Der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit hat am 15. Novem­ber 2018 einen Leit­fa­den zu Mel­dun­gen von Daten­schutz­ver­let­zun­gen nach Art. 33 DSGVO ver­öf­fent­licht, der in weni­gen Punk­ten eini­ge Klar­stel­lun­gen bringt:

  • nicht jede Daten­schutz­ver­let­zung, son­dern grund­sätz­lich nur Ver­let­zun­gen der Daten­si­cher­heit wer­den erfasst (Bei­spie­le sind “Hack­ing und Daten­dieb­stahl sowie SQL-Lücken, Bugs im Web­ser­ver, ver­lo­ren­ge­gan­ge­ne USB-Sticks oder Lap­tops, unrecht­mä­ßi­ge Über­mitt­lung sowie der Ein­bruch in Ser­ver­räu­me, die mit dem Ver­lust oder der Zer­stö­rung von Hard­ware oder dem Aus­le­sen von Daten­trä­gern ein­her­ge­hen”); gleich­wohl sind aber auch etwa ver­se­hent­li­che Falsch­adres­sie­run­gen einer E‑Mail erfasst;
  • eine Ver­let­zung durch Unter­bre­chung der Ver­füg­bar­keit “setzt eine län­ge­re Dau­er vor­aus und kann z.B. her­vor­ge­ru­fen wer­den durch einen Strom­aus­fall oder durch eine Deni­al-of-Ser­vice-Attacke”, und “nur unbe­ab­sich­tig­te Zugangs­hin­der­nis­se [sind] Data Brea­ches im Sin­ne des Art. 33 DSGVO”;
  • es muss ein Ver­let­zungs­er­folg ein­ge­tre­ten sein, also bspw. ein Zugriff auf Daten; “Fand trotz Bestehens einer Sicher­heits­lücke kein unbe­rech­tig­ter Zugriff statt, besteht kei­ne Meldepflicht”.

Für die Ein­schät­zung des Risi­kos infol­ge der Ver­let­zung und die Fra­ge, ab wann (die frist­aus­lö­sen­de) “Kennt­nis” von der Ver­let­zung vor­liegt, ver­weist der Beauf­trag­te auf das Papier des Euro­päi­schen Daten­schutz­aus­schus­ses zu Mel­dun­gen von Daten­schutz­ver­let­zun­gen;

AI-generierte Takeaways können falsch sein.