Sind Verstöße gegen den Datenschutz stets Datenschutzverletzungen?

Sie wollen eine Einladung für eine Veranstaltung an viele externe Empfänger*innen gleichzeitig verschicken und tragen die E-Mail-Adressen versehentlich ins CC statt ins BCC ein? Kaum ist die E-Mail verschickt, kommt die Erkenntnis, dass Sie gerade einen Datenschutzvorfall, genauer eine Datenschutzverletzung, ausgelöst haben. Dieser Fall ist relativ eindeutig als Datenschutzverletzung im Sinne des Art 4 Nr. 12 DSGVO einzuordnen, bei der im zweiten Schritt zu prüfen wäre, ob eine Meldepflicht gegenüber der zuständigen Datenschutzaufsichtsbehörde nach Art. 33 DSGVO vorliegt. Eine solche Einordnung kann im Einzelfall jedoch schwierig sein, denn nicht jeder Verstoß gegen die DSGVO stellt auch gleichzeitig eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DSGVO dar. Dieser Beitrag soll dabei unterstützen, die Unterscheidung zu erleichtern.

Was ist eine Datenschutzverletzung i.S.d. Art. 4 Nr. 12 DSGVO?

Schaut man zunächst in die Legaldefinition in Art. 4 Nr. 12 DSGVO lässt sich eine Verletzung des Schutzes personenbezogener Daten (also eine Datenschutzverletzung) wie folgt definieren:

„Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Bei einer Datenschutzverletzung muss es sich also um einen Bruch der Sicherheit bei der Verarbeitung personenbezogener Daten handeln, bei der diese unrechtmäßig Dritten offenbart, infolge des Vorfalls gelöscht oder zeitweise unzugänglich oder unbefugt (auch intern) zugänglich gemacht werden. Die Begriffsbestimmung des Sicherheitsbruchs nimmt Bezug auf Art. 32 DSGVO, der Organisationen, die personenbezogene Daten verarbeiten, dazu verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMs) zur Sicherheit der Daten zu ergreifen. Diese Maßnahmen sollen den unberechtigten Umgang mit personenbezogenen Daten verhindern, sowie die Integrität und Verfügbarkeit der Daten sicherstellen. Sie bilden daher den Grundbaustein für die Datensicherheit und umschreiben den Rahmen, in denen personenbezogene Daten verarbeitet werden dürfen (vgl. Taeger/Gabel/Arning/Rothkegel, 4. Aufl. 2022, DS-GVO Art. 4, Rn. 368).

Anhand dieser Begriffsbestimmung ist bei der Beurteilung, ob eine Verletzung des Schutzes personenbezogener Daten vorliegt, auf die von dem Verantwortlichen oder Auftragsverarbeiter eingesetzten technischen und organisatorischen Maßnahmen zur Datensicherheit abzustellen. Eine Verletzung liegt damit immer erst dann vor, wenn eine oder mehrere dieser Maßnahmen entweder aus technischen Gründen oder aufgrund von menschlichem Handeln versagt hat/haben (vgl. Taeger/Gabel/Arning/Rothkegel, 4. Aufl. 2022, DS-GVO Art. 4 Rn. 369).

Demgegenüber fällt eine bloße unrechtmäßige Datenverarbeitung (etwa, weil keine Rechtsgrundlage für die Datenverarbeitung einschlägig ist) für sich allein nicht unter die Definition des Art. 4 Nr. 12 DSGVO. Entsprechendes gilt auch für die Nichteinhaltung von datenschutzrechtlichen Vorgaben durch Beschäftigte, die gegen Anweisungen zum rechtmäßigen Umgang mit personenbezogenen Daten wie bspw. Regelungen zur Zweckbestimmung, zu Informationspflichten oder zur Speicherdauer verstoßen. Dies folgt allein schon daraus, dass es nach dem Wortlaut des Art 4 Nr. 12 DSGVO für eine Verletzung des Schutzes personenbezogener Daten unerheblich ist, ob die Datenverarbeitung unrechtmäßig erfolgt. Dennoch kann es in Einzelfällen sein, dass eine unrechtmäßige Datenverarbeitung mit einer Datenschutzverletzung im Sinne des Art 4 Nr. 12 DSGVO zusammenfallen kann (vgl. Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO Art. 4 Nr. 12 Rn. 3.)

Beispiele aus der Praxis

Um die oben dargelegten theoretischen Erwägungen greifbarer zu machen, folgen Praxisbeispiele, die den Unterschied zwischen einem Verstoß gegen die DSGVO und einer Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DSGVO verdeutlichen sollen.

