Verletzungen des Schutzes personenbezogener Daten
Verletzungen des Schutzes personenbezogener Daten sind Verletzungen der Datensicherheit, die zur Vernichtung, zum Verlust oder zur Ver?nderung personenbezogener Daten führen bzw. diese gegenüber Unbefugten offenlegen oder einen unbefugten Zugang zu personenbezogenen Daten erm?glichen (Artikel 4 Nr. 12 DSGVO).
Damit verbunden sind in den meisten F?llen Angriffe auf die IT-Systeme oder der unerlaubte Umgang mit personenbezogenen bzw. sensiblen Daten (Informationssicherheitsvorf?lle). S?mtliche Angriffe, unerlaubte Datennutzung oder diesbezügliche Verdachtsmomente müssen sorgf?ltig geprüft werden, um Datenschutzverletzungen zu erkennen. Hierunter fallen beispielsweise
- Angriffe auf zentrale IT-Systeme (PAUL, PANDA, MACH) oder dezentrale IT-Systeme (Umfragesysteme oder Forschungsdatenbanken), bei denen Angreifer personenbezogene Daten zur Kenntnis gelangt sein k?nnen,
- Systemver?nderungen oder Aussp?hen von Zugangskennungen (Passw?rter) durch massenhafte Verbreitung von Viren, Malware und Spam-Mails,
- die unbeabsichtigte Fehlkonfiguration eines Systems, sodass personenbezogene Daten ungewollt ver?ffentlicht werden,
- der versehentliche Versand personenbezogener Daten an einen für diese Daten nicht zust?ndigen E-Mail-Verteiler,
- der Verlust eines mobilen Endger?ts (Notebook, Smartphone) oder Datentr?gers (USB-Stick), auf dem sich personenbezogene Daten befinden,
- aber auch die unzul?ssige Ver?ffentlichung papierbasierter Unterlagen wie namentliche Aush?nge von Klausurergebnissen.
Wird durch einen Vorfall die Sicherheit einer Verarbeitung verletzt, so k?nnen datenschutzrechtliche Risiken für die betroffenen Personen entstehen. Für solche Verletzungen des Schutzes personenbezogener Daten (Datenschutzverletzungen) sieht die DSGVO Melde- und Benachrichtigungspflichten gegenüber der zust?ndigen Datenschutz-Aufsichtsbeh?rde sowie den betroffenen Personen vor:
- Eine Meldung gem?? Artikel 33 DSGVO gegenüber der Datenschutz-Aufsichtsbeh?rde darf nur unterbleiben, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
- Eine Benachrichtigung gem?? Artikel 34 DSGVO gegenüber den von der Datenschutzverletzung betroffenen Personen muss hingegen nur erfolgen, wenn die Datenschutzverletzung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Die Meldung an die zust?ndige Aufsichtsbeh?rde, die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, muss unverzüglich, innerhalb von 72 Stunden nach Bekanntwerden erfolgt sein, andernfalls ist die Verz?gerung zu begründen. Zus?tzlich sind geeignete Ma?nahmen zu ergreifen, um die Auswirkungen der Datenschutzverletzung zu minimieren und/oder für die Zukunft zu verhindern.
Meldepflicht innerhalb der Universit?t
Damit die Universit?t als verantwortliche Stelle ihrer Meldepflicht fristgerecht nachkommen kann, ist sie darauf angewiesen, dass alle Besch?ftigten erkannte Informationssicherheitsvorf?lle unmittelbar nach Erkennen der Universit?t melden. In welchen F?llen und wie gemeldet werden muss, erl?utert die Seite Meldung von Informationssicherheitsvorf?llen.
Die Hochschulleitung hat die Mitarbeiter der Universit?t Paderborn darüber in einem Schreiben zur Umsetzung der Europ?ischen Datenschutz-Grundverordnung bzgl. der Meldung von Informationssicherheitsvorf?llen informiert.