Datenschutzvorfall – und nun?

Worum geht es?

Ein Datenschutzvorfall kann eine sehr ernste Sache mit weitreichenden Folgen sein. Wie zahlreiche Beispiele zeigen, kann es jede Schule betreffen.

Zu den Beispielen, die es in die Medien geschafft haben gehören aus dem Jahr 2023 der Cyberangriff auf die SIT, einen kommunalen Dienstleister in Südwestfalen, durch den viele Schulen zumindest vorübergehend nicht auf ihre Daten zugreifen konnten, wie auch der Datenverlust auf Schüler iPads von Abiturienten in Koblenz, ein Cyberangriff auf HeinekingMedia, den Anbieter eines digitalen Schwarzen Brettes, der Verlust von Chatinhalten und Nutzerdaten in einem schulischen Messenger an einer Bad Reichenhaller Schule durch einen Cyberangriff oder ein Ransomware Angriff auf Schulverwaltungsserver in Karlsruhe. Ende 2022 standen beispielsweise die Zugangsdaten zu Office von Nürnberger Schülern im Darknet. 2024 kam es bei dem Schulmitteilungs App ‚Stay Informed‘ zu einer Datenschutzverletzung, welche die personenbezogenen Daten von Personen an mehreren tausend Schulen betraf. Die Liste ließe sich nach lange fortführen und die Zahl der Vorfälle, die keine Schlagzeilen gemacht haben, ist noch deutlich größer.

Datenschutzverletzung

In Veröffentlichungen ist anstatt von einem Datenschutzvorfall meist von einer Datenschutzverletzung die Rede, da dieser Begriff sich in ähnlicher Form so auch in Art. 4 Nr. 12 DS-GVO findet.

Von einer Datenschutzverletzung redet man also, wenn personenbezogenen Daten aus der Zuständigkeit des Verantwortlichen:

• verloren gehen,
• Unbefugten zur Kenntnis kommen,
• unbefugt gelöscht oder verändert werden.

Beeinträchtigt sind dabei die Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität. Dabei ist unerheblich, welche Ursache die Datenschutzverletzung hat, ob sie absichtlich oder zufällig verursacht wurde, ob durch die Schule und ihre Angehörigen, einen Dienstleister oder Fremde, ob durch Softwarefehler, Hardwareversagen oder Naturkatastrophen.

In der schulischen Praxis geht es, wie die anfangs genannten Beispiele zeigen, um Fälle, in denen z.B.:

• ein Datenverarbeitungsgerät, auf welchen personenbezogene Daten gespeichert sind oder über welchen der Zugriff auf personenbezogene Daten möglich ist, verlustig geht oder gestohlen wird. Das kann ein (Dienst)Laptop sein, ein Tablet oder auch eine Festplatte, ein USB Speichermedium, ein Server oder anderer Rechner.
• Dritte über einen Hackerangriff Zugriff auf personenbezogene Daten der Schule erhalten und diese
  • entwenden,
  • veröffentlichen,
  • durch Verschlüsselung dem Zugriff der Schule entziehen.
• Personenbezogene Daten aus der Schule unbefugten Dritten gegenüber offengelegt wurden, etwa indem
  • sie per E-Mail irrtümlich an einen falschen Empfänger übermittelt wurden,
  • offen zugänglich waren und durch Schüler kopiert oder abfotografiert wurden.
• eine Schule den Zugriff auf personenbezogene Daten verliert, etwa weil
  • ein für das digitale Klassenbuch genutzter Dienstleister gehackt wurde,
  • das Archiv der Schule mit Zeugnissen und Klassenbüchern einer Naturkatastrophe zum Opfer fiel,
  • der Schrank, in welchem die Schülerakten aufbewahrt werden, bei einem Feuer vernichtet wurde.

Da ein Datenschutzvorfall jede Schule treffen kann, selbst wenn sie nur mit einem Minimum an digitalen Tools in Verwaltung und Unterricht arbeitet, ist es entscheidend, dass sowohl Schulleitungen als Verantwortliche wie auch Lehrkräfte als Datenverarbeitende in der Lage sind, einen solchen Vorfall zu erkennen und richtig zu reagieren, um den Schaden möglichst einzugrenzen und den datenschutzrechtlichen Vorgaben zu genügen, die in einem solchen Fall greifen.