Beispiel 1: Zu lange oder fehlende Löschfristen

Oftmals werden personenbezogene Daten von Unternehmen oder anderen datenschutzrechtlich Verantwortlichen zu lange aufbewahrt oder zum Teil sogar gar nicht gelöscht. Art. 5 Abs. 1 lit. e DSGVO macht deutlich, dass personenbezogene Daten nur solange in einer Form gespeichert werden dürfen, die die Identifizierung der betroffenen Person ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Entfällt der Zweck der Datenverarbeitung und bestehen darüber hinaus keine Gründe für eine Aufbewahrung der personenbezogenen Daten, so sind diese zu löschen. Tut man dies als Organisation nicht, verstößt man gegen den Grundsatz der Speicherbegrenzung. Obwohl Datenschutzgrundsätze bei einer ungerechtfertigt langen Speicherung von personenbezogenen Daten nicht eingehalten werden, stellt dies keine Datenschutzverletzung im Sinne des Art 4 Nr. 12 DSGVO dar. Es fehlt schon an dem Bruch der Sicherheit bzw. an einem Versagen der technischen und organisatorischen Maßnahmen des Unternehmens.

Beispiel 2: Keine oder falsche Rechtsgrundlage

Ein Unternehmen verwendet ein Kontaktformular auf der Webseite und fragt neben den essenziellen Daten wie Name, E-Mail-Adresse und Kontaktanfrage zusätzlich nach der Adresse und Telefonnummer. Die beiden Textfelder sind nicht als freiwillige Angabe gekennzeichnet und es besteht zudem kein Hinweis darauf, dass personenbezogene Daten, die nicht für die Nutzung des Kontaktformulars absolut notwendig sind, auf Basis der Einwilligung des Kontaktaufnehmenden verarbeitet werden. Vielmehr stützt man die gesamte Datenverarbeitung auf das berechtigte Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO. Diese Rechtsgrundlage ist jedoch für die Verarbeitung von Adresse und Telefonnummer des Kontaktaufnehmenden im Zusammenhang mit der Nutzung des Kontaktformulars nicht einschlägig. Das Unternehmen verarbeitet diese personenbezogenen Daten also auf Basis einer falschen Rechtsgrundlage. Vorliegend wäre dies eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a, 7 DSGVO. Eine solche wurde von dem Unternehmen jedoch nicht abgefragt. Auch hier wird zwar gegen einen Datenschutzgrundsatz aus Art. 5 DSGVO (Grundsatz der Rechtmäßigkeit der Datenverarbeitung) verstoßen, jedoch erfüllt das alleinige Fehlen einer Rechtsgrundlage bzw. das Nutzen einer falschen Rechtsgrundlage nicht die Voraussetzungen einer Datenschutzverletzung.

Beispiel 3: Unabgeschlossenes Personalbüro

Das unbesetzte Personalbüro eines Unternehmens ist für einen Zeitraum von vier Stunden für alle Beschäftigten frei zugänglich gewesen, da die Tür zum Büro nicht abgeschlossen gewesen ist. Ein Beschäftigter betritt das Büro, um ein Dokument abzugeben, und erhascht dabei einen Blick auf zwei aufgeschlagene Personalakten, die auf dem einem Schreibtisch liegen. Einsicht in die Personalakten dürfen regelmäßig nur die Beschäftigten der Personalabteilung erhalten. Da Personalakten zum Teil sehr empfindliche Daten von Beschäftigten enthalten, sind diese besonders zu schützen. Daher handelt es sich bei diesem Beispiel eindeutig um eine Datenschutzverletzung im Sinne des Art. 4 Nr. 12 DSGVO. Durch das Nichtabschließen der Personalbürotür gab es einen Bruch der organisatorischen Maßnahmen (offenes Personalbüro trotz Nichtbesetzung), die zu einer unbefugten Offenlegung von personenbezogenen Daten geführt hat (Einsicht eines nicht befugten Beschäftigten in zwei Personalakten). Es müsste daher im zweiten Schritt geprüft werden, ob eine Meldung an die Datenschutzaufsichtsbehörde innerhalb von 72 Stunden gemäß Art. 33 DSGVO erfolgen muss.

Fazit

Nicht alles, was einen Verstoß gegen den Datenschutz darstellt, ist auch tatsächlich eine Datenschutzverletzung, die gegebenenfalls gegenüber der Datenschutzaufsichtsbehörde meldepflichtig ist. Es ist empfehlenswert stets eine Einzelfallprüfung vorzunehmen, ob ein Verstoß gegen die DSGVO auch tatsächlich eine Datenschutzverletzung darstellt. Denn nur dann ist auch eine Prüfung in Bezug auf die Risiken für die Rechte und Freiheiten erforderlich. Diese Risikoabwägung entscheidet erst, ob eine Datenschutzverletzung auch tatsächlich meldepflichtig im Sinne des Art. 33 DSGVO ist. Aufgrund der kurzen Frist des Art. 33 DSGVO (72 Stunden!) sollten daher die Prozesse zum Umgang mit Datenschutzverstößen und -verletzungen in Ihrem Unternehmen ordnungsgemäß umgesetzt und von allen Beschäftigten eingehalten werden, um etwaige verspätete Meldungen sowie Sanktionen durch die Datenschutzaufsichtsbehörde zu vermeiden.