der geplanten ePrivacy-VO – nach der DS-GVO (zur Bedeutung für die Praxis vgl. Art. 6 lit. f Rn. 177).[528]
221
Weitere formale Wirksamkeitsvoraussetzungen für die Einwilligung (Transparenz, Form, Zeitpunkt, Person)[529] folgen aus Art. 7 Abs. 2 und aus den allgemeinen Grundsätzen nach Art. 5. Die Widerrufbarkeit der Einwilligung ist in Art. 7 Abs. 3 geregelt.[530] Zu den Grenzen der Freiwilligkeit der Einwilligung und einem Verstoß gegen das Koppelungsverbot vgl. die Ausführungen zur aktuellen Rechtsprechung des BGH unter Art. 7 Rn. 48.
1. Allgemeines
222
Art. 4 Nr. 12 definiert den Begriff „Verletzung personenbezogener Daten“. Der Begriff wurde mit der ePrivacy-RL 2009/136/EG in Art. 2 lit. h DSRL eingeführt. Art. 2 lit. h DSRL i.F.d. RL 2009/136/EG definiert die „Verletzung des Schutzes personenbezogener Daten“ als „eine Verletzung der Sicherheit, die auf unbeabsichtigte oder unrechtmäßige Weise zur Vernichtung, zum Verlust, zur Veränderung und zur unbefugten Weitergabe von bzw. zum unbefugten Zugang personenbezogener Daten führt, die übertragen, gespeichert oder auf andere Weise im Zusammenhang mit der Bereitstellung öffentlich zugänglicher Kommunikationsdienste in der Gemeinschaft verarbeitet werden“. Die Formulierung ist wörtlich fast identisch mit der in Art. 4 Nr. 12.
223
Die Definition des Art. 4 Nr. 12 steht in unmittelbarem Zusammenhang mit Art. 33 und 34[531]. Eine Verletzung des Datenschutzes löst die Verpflichtung zur Mitteilung an die Aufsichtsbehörde und an die betroffene Person aus. Die Definition richtet sich an jeden Rechtsanwender der Art. 33 und 34. In erster Linie adressiert sie damit den Verantwortlichen, da dieser den Meldepflichten direkt unterliegt. Im Verhältnis zum Verantwortlichen als Auftraggeber treffen den Auftragsverarbeiter bei Eintreten einer Datenschutzverletzung gem. Art. 33 Abs. 2 und 28 Abs. 3 lit. f Melde- und Mithilfepflichten. Insoweit wird die Definition des Art. 4 Nr. 12 auch für den Auftragsverarbeiter relevant. Für „Anbieter kritischer Infrastrukturen“ i.S.d. IT-Sicherheitsgesetzes bzw. „Betreiber wesentlicher Dienste“ i.S.d. NIS-RL 2016/1146 gelten daneben Meldepflichten bei Sicherheitsverstößen.
2. Inhalt
224
Art. 4 Nr. 12 definiert die Verletzung des Schutzes personenbezogener Daten als „Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“
225
Da zunächst eine Verletzung der Sicherheit vorliegen muss, umfasst der Begriff des Art. 4 Nr. 12 nicht sämtliche Verstöße gegen Datenschutzrecht, sondern nur solche Fälle, die entgegen der Vorgaben des Verantwortlichen erfolgen. Dies sind insbesondere Fehler der Mitarbeiter oder gezielte Angriffe von Dritten.[532] Werden die personenbezogenen Daten dagegen unrechtmäßig, z.B. unter Missachtung der in Art. 5 Abs. 1 normierten Grundsätze[533], vom Verantwortlichen an einen Dritten übermittelt, liegt darin keine Verletzung der Sicherheit. Der Verantwortliche nimmt dann eine unrechtmäßige Datenverarbeitung vor.
226
Die Verletzung kann unbeabsichtigt oder absichtlich geschehen. Der Hintergrund der Datenpanne spielt keine Rolle. Vorsatz wie Fahrlässigkeit, gezieltes Handeln wie auch Nebeneffekte anderer Handlungen oder Versäumnisse können gleichermaßen ursächlich sein. Ein Verschulden ist nicht erforderlich. Selbst rein zufällig entstandene Datenlecks fallen unter den Begriff.[534]
227
Die Sicherheitsverletzung muss „zur Vernichtung, zum Verlust, zur Veränderung“ oder „zur unbefugten Offenlegung von beziehungsweise Zugang“ zu personenbezogenen Daten geführt haben.
228
Die personenbezogenen Daten sind vernichtet, wenn sie unwiederbringlich gelöscht sind.[535]
229
Ein Verlust liegt in der Abgrenzung zur Vernichtung vor, wenn Daten dem Verantwortlichen nicht mehr zur Verfügung stehen, bspw. im Fall des unbeabsichtigten Abhandenkommen physischer Originaldatenträger.[536] Die Daten müssen dauerhaft verloren gegangen und nicht mehr im Herrschaftsbereich des Verantwortlichen sein. Ein vorübergehendes „Verlegen“ stellt noch keinen Verlust da.[537] Die Verschlüsselung durch sog. Ransomware in Form von Verschlüsselungstrojanern, bei denen Daten lokal verschlüsselt und ansonsten gelöscht werden, wobei der Schlüssel nur gegen eine Zahlung angeboten wird, kann bei fehlendem Backup einen Verlust nach Art. 4 Nr. 12 darstellen.[538]
230
Die Veränderung der Daten bezieht sich nicht auf den Bestand der Daten selbst, sondern auf ihren Informationsgehalt. Eine Veränderung von Daten wird man i.S.v. § 3 Abs. 4 Nr. 2 BDSG a.F. als das inhaltliche Umgestalten von personenbezogenen Daten verstehen können.[539] Sie kann immer dann angenommen werden, wenn die Daten modifiziert wurden und damit nicht mehr unversehrt sind. Beispielsweise ist dies der Fall, wenn ein Mitarbeiter die Adresse eines Kunden aus Versehen mit einer veralteten Adresse des Kunden überschreibt.
231
Eine unbefugte Offenlegung ist bereits dann gegeben, wenn Dritten ohne entsprechende Rechtsgrundlage nach der DS-GVO eine Kenntnisnahmemöglichkeit eingeräumt wird.[540] Das ist bspw. der Fall, wenn eine öffentliche Zugänglichmachung personenbezogener Daten auf einer Internetseite erfolgt. Ein unbefugter Zugang liegt dann vor, wenn nicht hierzu autorisierte Personen Kenntnis von den personenbezogenen Daten oder auch nur Zugang zu den Geräten, mit denen personenbezogene Daten verarbeitet werden, erlangt haben.[541] Fraglich ist, ob es für eine Verletzung der Sicherheit, insbesondere in den Fällen der unbefugten Offenlegung und des unbefugten Zugangs, erforderlich ist, dass ein unbefugter Zugang oder unbefugte Kenntnisnahme tatsächlich stattgefunden hat oder lediglich möglich ist. So kann der Verlust eines Speichermediums, z.B. ein USB-Stick oder ein Smartphone, dazu führen, dass die Daten von Dritten zur Kenntnis genommen werden. Die Möglichkeit der Kenntnisnahme besteht auch dann, wenn die Daten verschlüsselt sind, dass Handy bspw. mit einem Pin geschützt ist. In diesen Fällen wird man davon ausgehen müssen, dass eine Verletzung der Sicherheit bereits eingetreten ist. Die für das weitere Vorgehen entscheidende Frage, wie hoch das Risiko einer Entschlüsselung tatsächlich ist, wird