Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat am 15. November 2018 einen Leitfaden zu Meldungen von Datenschutzverletzungen nach Art. 33 DSGVO veröffentlicht, der in wenigen Punkten einige Klarstellungen bringt:
- nicht jede Datenschutzverletzung, sondern grundsätzlich nur Verletzungen der Datensicherheit werden erfasst (Beispiele sind “Hacking und Datendiebstahl sowie SQL-Lücken, Bugs im Webserver, verlorengegangene USB-Sticks oder Laptops, unrechtmäßige Übermittlung sowie der Einbruch in Serverräume, die mit dem Verlust oder der Zerstörung von Hardware oder dem Auslesen von Datenträgern einhergehen”); gleichwohl sind aber auch etwa versehentliche Falschadressierungen einer E‑Mail erfasst;
- eine Verletzung durch Unterbrechung der Verfügbarkeit “setzt eine längere Dauer voraus und kann z.B. hervorgerufen werden durch einen Stromausfall oder durch eine Denial-of-Service-Attacke”, und “nur unbeabsichtigte Zugangshindernisse [sind] Data Breaches im Sinne des Art. 33 DSGVO”;
- es muss ein Verletzungserfolg eingetreten sein, also bspw. ein Zugriff auf Daten; “Fand trotz Bestehens einer Sicherheitslücke kein unberechtigter Zugriff statt, besteht keine Meldepflicht”.
Für die Einschätzung des Risikos infolge der Verletzung und die Frage, ab wann (die fristauslösende) “Kenntnis” von der Verletzung vorliegt, verweist der Beauftragte auf das Papier des Europäischen Datenschutzausschusses zu Meldungen von Datenschutzverletzungen;