10 Punkte

Die folgenden 10 Punkte stellen dar, was es bei einer Datenschutzverletzung zu beachten bzw. zu erledigen gibt. Ihre Reihenfolge kann je nach Fallkonstellation abweichen und gegebenenfalls sind nicht alle Punkte relevant.

1. Feststellen, dass es (möglicherweise) eine Datenschutzverletzung gibt,
2. Meldung der (möglichen) Datenschutzverletzung an die Schulleitung (Verantwortlicher),
3. Ermitteln, welche Daten und Personen (möglicherweise) betroffen sind,
4. Schulleitung informiert behördlich bestellte(n) schulische(n) Datenschutzbeauftragte(n), 
5. Risikoabschätzung,
6. wenn möglich Maßnahmen zur Schadensbegrenzung,
7. gegebenenfalls Meldung an die Aufsichtsbehörde,
8. gegebenenfalls Benachrichtigung der Betroffenen,   
9. Dokumentation,
10. technische und organisatorische Maßnahmen, um vergleichbare Datenschutzverletzungen für die Zukunft auszuschließen.

Datenschutzverletzung – ja/ nein?

Eine Datenschutzverletzung liegt vor, wenn …

• sicher ist oder eine Wahrscheinlichkeit besteht, dass Daten gegenüber Unbefugten offengelegt wurden bzw. dass eine Möglichkeit besteht, dass Unbefugte Zugriff auf Daten der Schule haben, hatten oder gehabt haben könnten,
• Daten durch Löschung, Vernichtung, Verschlüsselung, Verlust des Zugangs zu den Daten oder ähnlich nicht mehr verfügbar sind,
• Daten verändert wurden und die Veränderung nicht erklär- oder nachvollziehbar ist, so dass von einer unbefugten Veränderung der Daten ausgegangen werden muss,

Meldung an Schulleitung

Kommt eine Lehrkraft oder sonstige an der Schule beschäftigte Person zu dem Schluss, dass (möglicherweise) eine Datenschutzverletzung vorliegt, informiert sie die Schulleitung entsprechend den in der Schule abgesprochenen Regeln möglichst unmittelbar. Dabei sollte sie möglichst präzise Angaben machen können zur möglichen Datenschutzverletzung.

Ermittlung betroffener Personen und Daten

Die Schulleitung analysiert nun genauer:

• welche Arten von Daten betroffenen sind und in welchem Umfang,
• welche Personen/ Personengruppen/ Klassen/ Kurse,
• in welcher Art und Weise eine Datenschutzverletzung besteht,
• wann es zur Datenschutzverletzung kam bzw. wann sie entdeckt wurde,
• wie lange die Datenschutzverletzung besteht bzw. bestand,

um festzustellen, ob eine Datenschutzverletzung vorliegt oder nicht.

Datenschutzbeauftragten hinzuziehen

Es empfiehlt sich immer, die oder den behördlich bestellte(n) schulische(n) Datenschutzbeauftragte(n) zu informieren und beratend hinzuzuziehen. Das kann auch direkt dann erfolgen, wenn die Schulleitung die Meldung einer Lehrkraft, sonstigen an der Schule beschäftigten Person oder von anderer Seite bekommt.

Risikoanalyse

Steht fest, dass eine Datenschutzverletzung vorliegt, muss eine Risikoanalyse vorgenommen werden, um zu entscheiden, welche Schritte als Nächstes erforderlich sind. Die zuvor zusammengetragenen Informationen zu den Kategorien von betroffenen Personen und Kategorien von Daten sowie die Art und Weise und Dauer der Schutzverletzung müssen dazu in Relation gesetzt werden, um die Eintrittswahrscheinlichkeit eines Schadens ermitteln zu können, wie auch die Schwere eines möglichen Schadens.

