Die Datenschutz-Grundverordnung (DSGVO) schützt nicht nur die Vertraulichkeit personenbezogener Daten, sondern ebenso deren Integrität und Verfügbarkeit. Gerade die Verfügbarkeit wird in der Praxis häufig unterschätzt – dabei können Ausfälle erhebliche Risiken für betroffene Personen und Unternehmen schaffen. Warum also gilt schon eine bloße Nicht‑Verfügbarkeit personenbezogener Daten als „Datenpanne“ im Sinne von Art. 33 DSGVO?
Eine Datenpanne ist es doch nur, wenn etwas geklaut oder „gehackt“ wird, oder?
Nun, so richtig ist das nicht. Art. 4 Nr. 12 DSGVO definiert eine „Verletzung des Schutzes personenbezogener Daten“ als:
„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt […]“
Bereits der Wortlaut zeigt: Nicht nur das „Abfließen“ von Daten (Vertraulichkeitsverlust) ist relevant, sondern auch:
- Vernichtung (definitive Nichtverfügbarkeit)
- Verlust (zumindest vorübergehende Nichtverfügbarkeit)
- Veränderung (Integritätsverletzung)
Damit umfasst der Begriff ausdrücklich Verfügbarkeitsverletzungen. Dies wird auch durch Art. 32 Abs. 1 lit. b DSGVO bestätigt: Verantwortliche müssen geeignete technische und organisatorische Maßnahmen treffen, um insbesondere „die Verfügbarkeit“ von Daten sicherzustellen. Die Verfügbarkeit dient dazu, sicherzustellen, dass personenbezogene Daten abrufbar und nutzbar sind, wenn dies erforderlich ist.
Eine fehlende Verfügbarkeit kann für Betroffene gravierende Folgen haben, z. B.:
- Patientenakten stehen im Notfall nicht zur Verfügung
- Banktransaktionen können nicht ausgeführt werden
- Arbeitszeitdaten gehen verloren, wodurch Gehaltsabrechnungen womöglich fehlerhaft werden
- Bewerbungsunterlagen sind nicht abrufbar
Buchungsseite bei der Deutschen Bahn lahmgelegt
Bei dem aktuellen Angriff auf Systeme der Deutschen Bahn (DB) handelte es sich um einen sog. Distributed Denial-of-Service(DDoS)-Angriff. Dabei werden gezielt innerhalb sehr kurzer Zeit tausendfach Anfragen an eine Website ausgesandt bis diese schlicht „überfordert“ ist und die eingehenden Verbindungen nicht mehr weiterverarbeiten kann. Aus Sicht der regulären Besucher der Website wirkt es dann im Ergebnis so, dass die jeweilige Seite nicht erreichbar ist. Betroffen waren laut Info der DB das Portal bahn.de sowie die App DB Navigator. Darüber können Kunden üblicherweise Fahrplanauskünfte einholen und Tickets buchen.
Weitere Beispiele für meldepflichtige Verfügbarkeitsverletzungen
Aufsichtsbehörden wie der EDPB (ehem. Artikel-29-Datenschutzgruppe) und deutsche Landesdatenschutzbehörden betonen daher regelmäßig, dass jede Verfügbarkeitsverletzung eine Meldungspflicht auslösen kann, sofern ein Risiko für Betroffene besteht. Typische Konstellationen, in denen eine Datenpanne vorliegen kann, sind etwa:
a) Ransomware-Angriffe
Selbst wenn keine Daten „abfließen“, besteht eine Datenpanne, sobald Daten nicht mehr zugreifbar sind. Die Aufsichtsbehörden vertreten dazu überwiegend: Ransomware = in aller Regel meldepflichtig (Risiko meist hoch).
b) Server- oder Systemausfall
Wenn z. B. ein ERP‑System 48 Stunden nicht erreichbar ist, können Lohnabrechnung, Bestellungen oder Vertragsverwaltungsdaten nicht verarbeitet werden.
c) Verlust eines Laptops oder Datenträgers
Auch ohne Datenabfluss gilt der Grundsatz: Wenn keine Sicherung besteht, handelt es sich um einen Verfügbarkeitsverlust – Daneben kann dieser Fall auch vor anderem Hintergrund bereits als eine „Datenpanne“ einzustufen sein.
d) Fehlerhafte Software‑Updates
Wenn ein Update Daten „verschluckt“ oder vorübergehend unzugänglich macht, kann auch das eine Datenpanne darstellen.
Fazit
Eine Verletzung der Verfügbarkeit ist nicht nur ein technisches Problem, sondern eine rechtlich relevante Datenpanne, sobald ein Risiko für Betroffene besteht. Das bedeutet, ein solcher Vorfall ist dann auch nach Art. 33 DSGVO meldepflichtig.
Unternehmen sollten daher Verfügbarkeitsverletzungen genauso ernst nehmen wie Datenverluste oder Datenabflüsse und entsprechende Prozesse und Sicherheitsmaßnahmen implementieren.