Die EU-Datenschutzgrundverordnung (DSGVO) fordert in den Grundsätzen der Verarbeitung (Artikel 5), dass die personenbezogenen Daten durch technische und organisatorische Maßnahmen (Erläuterungen im Artikel 32) vor Verlust, Missbrauch, Manipulation und Offenlegung geschützt werden müssen.

Trotz guter Schutzmaßnahmen ist es nicht ausgeschlossen, dass beispielsweise durch menschliches Fehlverhalten, Diebstahl oder Hackerangriffe oder Schadsoftware dieser Schutz verletzt wird. Gehen dann personenbezogene Daten verloren, werden manipuliert oder werden öffentlich, liegt eine Datenpanne nach Artikel 33 DSGVO vor.

Ereignisse, die eine Datenpanne im Sinne der DSGVO darstellen:

• Versand einer E-Mail an eine große Zahl Empfänger, die nicht in Bcc in die Mail eingefügt wurden
  -> Offenlegung einer großen Zahl von Kontaktinformationen
• Verlust eines unverschlüsselten USB-Sticks mit Zeugnissen, Klassenlisten oder Gutachtenentwürfen
  -> Mögliche missbräuchliche Nutzung durch den "Finder" und ggf. nachteilige Auswirkungen auf die Personen, deren Daten auf dem USB-Stick gespeichert waren
• Durch einen technischen Defekt oder falsche Konfiguration der Benutzerrechte besteht für einen unbeschränkten Personenkreis die Möglichkeit, auf Dateien im Schulverwaltungsnetz zuzugreifen
  -> Offenlegung sensibler Informationen oder Beschäftigtendaten
• Durch eine Sicherheitslücke bekommen Unbefugte Zugriff auf die Benutzerdaten eines Online-Lernsystems
  -> Identitätsdiebstahl, Manipulation von Daten
• Der Schulverwaltungsserver wird bei einem Einbruch gestohlen
  -> Schüler*innen und Elterndaten inklusive sensibler Gesundheitsdaten können missbräuchlich genutzt werden
  -> Existiert keine Sicherungskopie sind Daten nicht wiederherstellbar -> keine Zeugniserstellung möglich etc.
• Altakten werden nach Ablauf der Aufbewahrungsfrist in den Altpapiercontainer entsorgt
  -> Datenschutzkonforme Löschung nicht gegeben, Daten könnten öffentlich werden

Im Falle einer Datenpanne sollten folgende Schritte unternommen werden:

1. Information des zentralen Datenschutzbeauftragten für die öffentlichen Schulen um das weitere Vorgehen abzustimmen (datenschutzbeauftragterschule@bimi.landsh.de)
2. Bei Datenpannen mit Schulverwaltungsrechnern/Im Landenetz-Bildung (LanBSH) zusätzlich Meldung an das IQSH
3. Meldung der Datenpanne innerhalb von 72 Stunden nach Bekanntwerden an die Aufsichtsbehörde (Unabhängiges Landeszentrum für Datenschutz - ULD) mit beigefügtem Muster per Mail an mail@datenschutzzentrum.de und in Kopie an datenschutzbeauftragterschule@bimi.landsh.de; Ergänzend Versand per Post an ULD
4. ggf. Information der Betroffenen über Art und Umfang der Datenpanne
5. Beseitigung von Ursachen, die zur Panne geführt haben, bspw. durch technische Sicherheitsmaßnahmen, Belehrung des Personals

Zugehörige Dateien
→ Muster-Datenpannenmeldung [RTF]