1. Wie schwer ist der mögliche Schaden für die betroffenen Personen?
2. Wie wahrscheinlich ist es, dass aus der Datenschutzverletzung ein Schaden für die betroffenen Personen entsteht?
3. Gesamtbewertung und Ergebnis der Risikobeurteilung

(1) Schwere des möglichen Schadens

Hier geht es um die Nachteile, welche Betroffene bezüglich ihrer Rechte und Freiheiten infolge der Datenschutzverletzung möglicherweise erfahren. Während in einigen Fällen die Nachteile unmittelbar offenkundig werden, muss in vielen Fällen abgeschätzt werden, welche Nachteile entstehen könnten, wenn sich die Datenschutzverletzung auswirkt. Beispiele für Schäden sind etwa:¹Quelle ist hier das Formular zur Meldung von Datenschutzverletzungen der LDI NRW.

• Identitätsdiebstahl
• Betrug
• finanzielle Verluste
• Gefährdung des Berufsgeheimnisses
• Verlust der Kontrolle ihrer personenbezogener Daten Einschränkung von Rechten
• Diskriminierung
• Aufhebung der Pseudonymisierung
• Rufschädigung
• erhebliche wirtschaftliche Nachteile
• erhebliche gesellschaftliche
• Nachteile Gefahr für Leib und Leben
• …

(2) Wahrscheinlichkeit, dass ein Schaden eintritt

Der mögliche Schaden ist nur ein Faktor. Ob dieser Schaden tatsächlich eintritt bzw. wie wahrscheinlich es ist, dass er eintritt, wirkt sich wesentlich auf die Risikobewertung aus. Bestand an einer von der Schule genutzten Plattform über längere Zeit eine Sicherheitslücke, über welche Unbefugte persönliche Daten hätten entwenden können, es sind diese Daten jedoch an keiner Stelle aufgetaucht und es ist auch kein Missbrauch dieser Daten bekannt, ist die Wahrscheinlichkeit eines Schadenseintritts eher gering. Wurden Daten bei einem Ransomware Angriff durch die Hacker entwendet, ist die Eintrittswahrscheinlichkeit eines Schadens meist hoch, da die Erpresser in vielen Fällen Daten veröffentlichen.

Gesamtbewertung

Zur Gesamtbewertung wird mit Hilfe der Bewertungsmatrix die Schwere des möglichen Schadens in Relation zu Eintrittswahrscheinlichkeit gesetzt. Man sieht dann mit einem Blick anhand der Farben, ob ein Risiko oder gar ein hohes Risiko vorliegt. Entsprechend dem Ergebnis ergeben sich die nachfolgenden Schritte.

Wie die folgende Matrix zeigt, muss eine Datenschutzverletzung, selbst wenn Betroffenen potentiell ein großer Schaden entstehen kann, nicht automatisch auch zu einem hohen Risiko führen, wenn die Eintrittswahrscheinlichkeit für einen Schaden lediglich geringfügig ist. Das wäre beispielsweise der Fall,  gestohlene Daten zwar sensible Inhalte haben, der Datenträger, auf dem sie liegen, wie auch die Datenbank, in welcher sie gespeichert sind, sehr gut verschlüsselt sind.

Bewertungsmatrix

Mit der Matrix lässt sich feststellen, ob nur ein geringes Risiko vorliegt, ein Risiko oder ein hohes Risiko. Es gibt verschiedene Varianten dieser Matrix. Einige haben eine feinere Abstufung, etwa mit 5 Stufen.

Meldung an die Aufsichtsbehörde

Gemäß Art. 33 DS-GVO ist eine Meldung an die zuständige Aufsichtsbehörde erforderlich, nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzverletzung,  sofern sie voraussichtlich zu einem Risiko für die Betroffenen führt. In NRW kann dafür ein Formular der Aufsichtsbehörde genutzt werden. Auch in anderen Bundesländern bieten Aufsichtsbehörden vergleichbare Funktionen in ihren Internetauftritten an.

Kommt die Gesamtbewertung aus der Risikoanalyse zu dem Schluss, dass insgesamt nur ein geringes Risiko vorliegt, ist eine Meldung nicht erforderlich.

