Datenschutzverletzung

Auch: Datenpanne · Data Breach · Sicherheitsverletzung

Eine Datenschutzverletzung liegt vor, wenn personenbezogene Daten durch eine Verletzung der Sicherheit vernichtet, verloren, verändert oder unbefugt offengelegt werden – oder wenn Unbefugte Zugang zu ihnen erhalten. Der Begriff umfasst sowohl technische Vorfälle (Hackerangriff) als auch menschliches Versagen (Fehlversand).

Ausführliche Erklärung

Art. 4 Nr. 12 DSGVO unterscheidet drei Schutzgüter, deren Verletzung eine Datenschutzverletzung auslöst:

  • Vertraulichkeitsverletzung: unbefugte Offenlegung oder unbefugter Zugriff, z. B. Versand von Interessentendaten an falschen Empfänger, Einsicht Unbefugter in die Kundenakte.
  • Integritätsverletzung: unbefugte oder unbeabsichtigte Veränderung von Daten, z. B. Manipulation von Bonitätsangaben im CRM.
  • Verfügbarkeitsverletzung: Verlust des Zugangs zu Daten oder deren Vernichtung, z. B. Ransomware-Angriff auf das Maklerbüro, Diebstahl eines unverschlüsselten Laptops, Aktenvernichtung durch Wasserschaden ohne Backup.

Für Makler sind typische Fallgruppen im Alltag: offene CC-Verteiler bei Interessentenlisten statt BCC, verlorene oder gestohlene Firmengeräte mit Ausweiskopien und Bonitätsunterlagen, gehackte E-Mail-Postfächer, versehentliche Veröffentlichung von Eigentümerdaten in einem Exposé, oder Fehlversand von Selbstauskünften an den falschen Interessenten.

Tritt eine Datenschutzverletzung ein, greifen zwei mögliche Pflichten:

1. Meldung an die Aufsichtsbehörde binnen 72 Stunden (Art. 33 DSGVO), sofern ein Risiko für die Rechte und Freiheiten der Betroffenen nicht ausgeschlossen werden kann.

2. Benachrichtigung der betroffenen Personen (Art. 34 DSGVO), wenn ein hohes Risiko besteht – etwa bei Offenlegung von Bonitäts- oder Ausweisdaten.

Unabhängig von der Meldepflicht muss jede Datenschutzverletzung intern dokumentiert werden (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO, siehe Datenschutzvorfall-Register). Bei Verstößen drohen Bußgelder nach Art. 83 DSGVO sowie zivilrechtliche Schadensersatzansprüche Betroffener nach Art. 82 DSGVO.

Beispiel aus der Praxis

Ein Makler lässt sein Firmentablet mit unverschlüsselt gespeicherten Ausweiskopien und Einkommensnachweisen mehrerer Kaufinteressenten in der Bahn liegen. Das Gerät gilt als verloren. Da hochsensible Daten betroffen sind, muss der Vorfall innerhalb von 72 Stunden der Aufsichtsbehörde gemeldet und die betroffenen Interessenten benachrichtigt werden.

Rechtsgrundlage

  • Art. 4 Nr. 12 DSGVO – Legaldefinition der Datenschutzverletzung.
  • Art. 33 DSGVO – Meldepflicht gegenüber der Aufsichtsbehörde binnen 72 Stunden.
  • Art. 34 DSGVO – Benachrichtigungspflicht gegenüber Betroffenen bei hohem Risiko.
  • Art. 83 DSGVO – Bußgeldrahmen bei Verstößen.

Verwandte Begriffe