Wie bereits im Teil 1 erläutert, handelt es sich bei einem Data Breach um die Verletzung des Schutzes personenbezogener Daten.
Ausgangspunkt ist dabei immer ein Versagen der vom Verantwortlichen eingesetzten technischen und organisatorischen Maßnahmen gem Art 32 und eine daraus resultierende unbeabsichtigte oder unrechtmäßige Verletzungshandlung.[1]
Neben den in Art 25 definierten Grundsätzen von Privacy by Design und Default normiert der EU-Gesetzgeber in Artikel 32 die Sicherheit der Verarbeitung, welche insb den Grundsatz der Vertraulichkeit, Verfügbarkeit und Integrität gewährleisten soll.
Artikel 32
Sicherheit der Verarbeitung(1) Unter Berücksichtigung des Stands der Technik, der Implementierungs-kosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
[…]
Personenbezogene Daten dürfen nur in einer Weise verarbeitet werden, bei der eine angemessene Sicherheit gewährleistet wird. Es sollen insb geeignete technische und organisatorische Maßnahmen eingesetzt werden, um vor bestimmten Risiken zu schützen:
- Unbefugte oder unrechtmäßige Verarbeitung: zB eine Speicherung der Daten durch eine Person, die nicht dem Verantwortlichen zuzurechnen ist; oder wenn für die Verarbeitung keine Rechtsgrundlage existiert
- unbeabsichtigter Verlust, unbeabsichtigte Zerstörung oder unbeabsichtigte Schädigung: Verlust, Zerstörung oder Schädigung liegt vor, wenn Daten abhandenkommen oder derart geändert werden, dass sie nicht mehr oder nur noch eingeschränkt für den vorgesehenen Zweck verarbeitet werden können.
Wie derartige Schutzmaßnahmen aussehen können, wird in Art 32 konkretisiert. Demnach ist der Verantwortliche bzw auch der Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Dabei sind folgende Kategorien zu berücksichtigen:
- Stand der Technik
- Implementierungskosten
- Art, Umfang, Umstände und Zwecke der Verarbeitung
- Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen
Es müssen nicht alle in Art 32 Abs 1 lit a bis d genannten Maßnahmen implementiert werden. Es hängt vielmehr immer von der jeweiligen Situation der Verarbeitung und des Verarbeiters im Einzelfall ab.[2]
Cyberattacken und Datendiebstahl stehen an der Tagesordnung und Cyber-Security gewinnt immer mehr an Bedeutung. Datensicherheits- und Datenschutzverletzungen sind eine steigende Bedrohung der Unternehmens-IT, die mit entsprechenden Maßnahmen eingedämmt werden muss.
Verletzung der Vertraulichkeit
Vertraulichkeit von Informationen bedeutet, dass eben diese Informationen nur an die zur Kenntnisnahme berechtigten Personen zugänglich gemacht werden dürfen.
Eine Kenntnisnahme durch Unberechtigte kann durch die unberechtigte Offenlegung von oder den unbefugten Zugang zu personenbezogenen Daten erfolgen.[3]
Gem ErwGr 39 muss die Sicherheit der Vertraulichkeit gewährleistet werden, sodass Unbefugte keinen Zugang zu den Daten haben und weder Daten noch Geräte, mit denen sie verarbeitet werden, unbefugt benutzt werden können.
Verantwortliche und Auftragsverarbeiter haben beispielsweise ein entsprechendes Berechtigungskonzept umzusetzen und nur jene Personen zu berechtigen, die zur Verarbeitung autorisiert sind. Es müssen auch Kontrollen eingeführt werden, durch die sichergestellt wird, dass niemand unautorisiert Kenntnis von den Informationen erlangt.[4]
Bei einem Verlust von Daten kommt es immer darauf an, ob die Daten unwiederbringlich verloren sind, zB wenn es kein Backup gibt (availability breach) bzw ob jemand die Möglichkeit hat die personenbezogenen Daten einzusehen (confidentiality breach). Sind die Daten auf einem gestohlenen USB-Stick beispielsweise verschlüsselt und gibt es kein Backup, liegt eine Verletzung der Verfügbarkeit vor. Da es aufgrund des fehlenden Schlüssels dem Dieb bzw Finder des Sticks nicht möglich sein wird, die Daten einzusehen, liegt keine Verletzung der Vertraulichkeit vor.
Verletzung der Integrität
Unter Integrität versteht man die Korrektheit und Konsistenz von Informationen und bedeutet in der IT-Sicherheit, dass die Daten unverfälscht sein müssen und unautorisierte Manipulationen nicht unbemerkt bleiben dürfen.[5]
Integrität bedeutet auch, dass ein Datenbestand insgesamt konsistent sein muss und die Beziehungen der Daten untereinander korrekt aufgelöst werden können.[6] Die Integrität ist dann gegeben, wenn die Daten vollständig und unverändert sind.
Der Verlust der Integrität bedeutet, dass Daten unerlaubt verändert wurden, Angaben zum Autor verändert wurden oder der Zeitstempel der Erstellung manipuliert wurde und kann durch Manipulation, Fehlverhalten von Personen, Fehlfunktionen von Software oder Übermittlungsfehlern hervorgerufen werden.[7]
Verletzung der Verfügbarkeit
Eine Verletzung der Verfügbarkeit von Daten liegt vor, wenn die Daten zufällig oder nicht autorisiert verloren gehen oder wenn personenbezogene Daten zerstört werden.[8]
Die Gründe für den Verlust von Verfügbarkeit können vielfältig sein. Die häufigsten Ursachen dafür sind:
- Technische Defekte
- Menschliche Fehler
- Malware- bzw Hackerangriffe
- Datendiebstahl
- Externe Einflüsse wie Hochwasser, Sturm- oder Brandschäden
Wenn der Verantwortliche die Daten beispielsweise wegen einer fehlenden Backup-Strategie nicht wiederherstellen kann, gilt dies als dauerhafter Verlust. Ebenso liegt ein Verlust der personenbezogenen Daten vor, wenn verschlüsselte Daten nicht mehr entschlüsselt werden können.
Liegt eine Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von personenbezogenen Daten vor, ist im nächsten Schritt zu prüfen, ob eine Meldung an die Aufsichtsbehörde gem Art 33 DSGVO erforderlich ist.
Lesen Sie im Teil 3/4 unter welchen Voraussetzung eine Meldung an die Datenschutzbehörde erforderlich ist und wie diese Meldung zu erfolgen hat.
[1] Vgl Klabunde in Ehmann/Selmayr, DS-GVO2 (2018), Art 4 Rz 56.
[2] Vgl Diregger, Handbuch Datenschutzrecht (2018) 592; ebenso Martini in Paal/Pauly, Art 32 Rz 30.
[3] Vgl Jandt in Kühling/Buchner DS-GVO (2017), Art 4 Nr. 12 Rz 8.
[4] Vgl Österreichisches Informationssicherheitshandbuch Version 4.0.1 vom 19.1.2016, Seite 617, abrufbar unter www.sicherheitshandbuch.gv.at/downloads/sicherheits handbuch.pdf (Abfrage am 9.7.2019).
[5] Vgl Eckert, IT-Sicherheit7 (2012), 9.
[6] Vgl BSI, IT-Grundschutz-Kataloge 15. Ergänzungslieferung 2016, Gefährdungskatalog Elementare Gefährdungen G 5.85.
[7] BSI, Leitfaden Informationssicherheit IT-Grundschutz kompakt, 14.
[8] Vgl König/Schaupp in Knyrim, DatKomm Art 33 DSGVO Rz 25 (Stand 1.10.2018, rdb.at).