Information der Betroffenen

Liegt ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen Personen vor, kommt gem. Art. 34 DS-GVO zur Meldung an die Aufsichtsbehörde auch noch die Information der Betroffenen selbst hinzu. Wie dieses erfolgt, hängt vom Einzelfall ab. Geht es um eine Datenschutzverletzung, die alle oder nahezu alle Mitglieder der Schulgemeinschaft betrifft, kann die Meldung u.U. über die Schulehomepage in Kombination mit E-Mail oder einer schulischen Mitteilungs-App erfolgen.

Maßnahmen zur Schadensbegrenzung

Nach Möglichkeit wird versucht, den möglichen Schaden, welcher für Betroffene entstehen könnte, zu begrenzen. Welche Maßnahmen wann umgesetzt werden, hängt auch hier vom Einzelfall ab. Wurden beispielsweise die Zugangsdaten zu einer schulischen Plattform gestohlen, wird man in der Plattform die Passwörter zurücksetzen und die Betroffenen informieren, dass sie sich beim nächsten Anmelden neue Passwörter vergeben müssen. Haben Hacker Zugriff auf einen schulischen Server erhalten, wird man diesen vom Netz trennen und herunterfahren. Sind schulische Daten verloren gegangen, wird man sie so weit wie möglich aus anderen Quellen rekonstruieren. Welche Maßnahmen hier in Frage kommen, ist auf der Seite Hilfe ein Cyberangriff der LDI NRW dargestellt.

Dokumentation

Egal wie sich der Fall einer Datenschutzverletzung entwickelt, einer Dokumentation bedarf es in jedem Fall, also auch wenn es keine Meldung an die Aufsichtsbehörde gibt. Verantwortliche können dann ihr Vorgehen nachweisen, sollte es erforderlich sein. Das kann geschehen, wenn sich nachträglich herausstellt, dass die Risikoanalyse zu einem falschen Ergebnis gekommen ist und doch eine Meldung an die Aufsichtsbehörde oder eine Information der Betroffenen erforderlich gewesen wäre. Genauso kann es sein, dass eine betroffene Person eine andere Auffassung vertritt als die Schule und die Aufsichtsbehörde einschaltet. Um sich die Dokumentation zu erleichtern, kann man auch das Web Formular der LDI NRW zur Meldung einer Datenschutzverletzung nutzen. Dieses führt einen durch die erforderlichen Schritte der Dokumentation. Man speichert es sich dann als PDF. Was die Dokumentation enthalten sollte, stellt die LDI NRW auch auf der Seite Hilfe ein Cyberangriff übersichtlich dar.

72 Stunden

Die Frist von 72 Stunden ist in der DS-GVO eher als Orientierung gedacht. Entsprechend heißt es in Art 33 Abs. 1 Satz 1:

Schulen sollten diese Vorgabe nach Möglichkeit einhalten, auch weil die Aufsichtsbehörde u.U. wichtige Hilfestellungen geben kann, und je nach Datenschutzverletzung kann Zeit ein kritischer Faktor sein. Wichtig ist, dass die Uhr erst tickt, nachdem der Verantwortliche, also die Schulleitung davon erfahren hat.

Maßnahmen im Nachgang

Ist der Fall einer Datenschutzverletzung abgeschlossen, sollte dieser auf jeden Fall aufgearbeitet werden. Welche Maßnahmen sinnvoll sind, hängt vom Einzelfall ab. Ereignete sich der Vorfall bei einem Dienstleister, kann die Schule nicht viel machen, außer eventuell den Dienstleister wechseln, sollte das Vertrauen unwiderruflich beschädigt sein. Bei Datenschutzverletzungen, in welche die Schule oder ihre Mitarbeiter unmittelbar involviert waren, sollte das bestehende Datenschutzkonzept überprüft und gegebenenfalls angepasst werden, um vergleichbare Datenschutzverletzungen für die Zukunft möglichst auszuschließen. Eine Dienstanweisung²Mehr Informationen zur Dienstanweisung finden sich weiter unten im Beitrag. ist, sofern noch nicht vorhanden, eine weitere Möglichkeit für die Zukunft besser aufgestellt zu sein. Ergänzend sollte gegebenenfalls eine Schulung des Kollegiums erfolgen. Je nach Fall kann es sein, dass zusätzliche technische und organisatorische Maßnahmen  eingerichtet und bestehende verbessert werden müssen.

