Personal Data Breaches

RA Dr. Steffen Sundermann LL.B. (London)

doi:10.5771/9783748954439

, to see if you have full access to this publication.

Book Titles No access

Personal Data Breaches

Eine Untersuchung der praxisrelevanten Rechtsfragen im Zusammenhang mit Verletzungen des Schutzes personenbezogener Daten unter besonderer Berücksichtigung der Schnittstellen von europäischem und nationalem Recht

Authors:
Series:: Schriften zum IT-Sicherheitsrecht, Volume 5
Publisher:: 2025

Summary

This dissertation provides legal practitioners with a comprehensive presentation of the key legal issues in connection with personal data breaches. The work combines academic depth with practical solutions and is therefore intended in particular for legal advisors, companies, data protection officers and supervisory authorities dealing with data breaches. The main focus lies on the interfaces between Union and national law. The term “data breach” as well as the notification and disclosure obligations of Art. 33 f. GDPR are examined. The work also deals with the administrative, criminal and civil law consequences of data breaches, including the legal issues relevant in practice in connection with criminal law prohibitions on the use of evidence and civil law claims for damages.

Keywords

Search publication

Bibliographic data

Copyright year: 2025
ISBN-Print: 978-3-7560-3102-3
ISBN-Online: 978-3-7489-5443-9
Publisher: Nomos, Baden-Baden
Series: Schriften zum IT-Sicherheitsrecht
Volume: 5
Language: German
Pages: 388
Product type: Book Titles

