung von Daten. Bei der Vernichtung von Daten ist entscheidend, dass die Daten nicht mehr oder nur noch in einer Form vorhanden sind, die dem Verantwortlichen nicht von Nutzen ist.718 Die Vernichtung geht dabei regelmäßig mit der Zerstörung des Datenträgers einher, wobei die Beschaffenheit des Datenträgers (analog oder digital) keine Bedeutung hat.719
375
Ein Verlust hingegen liegt in Abgrenzung zur unwiderruflichen Vernichtung vor, sofern die Daten zwar noch existieren, der Verantwortliche aber jegliche Kontrolle oder Zugriff auf die Daten verloren hat.720 Beispielsweise handelt es sich um einen Verlust, wenn ein Gerät, welches eine Kopie der Kundendaten des Verantwortlichen enthält, verloren gegangen ist oder gestohlen wurde.721
376
Unter einer Veränderung von Daten ist jede inhaltliche Umgestaltung von gespeicherten Daten zu verstehen, wodurch sich der Informationsgehalt ändert.722
bb) Unbefugte Kenntnisnahme (Offenlegung,