Beispiele

Da jede Risikoanalyse letztlich eine Einzelfallbewertung ist, können hier nur beispielhafte Aussagen gemacht werden, die aber hoffentlich eine Idee geben, worauf es ankommt. Verschiedene Personen können je nach Fall durchaus auch zu voneinander abweichenden Gesamtbwertungen kommen.

• Ein Eltern E-Mail mit allgemeinen Informationen wurde versehentlich mit offenem Verteiler versandt. Alle Eltern konnten so die privaten E-Mail Adressen aller anderen Eltern sehen.
  • Es ist hier zu einer Verletzung der Vertraulichkeit von personenbezogenen Daten gekommen.
  • Mögliche Nachteile für Betroffene könnten sein: unerwünschte Kontaktaufnahme; Werbe-E-Mails, falls die Adressen entsprechend genutzt werden; Spoofing – ein Empfänger täuscht E-Mails mit der Adresse von anderen Eltern vor, um falsche Informationen zu verbreiten, aufzuwiegeln, …
  • Eintrittswahrscheinlichkeit: die Wahrscheinlichkeit des Missbrauchs durch Eltern dürfte eher gering sein; dass die Verteilerliste an Personen außerhalb der Schulgemeinschaft gelangt, sollte eher gering sein
  • Gesamtbewertung: Es liegt insgesamt ein geringes Risiko vor. Die Schule dokumentiert den Fall und macht keine Meldung an die Aufsichtsbehörde.
  • Maßnahmen: Die Schule weist die Betroffenen jedoch auf die Datenschutzverletzung hin und entschuldigt sich dafür. Außerdem macht sie alle Eltern darauf aufmerksam, dass sie die E-Mail Adressen nicht zur Kontaktaufnahme nutzen dürfen oder weitergeben dürfen und sie löschen sollten. Die Schulleitung erstellt eine Dienstanweisung zum Versenden von E-Mails und führt eine Schulung aller Mitarbeiter durch.
• Das Dienst-iPad einer sonderpädagogischen Lehrkraft wurde gestohlen. Auf dem Gerät waren Entwürfe für mehrere sonderpädagogische Gutachten und Unterlagen für AO-SF Verfahren, wie auch Entwürfe für individuelle Förderpläne und Textzeugnisse gespeichert.
  • Es geht in diesem Fall um besondere Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DS-GVO und den möglichen Verlust der Verfügbarkeit wie auch der Vertraulichkeit.
  • Mögliche Nachteile für Betroffene könnten sein: Sollten Unbefugte Zugriff auf die Unterlagen bekommen, drohen den Betroffenen möglicherweise Rufschädigung, ein Verlust über die Kontrolle der eigenen Daten, Diskrimierung sowie erhebliche wirtschaftliche und gesellschaftliche Nachteile.
  • Eintrittswahrscheinlichkeit: Da das Gerät zugangsgeschützt ist mit sechsstelligem Code und Fingerabdruck und die Daten auf dem Gerät verschlüsselt sind, ist die Wahrscheinlichkeit, dass Unbefugte an die Daten gelangen sehr gering. Außerdem kann die Schule das Gerät aus der Ferne löschen, sobald es online geht.
  • Gesamtbewertung: Da es, unabhängig von der Anzahl der betroffenen Personen, um besondere Kategorien von Daten geht, ist die Schwere des möglichen Schadens groß. Die Eintrittswahrscheinlichkeit dürfte bei 2 oder 3 liegen. Die Schule meldet den Vorfall an die Aufsichtsbehörde und informiert die Eltern der Betroffenen und die Betroffenen selbst.
  • Maßnahmen: Die Schule setzt das Gerät über das Mobile Device Management (MDM) zurück, so dass alle Daten am Gerät gelöscht werden. Verlorene Inhalte werden, sofern nicht an anderer Stelle gesichert neu erstellt.

