Verletzung des Schutzes personenbezogener Daten
Verletzungen des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Ver?nderung, ob unbeabsichtigt oder unrechtm??ig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden (Art. 4 Nr. 12 DS-GVO).
Verletzungen des Schutzes personenbezogener Daten k?nnen sich auf vielf?ltige Art und Weise stattfinden. Damit verbunden sind bspw. Angriffe auf die IT-Systeme oder der unerlaubte Umgang mit personenbezogenen bzw. sensiblen Daten. Hierunter fallen beispielsweise
Angriffe auf zentrale IT-Systeme (bspw. PAUL, PANDA, MACH) oder dezentrale IT-Systeme (Umfragesysteme oder Forschungsdatenbanken), bei denen Angreifer personenbezogene Daten zur Kenntnis gelangt sein k?nnen,
Systemver?nderungen oder Aussp?hen von Zugangskennungen (Passw?rter) durch massenhafte Verbreitung von Viren, Malware und Spam-Mails,
- die unbeabsichtigte Fehlkonfiguration eines Systems, sodass personenbezogene Daten ungewollt ver?ffentlicht werden,
- der versehentliche Versand personenbezogener Daten an einen für diese Daten nicht zust?ndigen E-Mail-Verteiler,
- der Verlust eines mobilen Endger?ts (Notebook, Smartphone) oder Datentr?gers (USB-Stick), auf dem sich personenbezogene Daten befinden,
- aber auch die unzul?ssige Ver?ffentlichung papierbasierter Unterlagen wie namentliche Aush?nge von Klausurergebnissen.
S?mtliche Angriffe, unerlaubte Datennutzung oder diesbezügliche Verdachtsmomente müssen sorgf?ltig geprüft werden, um Verletzungen des Datenschutzes sowie zugleich der Informationssicherheit zu erkennen.
Wird durch einen Vorfall die Sicherheit einer Verarbeitung verletzt, so k?nnen datenschutzrechtliche Risiken für die betroffenen Personen entstehen. Für solche Verletzungen des Schutzes personenbezogener Daten (Datenschutzverletzungen) sieht die DS-GVO in ihren Art. 33 und 34 Melde- und Benachrichtigungspflichten gegenüber der zust?ndigen Datenschutz-Aufsichtsbeh?rde sowie (bei hohen Risiken) gegenüber den betroffenen Personen vor:
Die Meldung an die zust?ndige Aufsichtsbeh?rde, die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, muss unverzüglich, grunds?tzlich innerhalb von 72 Stunden nach Bekanntwerden erfolgt sein. Zus?tzlich sind geeignete Ma?nahmen zu ergreifen, um die Verletzung des Schutzes personenbezogener Daten zu beseitigen und Auswirkungen der Datenschutzverletzung für die Betroffenen zu minimieren und/oder für die Zukunft zu verhindern
Meldepflicht innerhalb der Universit?t
Damit die Universit?t Paderborn als verantwortliche Stelle ihrer Meldepflicht fristgerecht nachkommen kann, ist sie darauf angewiesen, dass alle Besch?ftigten erkannte Informationssicherheitsvorf?lle/Datenschutzverletzungen oder belastbare Hinweise darauf unmittelbar nach Erkennen der Universit?t Paderborn melden. In welchen F?llen und wie gemeldet werden muss, erl?utert die Seite Meldung von Informationssicherheitsvorf?llen.
Die Hochschulleitung hat die Besch?ftigten der Universit?t Paderborn darüber in einem Schreiben zur Umsetzung der Europ?ischen Datenschutz-Grundverordnung bzgl. der Meldung von Informationssicherheitsvorf?llen informiert.