Von einer Verletzung des Schutzes personenbezogener Daten (Datenschutzvorfall – Artikel 33 DSGVO) wird gesprochen, wenn personenbezogene Daten beabsichtigt oder unbeabsichtigt (auch fahrlässig) bzw. unbefugt
- vernichtet,
- verloren,
- verändert,
- offengelegt,
- zugänglich gemacht wurden.
Dabei ist es unerheblich, ob die Verletzung absichtlich oder versehentlich erfolgte oder durch die HWR selbst oder einem ihrer Auftragsverarbeiter verursacht wurde.
Die HWR trifft als Verantwortliche eine Dokumentations- und Meldepflicht. Die Meldepflicht an die Aufsichtsbehörde (Berliner Beauftragte für Datenschutz und Informationsfreiheit) wird ausgelöst, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Bei der Risikoabschätzung ist das Verhältnis zwischen Schwere, Eintrittswahrscheinlichkeit und Umfang (Anzahl und Personenkreis) vom drohenden Schadensereignis zu bewerten. Näheres finden Sie in Artikel 33 DSGVO.
Typische Risiken sind
- Diskriminierung und Rufschädigung von Personen
- Identitätsdiebstahl oder -betrug
- finanzielle Verluste
- unbefugte Aufhebung der Pseudonymisierung
Liegt eine meldepflichtige Datenschutzverletzung vor, muss die Hochschule binnen 72 Stunden nach Bekanntwerden des Datenschutzvorfalls die Meldung an die Aufsichtsbehörde absetzen. Ggf. sind die von der Datenschutzverletzung betroffenen Personen zu benachrichtigen. Damit die HWR ihrer Meldepflicht fristgerecht nachkommen kann, ist es wichtig, dass alle Beschäftigten Vorfälle unmittelbar nach Erkennen melden. Unterbleibt eine Meldung oder geht diese unbegründet verzögert ein, kann die Aufsichtsbehörde aufsichtsrechtliche Maßnahmen gegen die HWR erlassen.
Bei der Bewertung und Meldungserstellung steht der Datenschutzbeauftragte beratend zur Seite.
Beispiele für meldepflichtige Datenschutzvorfälle:
- Eingabe von Zugangsdaten auf einer Phishingseite
- Ausführen einer infizierten Datei nach Klick auf einen Link einer Schadseite
- Angriffe auf zentrale IT-Systeme (Campusmanagementsysteme, Mailsysteme, Umfragesysteme oder Forschungsdatenbanken), bei denen Angreifern personenbezogene Daten zur Kenntnis gelangt sein können
- Systemveränderungen oder Ausspähen von Zugangskennungen (Passwörter) durch massenhafte Verbreitung von Viren, Malware und Spam-Mails
- die unbeabsichtigte Fehlkonfiguration eines Systems, sodass personenbezogene Daten ungewollt veröffentlicht werden
- der versehentliche Versand personenbezogener Daten, an einen für diese Daten nicht zuständigen E-Mail-Verteiler
- der Verlust eines mobilen Endgeräts (Notebook, Smartphone) oder Datenträgers (USB-Stick), auf dem sich personenbezogene Daten befinden
- aber auch die unzulässige Veröffentlichung papierbasierter Unterlagen wie namentliche Aushänge von Klausurergebnissen.
Paper Datenschutzkonferenz „Risiko für die Rechte und Freiheiten natürlicher Personen“