Thema Auftragsverarbeiter

Eine Datenschutzverletzung muss nicht in der Schule oder bei einer an der schulischen Datenverarbeitung beteiligten Person wie einer Lehrkraft stattfinden, sondern kann sich auch bei einem Dienstleister ereignen. In einem solchen Fall, etwa beim Anbieter eines digitalen Klassenbuches, eines Schulmessengers, eines pädagogischen Servers, einer Lehr- und Lernplattform oder einer Arbeits- und Kommunikationsplattform, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unmittelbar zu informieren. Verträge zur Auftragsverarbeitung enthalten hierzu entsprechende Klauseln. Ein Beispiel dafür ist die folgende Passage:

“6. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten
Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.“³Stammt aus einem Vertragsmuster für öffentliche Stellen, welches die Aufsichtsbehörde Sachsens einmal zur Verfügung gestellt hat.

Sammelmeldung durch einen Auftragsverarbeiter

Arbeitet ein Auftragsverarbeiter wie etwa ein kommunales Rechenzentrum oder ein großer Plattformanbieter für viele Schulen, dann können von einer Datenschutzverletzung bei diesem Dienstleister u.U. auch alle den Dienstleister nutzenden Schulen betroffen sein. In diesem Fall ist es möglich, dass dieser Dienstleister eine gesammelte Meldung bei der zuständigen Aufsichtsbehörde macht. Dieses setzt aber die Einhaltung einiger Formalien voraus. Dazu gehören u.a. die vorherige Information des Verantwortlichen und eine schriftliche Weisung durch denselben an den Auftragsverarbeiter. Weitere Details zum Verfahren finden sich auf der Meldeseite der LDI NRW unter der FAQ “Dieselbe Datenpanne betrifft mehrere Verantwortliche Stellen – Kann eine Sammelmeldung für alle Verantwortlichen erfolgen?”⁴“Im Falle einer Verletzung des Schutzes personenbezogener Daten bei einem Dienstleister oder Auftragsverarbeiter, die mehrere Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO betrifft, obliegen die Melde-, Benachrichtigungs- und Dokumentationspflichten nach Art. 33, 34 DS-GVO den Verantwortlichen. Es ist jedoch möglich, dass eine Sammelmeldung durch eine zentrale Stelle erfolgt, solange gesichert ist, dass die verantwortlichen Stellen ihren Sitz in NRW haben bzw. der Aufsicht der LDI unterliegen, gemäß Art. 33 Abs. 2 DS-GVO über den Vorfall informiert wurden (sofern eine Auftragsverarbeitung vorliegt), die zentrale Stelle dazu berechtigt haben, für sie die Meldung an die zuständigen Aufsichtsbehörden abzugeben (bspw. in der Form einer Sammelmeldung), bei der Risikobeurteilung beteiligt wurden und bei der Auswahl und Umsetzung von Maßnahmen zur Abhilfe, Abmilderung und Vermeidung eines erneuten Auftretens der Datenpanne sowie der ggf. zu erfolgenden Benachrichtigung der betroffenen Personen einbezogen wurden – insbesondere bezüglich Maßnahmen, die im Einflussbereich der Verantwortlichen liegen. In einer solchen Sammelmeldung müssen die nach Art. 33 Abs. 3 DS-GVO geforderten Informationen differenziert für die einzelnen Verantwortlichen als Anlage beigefügt werden.”

Die Aufsichtsbehörde meldet sich

Es kann vorkommen, dass Betroffene bei der Aufsichtsbehörde eine Datenschutzverletzung anzeigen. In einem solchen Fall meldet sich die Aufsichtsbehörde. Dies war beispielsweise der Fall als es bei einem von Schulen genutzten Dienstleister eine Datenschutzverletzung in Form einer Sicherheitslücke gab, von welcher einige Schulen nichts mitbekommen hatten. Das Schreiben der Aufsichtsbehörde begann wie folgt:

