Datenschutzverletzung versus unrechtmäßige Datenverarbeitung
Datenschutzverletzungen gem. Art. 33 DSGVO, die zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führen, müssen innerhalb von 72 Stunden bei den zuständigen Datenschutzaufsichtsbehörden gemeldet werden.
Jedoch ist nicht immer eindeutig, ob eine tatsächliche meldepflichtige Datenschutzverletzung vorliegt. In einigen Fällen, insbesondere bei unrechtmäßigen Datenverarbeitungen, ist es schwierig zu erkennen, ob definitiv auch eine Datenschutzverletzung vorliegt, die meldepflichtig ist.
Verletzung des Schutzes personenbezogener Daten
Der Begriff „Verletzung des Schutzes personenbezogener Daten“ ist entscheidend für die gesetzlichen Verpflichtungen gemäß Art. 33 und 34 DSGVO.
Verantwortliche müssen solche Verletzungen unverzüglich und binnen 72 Stunden melden, es sei denn, es besteht kein Risiko für die Rechte und Freiheiten der betroffenen Personen.
Die Zielsetzung von Art. 33 und Art. 34 DSGVO besteht darin, Folgeschäden für Betroffene zu vermeiden oder zu reduzieren.
Die Herausforderung in der Praxis besteht oft darin, zu bestimmen, ob ein Vorfall melde- und benachrichtigungspflichtig ist.
Was ist eine Datenschutzverletzung?
Der Begriff der Datenschutzverletzung ist in Art. 4 Nr. 12 DSGVO definiert. Demnach ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder gezielt unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Somit setzt eine Datenschutzverletzung in erster Linie eine Sicherheitsverletzung voraus.
Und was bedeutet unrechtmäßige Datenverarbeitung?
Im Gegensatz zur Datenschutzverletzung wird in der DSGVO die unrechtmäßige Datenverarbeitung nicht explizit definiert.
Dennoch bezieht sich die DSGVO an verschiedenen Stellen auf die Rechtmäßigkeit oder Unrechtmäßigkeit von Datenverarbeitungen.
Gemäß Art. 5 Abs. 1 lit a DSGVO müssen personenbezogene Daten „auf rechtmäßige Weise“ verarbeitet werden, während Art. 6 DSGVO die Grundsatzvoraussetzungen für rechtmäßige Verarbeitungen und Art. 17 Abs. 1 lit d sowie Art. 18 Abs. 1 lit b DSGVO eine Löschpflicht bzw. Verarbeitungseinschränkung für unrechtmäßig verarbeitete personenbezogene Daten vorgeben.
Die genaue Bedeutung von „auf rechtmäßige Weise“ wird unterschiedlich interpretiert und ist seit längerem ein Streitthema in der rechtswissenschaftlichen Diskussion.
Auswirkungen auf den Schutz betroffener Personen
Die Frage bleibt, ob es einen Unterschied für den Schutz der Rechte und Freiheiten von Personen macht, ob sie von einer Datenschutzverletzung oder ausschließlich von einer unrechtmäßigen Datenverarbeitung betroffen sind.
Melde- und Benachrichtigungspflichten gelten nur für Datenschutzverletzungen, während unrechtmäßige Datenverarbeitungen schwieriger zu erkennen sind und weniger klare Verpflichtungen für Aufsichtsbehörden und Betroffene nach sich ziehen.
Unrechtmäßige Datenverarbeitungen können dennoch mit (hohen) Risiken für die Betroffenen einhergehen, insbesondere bei der Übermittlung sensibler personenbezogener Daten an Dritte. Im Gegensatz dazu ermöglicht die Meldepflicht nach Art. 33 DSGVO Aufsichtsbehörden, Risiken für die Betroffenen zu minimieren, während die Benachrichtigungspflicht nach Art. 34 den betroffenen Personen erlaubt, eigene Schutzmaßnahmen zu ergreifen und ihre Rechte wahrzunehmen.
Fazit
Die Unterscheidung zwischen Datenschutzverletzungen und unrechtmäßiger Datenverarbeitung hat Konsequenzen für die Melde- und Benachrichtigungspflichten gemäß der DSGVO.
Nicht jede unrechtmäßige Datenverarbeitung stellt eine Datenschutzverletzung dar, dennoch können Risiken für die Betroffenen entstehen.
Eine Anpassung der Melde- und Benachrichtigungsobliegenheiten könnte daher dazu beitragen, die Rechte und Freiheiten der Betroffenen besser zu schützen.
Links/Verweise:
procado
procado