1. Vorwort No access
1. 1.1 Untersuchungsgegenstand und Begrifflichkeiten No access
2. 1.2 Relevanz des Untersuchungsgegenstands No access
3. 1.3 Stand der Forschung No access
4. 1.4 Ziele der Arbeit No access
5. 1.5 Gang der Untersuchung No access
6. 1.6 Case Study No access
1. 1. 2.1.1 Frühphase der Verrechtlichung No access
  2. 2.1.2 OECD-Leitlinien und die Konvention 108 des Europarats No access
  3. 2.1.3 Erste Phase der europäischen Vereinheitlichung: Datenschutzrichtlinien No access
  4. 2.1.4 Datenschutzrecht in Deutschland vor dem Inkrafttreten der DSGVO No access
2. 1. 2.2.1 Charta der Grundrechte der Europäischen Union No access
  2. 2.2.2 Grundrechte und einfachgesetzliche Regelungen in Deutschland No access
  3. 2.2.3 Verhältnis zwischen nationalen und europäischen Grundrechten No access
  4. 2.2.4 Die DSGVO: Ein Kompromiss No access
  5. 2.2.5 Wesentliche Regelungen der DSGVO No access
  6. 2.2.6 Regelungsspielraum der nationalen Gesetzgeber No access
  7. 2.2.7 Anwendungsbereich und wesentliche Regelungen des BDSG No access
  8. 2.2.8 Wesentliche Regelungen der Datenschutzgesetze der Länder No access
  9. 2.2.9 Relevante nationale Regelungen für Personal Data Breaches No access
3. 1. 1. 2.3.1.1 Bedeutung des Art. 8 EMRK für die Ausprägung europäischen Datenschutzrechts No access
    2. 2.3.1.2 (Weiter-)Entwicklung des europäischen Grundrechts auf Datenschutz durch den EuGH No access
    3. 2.3.1.3 Art. 8 GRCh No access
    4. 2.3.1.4 Das Verhältnis von Art. 7 und Art. 8 GRCh No access
    5. 2.3.1.5 Schlussfolgerungen: Kern des europäischen Datenschutzgrundrechts und zugleich Schutzgut der DSGVO No access
  2. 2.3.2 Weitere Regelungsziele des Datenschutzgrundrechts und der DSGVO No access
1. 3.1 Gesetzgebungsgeschichte No access
2. 3.2 Tatbestandsmerkmale des Art. 4 Ziff. 12 DSGVO No access
3. 3.3 Anwendungsbereich No access
4. 1. 3.4.1 Funktion des Tatbestandsmerkmals No access
  2. 3.4.2 IT-Sicherheit und Sicherheit der Verarbeitung personenbezogener Daten No access
  3. 3.4.3 Auslegung anhand anerkannter Begriffe der IT-Sicherheit No access
  4. 3.4.4 Vertraulichkeit, Integrität oder Verfügbarkeit No access
  5. 3.4.5 Wann liegt eine Verletzung vor? No access
  6. 3.4.6 Keine Pflichtwidrigkeit notwendig No access
  7. 3.4.7 Konkrete Gefährdung ausreichend? No access
  8. 3.4.8 Bezug zu technisch-organisatorischen Maßnahmen („TOM-Test“) No access
  9. 3.4.9 Zwischenergebnis und Vorschlag einer Definition für Verletzung der Sicherheit No access
5. 1. 3.5.1 Vernichtung, Verlust oder Veränderung No access
  2. 1. 3.5.2.1 Offenlegen oder Zugänglichmachen No access
    2. 3.5.2.2 Unbefugt No access
  3. 3.5.3 Unrechtmäßiger oder ungewollter Verletzungserfolg No access
  4. 3.5.4 Kausalität zwischen Verletzung der Sicherheit und Erfolg No access
6. 1. 3.6.1 Verletzung der Sicherheit durch Scraping No access
  2. 3.6.2 Erfolgseintritt und Kausalität No access
  3. 3.6.3 Subsumption und Zwischenergebnis No access
7. 3.7 Zwischenergebnis zu Abschnitt 3 No access
1. 4.1 Globale Daten zu Data Breaches No access
2. 4.2 Zahlen zu Data-Breach-Meldungen in Europa No access
3. 4.3 Zahlen zu Data-Breach-Meldungen in Deutschland No access
4. 1. 4.4.1 Wirtschaftliche Auswirkungen für ein betroffenes Unternehmen No access
  2. 4.4.2 Auswirkungen auf betroffene Personen No access
  3. 4.4.3 Auswirkungen von Personal Data Breaches auf die Schutzgüter und Regelungsziele des Datenschutzrechts No access
5. 4.5 Zwischenergebnis zu Abschnitt 4 No access
1. 5.1 Risikobegriff No access
2. 5.2 Risikobasierter Ansatz der DSGVO in Bezug auf Personal Data Breaches No access
3. 5.3 Maßgebliche Risiken bei Personal Data Breaches No access
4. 5.4 Bezugssubjekt: Konkrete betroffene Person oder abstrakt alle potenziell betroffenen Personen No access
5. 5.5 Bestimmung des Risikos und Risikoerhöhung durch einen Personal Data Breach No access