“Unter Bezugnahme auf Art. 58 Abs. 1 lit. a DS-GVO i. V. m. § 27 Abs. 2 DSG NRW fordere ich Sie auf, zu dem dargestellten Sachverhalt Stellung zu nehmen. Ich empfehle Ihnen, die bzw. den Datenschutzbeauftragte(n) Ihrer Behörde zu beteiligen. Die Stellungnahme soll gleichzeitig dazu dienen, dass Sie die Angelegenheit aus Ihrer Sicht erläutern können und mindestens folgende Punkte umfassen:

• • Sind Ihnen die besagten Sicherheitslücken bekannt geworden und wenn ja, wann?
  • Wann wurde die Aktualisierung des Produkts XYZ, die die Sicherheitslücken behebt, für Ihre XYZ-Instanz vorgenommen?
  • Ist es nach Ihrer Einschätzung aufgrund der Sicherheitslücken zu einer Verletzung des Schutzes personenbezogener Daten im Sinne des Art. 4 Nr. 12 DS-GVO gekommen?
  • Wenn ja, wie schätzen Sie das Risiko für die Rechte und Freiheiten natürlicher Personen ein, das von der Verletzung ausgeht?

Ich weise Sie darauf hin, dass Sie mir gemäß Art. 33 DS-GVO Verletzungen des Schutzes personenbezogener Daten unverzüglich und möglichst innerhalb von 72 Stunden, nachdem Ihnen die Verletzung bekannt wurde, melden müssen, sofern …“

Datenschutzverstoß

Eine Datenschutzverletzung kann auch einen Datenschutzverstoß, also einen Verstoß gegen die Vorgaben der DS-GVO, darstellen bzw. aus einem Datenschutzverstoß herrühren. Aber nicht jeder Datenschutzverstoß ist eine Datenschutzverletzung. Wenn eine Schule nicht über eine Datenverarbeitung gemäß Art. 13 DS-GVO infomiert, ist das ein Datenschutzverstoß, jedoch keine Datenschutzverletzung. Legt die Schule personenbezogene Daten wie beispielsweise Notenlisten für die Zeugniserstellung ungeschützt in einem Verzeichnis auf dem Server ab, auf dem auch die Schulwebsite liegt, ist dieses sowohl ein Datenschutzverstoß als auch eine Datenschutzverletzung.

Dienstanweisung

Es empfiehlt sich für Schulen, den Umgang mit Datenschutzvorfällen bzw. Datenschutzverletzungen über eine Dienstanweisung zu regeln. Das erleichtert allen Beteiligten die Handhabung, wenn es tatsächlich einmal einen Fall geben sollte. Aus der Dienstanweisung sollte hervorgehen, wann von einer Datenschutzverletzung ausgegangen werden muss, welche Maßnahmen eventuell direkt ergriffen werden können, wie die Schulleitung zu informieren ist und wann, und welche Schritte die Schulleitung unternimmt.

Download Vorlage: Dienstanweisung zum Umgang mit Datenschutzverletzungen.docx

Weiterlesen

• Sehr umfangreich stellt eine Broschüre des Bayerischen Landesbeauftragten für den Datenschutz von 2019 das Thema dar: Meldepflicht und Benachrichtigungspflicht des Verantwortlichen; Erläuterungen zu Art. 33 und 34 Datenschutz-Grundverordnung; Orientierungshilfe (PDF)
• Verantwortliche in NRW sollten sich an der Seite der LDI NRW orientieren: Meldepflicht für Verantwortliche – Verletzungen des Schutzes personenbezogener Daten, wo sich auch das Web Formular findet.
• Deutlich ausführlicher noch ist die Seite Hilfe ein Cyberangriff der LDI NRW.
• Die Hinweise, welche Datenschutzverletzungen zu melden sind, jedoch nicht speziell auf Schulen gemünzt von Datenschutz-Notizen, geben Hinweise für die Risikoanalyse und Gesamtbewertung.
• Wie mit einem Datenschutzvorfall beim Auftragsverarbeiter umzugehen ist, aus Sicht der Aufsichtsbehörde Hamburg.
• Umgang mit Datenschutzverletzungen – Praxisratgeber; Stiftung Datenschutz

04/2024