Verletzung des Schutzes personenbezogener Daten

Was ist eine Verletzung des Schutzes personenbezogener Daten?

Eine Verletzung des Schutzes personenbezogener Daten wird gelegentlich auch Datenschutzverletzung, Datenschutzvorfall, oder Datenpanne genannt. Nehmen Sie bitte in immer dann eine Verletzung des Schutzes personenbezogener Daten an, wenn zumindest eine der folgenden Bedingungen erfüllt ist:

  • die Daten wurden von Unbefugten eingesehen (Verletzung der Vertraulichkeit);
  • die Daten wurden ungefugt oder fälschlicherweise geändert (Verletzung der Integrität);
  • Daten, die noch zugänglich sein sollten, sind es nicht mehr – Verlust, Vernichtung etc. (Verletzung der Verfügbarkeit).

Wie sensibel die jeweiligen personenbezogenen Daten sind, ist für die Entscheidung über das Vorliegen einer Verletzung des Schutzes personenbezogener Daten irrelevant.

Wir verdeutlichen uns die Situation nun anhand einiger Beispiele.

Sie sind Abteiliungsleiter und tauschen sich mit Ihrer Chefin per E-Mail über eine Personalangelegenheit in Ihrer Abteilung aus. Aus Versehen schicken Sie die jüngste Mail nicht an Ihre Chefin, sondern an eine andere Person in der Bergischen Universität Wuppertal. Dadurch dass vergangene Mails stets mitgeschickt wurden, hat diese andere Person nun Kenntnis der Sache.

Es handelt sich um eine Verletzung der Vertraulichkeit.

In einem Soziologie-Seminar machen Sie, Dozent, eine Online-Umfrage unter den Seminarteilnehmern. Sie erläutern, dass die Antworten nicht personenbezogen einsehbar sein werden. Durch ein fehlerhafte Konfiguation der Online-Umfrage sind die Antworten, die sich einzelnen Seminarteinehmern zuordnen lassen, für alle Seminarteilnehmer einsehbar.

Es handelt sich um eine Verletzung der Vertraulichkeit.

Auf Ihrem Laptop haben Sie auf dem Desktop eine Word-Datei mit Notizen zur Arbeit der Personen in Ihrer Abteilung liegen. Diese Notizen möchten Sie für Personalgespräche nutzen. Der Laptop ist passwortgeschützt und die Festplatte ist mit BitLocker verschlüsselt. Sie vergessen den Laptop im Zug und im Fundbüro taucht er nicht auf.

Es handelt sich um eine Verletzung der Verfügbarkeit.

Es handelt sich strenggenommen auch um eine Verletzung der Vertraulichkeit. Aufgrund der Verschlüsselung hat diese in der Praxis allerdings keine Folgen.

Hinweis zur Datensicherheit: Die Notizen hätten auf dem ZIM-Fileserver gespeichert sein sollen. Dann wären sie nicht lokal gepeichert gewesen und es wäre nicht zu einer Verletzung der Verfügbarkeit gekommen. Immerhin wurde die Festplatte verschlüsselt.

Sie haben eine Notenliste in einem Ordner auf sciebo liegen. Diesen Ordner geben Sie an einige Personen am Lehrstuhl frei. Eine dieser Personen ändert die Note eines Studenten in eine bessere Note, weil sie mit ihm befreundet ist.

Es handelt sich um eine Verletzung der Integrität.

Möglicherweise handelt es sich bei der Freigabe auch um eine Verletzung der Vertraulichkeit. Personenbezogene Daten dürfen nur eingesehen werden, wenn es für die Erfüllung der Dienstgeschäfte notwendig ist.

Die Bergische Universität Wuppertal nutzt einen Dienstleister zum Versenden von Studierendenausweisen. Durch einen Fehler beim Dienstleister erreicht der Studierendenausweis für Person A nicht Person A, sondern Person B. Da sich die Panne beim Dienstleister (Auftragsverarbeiter) auf Daten der Bergischen Universität Wuppertal bezieht, muss der Vorfall als unsere Panne behandelt werden.

Es handelt sich um eine Verletzung der Vertraulichkeit.

Was ist zu tun?

Jede Verletzung des Schutzes personenbezogener Daten muss unverzüglich BUW-intern gemeldet werden. Auch ein Verdacht darauf ist zu melden.

Die Meldung erfolgt bitte grundsätzlich an den Referenten für Datenschutz unter datenschutz[at]uni-wuppertal.de. Bereichspezifsiche Ansprechpersonen sind in der Maske an dieser Stelle hinterlegt. Wählen Sie dort bitte Ihren Bereich und das Thema Verletzung des Schutzes personenbezogener Daten aus.

Sofern eine Schadensbegrenzung möglich und offenkundig sinnvoll ist, sollte diese schnellstmöglich, auch auf eigene Faust, durchgeführt werden. In Bezug auf Beispiel 2 wäre das die sofortige Änderung der Konfiguration. Weitere Maßnahmen werden in Abstimmung mit Fachansprechpersonen durchgeführt (Datenschutz, Informationssicherheit, IT-Sicherheit etc.).

Inhalt der Meldung

Gehen Sie in Ihrer Nachricht bitte nach Möglichkeit auf folgende Aspekte ein:

  • Zeitpunkt Bekanntwerden des Vorfalls
  • Beginn / Ende des Vorfalls, Zeitpunkt des Vorfalls
  • Was ist passiert und wie kam es dazu?
  • betroffene Personen(gruppen)
  • Anzahl der betroffenen Personen
  • betroffene Daten(arten)
  • Maßnahmen, die schon ergriffen wurden

Details

Personenbezogene Daten sind alle Informationen, die einer Person zugeordnet sind oder sich einer Person zuordnen lassen. Demnach kommt es auf die Umstände an, ob eine Information einen Personenbezug aufweist oder nicht. Es gibt somit keine personenbezogenen Daten per se und für das Verständnis des Konzeptes ist es nicht hilfreich diese über einen (vermeintlichen) Katalog von Arten personenbezogener Daten zu identifizieren – im Sinne von Name, Vorname, E-Mail-Adresse, Anschrift etc. sind personenbezogene Daten.

Ein Personenbezug muss angenommen werden, wenn zumindest eine Stelle an der Bergischen Universität Wuppertal ihn herstellen kann. Es zählt also nicht, ob Sie den Personenbezug herstellen können oder jemand in Ihrer Abteilung es kann. Die ganze Bergische Universität Wuppertal, der sogenannte Verantwortliche, muss berücksichtigt werden. Außerdem muss ein Personenbezug angenommen werden, wenn die Bergische Universität Wuppertal pseudonymisierte Daten von einer anderen Stelle – einem anderen Verantwortlichen – erhält.

In der Datenschutz-Grundverordnung wird das Konzept personenbezogene Daten definiert. Der Definition nach sind personenbezogene Daten "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann."

Ob ein Personenbezug vorliegt oder nicht und daran anknüpfend die Frage der Anwendbarkeit des Datenschutzrechts, ist kompliziert. Daher ist es auch nicht vorgesehen, dass Sie diese Analyse durchführen, sondern es ist schon beim Verdacht zu melden. Diese Informationen sollen Ihnen lediglich verdeutlichen, dass das Konzept personenbezogene Daten sehr umfassend ist und etliche Informationen aus fachlicher Sicht unter personenbezogene Daten fallen, die es im Verständnis der Allgemeineheit nicht tun.

Das Konzept Verletzung des Schutzes personenbezogener Daten ist in der Datenschutz-Grundverordnung definiert. Demnach handelt es sich um "eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden."