Fehlendes Berechtigungskonzept – Ist das ein Datenschutzvorfall?

In der Praxis zeigt sich immer wieder, dass Zugriffsrechte in IT-Systemen fehlerhaft vergeben werden – teils fehlt sogar ein grundlegendes Berechtigungskonzept. Dies widerspricht dem Need-to-Know-Prinzip. Daraus ergibt sich die Frage: Handelt es sich in solchen Fällen zugleich um einen Datenschutzvorfall – mit der Folge einer möglichen Meldepflicht gegenüber der Aufsichtsbehörde nach Art. 33 DSGVO?

Berechtigungskonzept nach dem Need-To-Know-Prinzip

Ein Berechtigungskonzept regelt, wer auf welche Daten zugreifen darf. Es stellt sicher, dass personenbezogene Daten nur denjenigen Mitarbeitenden zugänglich sind, die diese für ihre Arbeit benötigen (Need-to-Know-Prinzip).

Fehlt ein solches Konzept, besteht die Gefahr, dass sensible Mitarbeiter- oder Kundendaten unberechtigt einsehbar sind. Dies stellt regelmäßig einen Verstoß gegen zentrale Grundsätze und Vorgaben der DSGVO dar, insbesondere gegen Art. 5 Abs. 1 lit. f, Art. 6 Abs. 1 und Art. 32.

Umstritten ist jedoch, ob das bloße Fehlen eines Berechtigungskonzepts bereits eine „Verletzung des Schutzes personenbezogener Daten“ im Sinne des Art. 4 Nr. 12 DSGVO – also eine Datenschutzverletzung – darstellt. Nur dann wäre eine Risikobewertung und gegebenenfalls eine Meldung nach Art. 33 DSGVO erforderlich.

Datenschutzverletzung im Sinne der DSGVO

Art. 4 Nr. 12 DSGVO definiert die „Verletzung des Schutzes personenbezogener Daten“ als:

„eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Der Europäische Datenschutzausschuss (EDSA) unterscheidet dabei drei Formen von Datenschutzverletzungen:

• Verletzung der Vertraulichkeit:
  Unbefugte oder unbeabsichtigte Preisgabe von oder Einsichtnahme in personenbezogene Daten.
• Verletzung der Integrität:
  Unbefugte oder unbeabsichtigte Änderung personenbezogener Daten.
• Verletzung der Verfügbarkeit:
  Unbeabsichtigter oder unbefugter Verlust des Zugangs zu personenbezogenen Daten bzw. deren Vernichtung.

Datenschutzverletzung als eine Form des Sicherheitsvorfalls

Nicht jede Handlung oder Unterlassung stellt automatisch eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DSGVO dar. Entscheidend ist, dass es sich um eine „Verletzung der Sicherheit“ personenbezogener Daten handelt. Eine Datenschutzverletzung ist somit eine besondere Form des Sicherheitsvorfalls.

Der Unterschied zwischen einem Sicherheitsvorfall und einer Verletzung des Schutzes personenbezogener Daten wird vom EDSA wie folgt beschrieben:

„Im Wesentlichen ist eine Verletzung des Schutzes personenbezogener Daten immer auch ein Sicherheitsvorfall, während es sich bei einem Sicherheitsvorfall nicht notwendigerweise um eine Verletzung des Schutzes personenbezogener Daten handelt.“ (EDSA-Leitlinien 9/2022, S.8)

Entscheidend ist dabei, ob personenbezogene Daten von dem Sicherheitsvorfall betroffen sind.

Jede Verletzung der Vertraulichkeit als Datenschutzverletzung?

Ein Teil der Literatur vertritt die Auffassung, dass jede Verletzung der Vertraulichkeit zugleich eine Verletzung der Sicherheit darstelle. Schließlich handle es sich hierbei um die grundlegenden Formen von Datenschutzverletzungen.

Nach dieser Ansicht wäre die Verletzung eines jeden der drei Schutzziele – Vertraulichkeit, Integrität und Verfügbarkeit – schon als Datenschutzverletzung zu qualifizieren, sobald personenbezogene Daten betroffen seien. Zugleich werde unterstellt, dass in allen Fällen ein Nachteil für die betroffenen Personen eintreten könne. Fehle ein Berechtigungskonzept, sei die Fähigkeit zur Gewährleistung der Vertraulichkeit grundsätzlich beeinträchtigt. Damit liege eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DSGVO vor.

Datenschutzverletzung = Verletzungshandlung + Verletzungserfolg

Nach herrschender Auffassung setzt allerdings eine Datenschutzverletzung zwei Elemente voraus: eine Verletzungshandlung und einen Verletzungserfolg. Die Kategorien Verletzung der Vertraulichkeit, Verletzung der Integrität und Verletzung der Verfügbarkeit gelten dabei als mögliche Verletzungserfolge. Die Verletzungshandlung selbst wird durch die Definition jedoch nicht näher konkretisiert, was in der Praxis zu unterschiedlichen Interpretationen führe.

Organisatorisches Fehlverhalten als Verletzungshandlung

Aufsichtsbehörden und Teile der Literatur vertreten die Auffassung, dass bereits ein Verstoß gegen Art. 32 DSGVO – also gegen die Anforderungen an die Sicherheit der Verarbeitung – eine „Verletzung der Sicherheit“ im Sinne von Art. 4 Nr. 12 DSGVO darstelle.