6. 5.6 Kann die betroffen Person in Risiken einwilligen? No access
7. 5.7 Zwischenergebnis zu Abschnitt 5 No access
1. 1. 6.1.1 Entwicklung in der EU No access
  2. 6.1.2 Entwicklung in Deutschland No access
2. 6.2 Regelungszweck der Melde- und Benachrichtigungspflichten, systematische Stellung No access
3. 1. 6.3.1 Entstehungsgeschichte: Vorbilder in den USA und in Europa No access
  2. 6.3.2 Meldepflichtiges Ereignis No access
  3. 1. 6.3.3.1 Keine Meldepflicht bei lediglich sehr geringem Risiko No access
    2. 6.3.3.2 Zwischenergebnis No access
    3. 6.3.3.3 Typische Fallkonstellationen No access
    4. 6.3.3.4 Haushaltsausnahme des Art. 2 Abs. 2 lit. c DSGVO No access
  4. 1. 6.3.4.1 Verantwortlicher und Auftragsverarbeiter No access
    2. 6.3.4.2 Arbeitgeber und Arbeitnehmer bei Mitarbeiterexzessen No access
  5. 1. 6.3.5.1 Nationale Zuständigkeit No access
    2. 6.3.5.2 Internationale Zuständigkeit: Anwendbarkeit des Art. 56 DSGVO auf Art. 33 DSGVO? No access
    3. 6.3.5.3 Zuständige Behörde in der Union bei grenzüberschreitenden Fällen nach Art. 56 DSGVO No access
    4. 6.3.5.4 Ausnahmefall: „local case“ No access
    5. 6.3.5.5 Zuständige Aufsichtsbehörde bei Verantwortlichem in Drittstaat No access
    6. 6.3.5.6 Zwischenergebnis No access
  6. 1. 6.3.6.1 Beschreibung des Vorfalls No access
    2. 6.3.6.2 Name und Kontaktdaten des Datenschutzbeauftragten oder eines Ansprechpartners No access
    3. 6.3.6.3 Wahrscheinliche Folgen No access
    4. 6.3.6.4 Ergriffene oder geplante Maßnahmen No access
  7. 6.3.7 Form No access
  8. 1. 6.3.8.1 Unverzüglich No access
    2. 6.3.8.2 Berechnung der 72 Stunden No access
    3. 6.3.8.3 Meldung an eine unzuständige Behörde No access
  9. 6.3.9 Meldepflicht nach § 65 BDSG No access
4. 1. 6.4.1 Adressat der Benachrichtigungspflicht No access
  2. 6.4.2 Empfängerkreis No access
  3. 6.4.3 Hohes Risiko für die betroffene Person No access
  4. 6.4.4 Benachrichtigung der betroffenen Person aufgrund Anweisung durch die Aufsichtsbehörde No access
  5. 6.4.5 Benachrichtigung der betroffenen Person durch die Aufsichtsbehörde, Art. 34 Abs. 4 und Art. 58 Abs. 2 lit. e DSGVO No access
  6. 1. 6.4.6.1 Nachfolgende Sicherheitsvorkehrungen: Art. 34 Abs. 3 lit a. und b. DSGVO No access
    2. 6.4.6.2 Geheimhaltungspflichten: § 29 Abs. 1 Satz 3 BDSG No access
    3. 6.4.6.3 Ausnahmen in den Landesdatenschutzgesetzen No access
    4. 6.4.6.4 Verzicht der betroffenen Person No access
  7. 6.4.7 Inhalt der Benachrichtigung No access
  8. 6.4.8 Frist No access
  9. 6.4.9 Öffentliche Benachrichtigung bei unverhältnismäßigem Aufwand, Art. 34 Abs. 3 lit. c DSGVO No access
  10. 6.4.10 Benachrichtigung nach § 66 BDSG No access
5. 1. 6.5.1 Positionierung und Beispielsfälle des EDSA No access
  2. 1. 6.5.2.1 Zurechenbarkeit No access
    2. 6.5.2.2 Vorliegen einer Schutzverletzung i. S. d. Art. 4 Ziff. 12 DSGVO No access
    3. 6.5.2.3 Einschränkung der Meldepflicht: Kenntnis und Risiko No access
    4. 6.5.2.4 Zusammenfassung No access
  3. 1. 6.5.3.1 Schutzverletzung No access
    2. 6.5.3.2 Einschränkung der Meldepflicht: Risiko für Betroffene No access
6. 1. 6.6.1 Dokumentationspflichten der DSGVO No access
  2. 6.6.2 Dokumentationspflicht nach § 65 Abs. 5 BDSG No access
7. 6.7 Kritik und Verbesserungsvorschläge No access
8. 6.8 Case Study: Scraping No access
9. 6.9 Zwischenergebnis zu Abschnitt 6 No access
1. 1. 7.1.1 Aufsichtsbehördliche Maßnahmen aufgrund von Verstößen gegen Meldepflichten No access
  2. 7.1.2 Aufsichtsbehördliche Maßnahmen aufgrund unzureichender TOM No access
  3. 7.1.3 Aufsichtsbehördliche Maßnahmen aufgrund einer Verarbeitung ohne Rechtsgrundlage No access
2. 1. 1. 7.2.1.1 Anknüpfungspunkte: Unterlassene oder verspätete Meldung oder vorgelagerte Verstöße No access
    2. 7.2.1.2 Anwendbare Vorschriften im Bußgeldverfahren No access