Das Fehlen eines Berechtigungskonzepts gilt hier als klassisches Beispiel für die Nichtbeachtung organisatorischer Vorgaben aus Art. 32 DSGVO.

„Datensicherheit umfasst die Gesamtheit aller organisatorischen und technischen (nicht rechtlichen) Regelungen und Maßnahmen, mit denen ein unzulässiger Umgang mit personenbezogenen Daten verhindert und die Integrität sowie Verfügbarkeit der Daten und der zu deren Verarbeitung eingesetzten technischen Einrichtungen erhalten wird.“ (Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO Art. 4 Nr. 12 Rn. 5)

„Die Verletzungshandlung kann z.B. darin liegen, dass der Verantwortliche von vorneherein keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Vertraulichkeit personenbezogener Daten ergreift.“ (Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO Art. 4 Nr. 12 Rn. 6)

Auch nach der Orientierungshilfe des BayLfD kann eine Verletzungshandlung durch organisatorisches Fehlverhalten des Verantwortlichen erfolgen.

„Der Verantwortliche versäumt es, die nach Art. 32 DSGVO erforderlichen Maßnahmen – insbesondere eine Implementierung organisatorischer Standards in entsprechenden Vorgaben – zu treffen.

[…]

Ein typisches Verletzungsverhalten, das zu diesem Verletzungserfolg führt […] Gleiches gilt für eine nicht ordnungsgemäße Planung oder Verwaltung von Zugriffsberechtigungen. Für den Verletzungserfolg ist es nicht erforderlich, dass Dritte von den unbefugt offengelegten Daten Kenntnis nehmen. Der Nachweis, dass diese Möglichkeit bestand, ist ausreichend.“
(Orientierungshilfe BayLfD, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen, S. 15)

Verletzung einer bereits etablierten Schutzmaßnahme

Nach einer anderen Meinung fielen nur solche Handlungen unter den Begriff der Sicherheitsverletzung, die entgegen den Vorgaben des Verantwortlichen erfolgten, wie z. B. Fehler von Mitarbeitenden oder Angriffe durch Dritte.

Hierfür sei wohl ein sicherheitsrelevantes Fehlverhalten – Tun oder Unterlassen – erforderlich, das den bestehenden Vorgaben widerspreche. Zudem setze dies voraus, dass bereits technische Schutzmaßnahmen etabliert seien.

„Die „Verletzung des Schutzes“ setzt bereits begrifflich das Bestehen entsprechender Schutzmaßnahmen voraus, weswegen grundsätzlich ein Versagen der technischen und organisatorischen Sicherheitsmaßnahmen (Art. 32) des Verantwortlichen/Auftragsverarbeiters ursächlich für die Verletzung sein muss.“
(vgl. Spindler/Schuster, Recht der elektronischen Medien 4. Auflage 2019, DS-GVO Art. 4 Begriffsbestimmungen, Rn. 27).

Fehle ein Berechtigungskonzept jedoch von vornherein, lasse sich vertreten, dass es sich primär um eine Rechtsverletzung, nicht aber um eine Sicherheitsverletzung handele.

Rechtsverletzung, Sicherheitsverletzung oder beides?

Die Frage, ob ein (sonst) rechtswidriger Datenumgang – etwa durch Missachtung von Zweckbestimmungs- oder Transparenzregeln – als Verletzung der Sicherheit gilt, ist nicht abschließend geklärt.

Eine Ansicht in der Literatur vertritt, dass ein rechtswidriger Datenumgang – etwa durch Missachtung von Zweckbestimmungs- oder Transparenzregeln – nicht automatisch als Verletzung der Sicherheit zu qualifizieren sei.

„Unzulässige Verarbeitungen, die der Verantwortliche gezielt durchführt, etwa durch Missachtung von Zweckbestimmungs- oder Transparenzregeln, gelten nicht als Verletzungen im Sinne dieser Begriffsbestimmung.“
(vgl. Ehmann/Selmayr, Datenschutz-Grundverordnung 3. Auflage 2024, Art. 4, Rn. 63).

Demgegenüber wird argumentiert, dass eine Verletzung der Sicherheit der Verarbeitung bereits dann vorliege, wenn Verantwortliche oder Auftragsverarbeiter eine nicht rechtmäßige Verarbeitung personenbezogener Daten vornähmen. Dies wird wie folgt erläutert:

„Eine Verletzung der Sicherheit der Verarbeitung liegt bereits vor, wenn durch Verantwortliche oder Auftragsverarbeiter eine nicht iSv Art. 5 Abs. 1 lit. a DS-GVO rechtmäßige Verarbeitung personenbezogener Daten erfolgt („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Die möglichen Verletzungserfolge werden in zwei Kategorien differenziert und jeweils aufgezählt.“
(Kühling/Buchner/Jandt, 4. Aufl. 2024, DS-GVO Art. 4 Nr. 12 Rn. 6)

Ohne Berechtigungskonzept droht ein DSGVO-Verstoß

Ob das Fehlen eines Berechtigungskonzepts stets als Datenschutzverletzung zu werten ist, bleibt eine Frage der Auslegung. Unabhängig davon gilt: Unternehmen sollten ihre Berechtigungskonzepte klar definieren, sorgfältig umsetzen und regelmäßig überprüfen.

Das Fehlen eines solchen Konzepts verstößt gegen Art. 5 Abs. 1 lit. f sowie Art. 32 DSGVO und setzt Unternehmen einem erheblichen Bußgeldrisiko aus.