    3. 7.2.1.3 Inkompatibilität von deutschem Individualstrafrecht und europäischen Unternehmenssanktionen No access
    4. 7.2.1.4 Konzeptionelle Vereinbarkeit der europäischen Vorgaben mit dem deutschen Verfahrensrecht bei Verfahren gegen natürliche Personen No access
    5. 7.2.1.5 Erforderlicher Verschuldensgrad No access
  2. 1. 7.2.2.1 Streitstand und Stellungnahme No access
    2. 7.2.2.2 Rechtsprechung in Deutschland und Entscheidung des Streits durch den EuGH No access
    3. 7.2.2.3 Zwischenergebnis No access
3. 7.3 Zwischenergebnis zu Abschnitt 7 No access
1. 8.1 Case Study No access
2. 8.2 Regelungsinhalt der §§ 42 Abs. 4 und 43 Abs. 4 BDSG No access
3. 1. 8.3.1 Beweiserhebungsverbote und Beweisverwertungsverbote No access
  2. 8.3.2 Selbstständige und unselbstständige Beweisverwertungsverbote No access
  3. 8.3.3 Beweisverwertungs- und -verwendungsverbote No access
4. 1. 8.4.1 Wortlaut und Systematik No access
  2. 8.4.2 Sinn und Zweck der Regelung No access
  3. 1. 8.4.3.1 Inhalt und Unstimmigkeiten in der Gesetzesbegründung No access
    2. 8.4.3.2 Orientierung an § 97 Abs. 1 S. 3 InsO No access
    3. 8.4.3.3 Zwischenergebnis zu 8.4.3 No access
  4. 8.4.4 Zwischenergebnis zu 8.4 No access
5. 1. 8.5.1 Herleitung No access
  2. 8.5.2 Persönlicher Schutzbereich: Juristische Personen erfasst? No access
  3. 8.5.3 Sachlicher Schutzbereich No access
  4. 8.5.4 Zwischenergebnis: Differenzierung zwischen natürlichen und juristischen Personen No access
6. 1. 8.6.1 Art 33 und 34 DSGVO im Ordnungswidrigkeiten- und Verwaltungsverfahren No access
  2. 8.6.2 Auflösung des Konflikts durch die §§ 42 Abs. 4 und 43 Abs. 4 BDSG? No access
7. 1. 8.7.1 Tatsachen, die über die Pflichtangaben hinausgehen No access
  2. 8.7.2 Tatsachen, von denen die Aufsichtsbehörde bereits Kenntnis hat No access
  3. 8.7.3 Irrtum über Meldepflicht No access
8. 1. 8.8.1 Kein Strafverfahren gegen Unternehmen No access
  2. 1. 8.8.2.1 Wortlaut, Gesetzgebungsgeschichte und Rechtsprechung No access
    2. 8.8.2.2 Kritik und Ausblick No access
    3. 8.8.2.3 Zwischenergebnis No access
  3. 8.8.3 Subjektive Reichweite des Verwertungsverbots: Beschäftigte von Unternehmen No access
9. 1. 8.9.1 Regelungskonflikte zwischen nationalen Normen und dem Unionsrecht No access
  2. 1. 8.9.2.1 Regelungskonflikt zwischen § 42 Abs. 4 BDSG und dem Unionsrecht No access
    2. 8.9.2.2 Regelungskonflikt zwischen § 43 Abs. 4 BDSG und dem Unionsrecht No access
    3. 8.9.2.3 Zwischenergebnis No access
  3. 1. 8.9.3.1 § 43 Abs. 4 BDSG als Verfahrensgarantie i. S. d. Art. 83 Abs. 8 DSGVO? No access
    2. 8.9.3.2 Ist § 43 Abs. 4 BDSG angemessen? No access
    3. 8.9.3.3 Zwischenergebnis No access
  4. 1. 8.9.4.1 Vereinbarkeit mit dem Effektivitätsgrundsatz No access
    2. 8.9.4.2 Vereinbarkeit mit dem Äquivalenzgrundsatz No access
10. 8.10 Aussageverweigerungsrecht nach § 40 Abs. 4 Satz 2 BDSG No access
11. 8.11 Rechtmäßige Handhabung durch die Aufsichtsbehörde No access
12. 1. 8.12.1 Waren die Nachfragen der Aufsichtsbehörde in diesem Fall zulässig? Kann der Verantwortliche die Antwort verweigern? No access
  2. 8.12.2 Dürfen die Angaben für ein nachfolgendes Bußgeldverfahren gegen die Verantwortlichen überhaupt verwendet werden oder besteht ein Beweisverwertungsverbot? No access
  3. 8.12.3 Wie weit reicht ein mögliches Verwertungsverbot? Erfasst dieses auch solche Tatsachen, die der Verantwortliche nicht im Zuge der Meldung, sondern erst auf Nachfrage mitgeteilt hat? No access
13. 8.13 Verbesserungsmöglichkeiten No access
14. 8.14 Zwischenergebnis zu Abschnitt 8 No access
1. 1. 9.1.1 Rechtslage vor der DSGVO No access
  2. 1. 9.1.2.1 Verstoß gegen die DSGVO oder abgeleitetes Recht No access
    2. 1. 9.1.2.2.1 Verstöße im Vorfeld des Data Breach (Art. 5 Abs. 1 lit. f, 25 und 32 DSGVO) No access
      2. 9.1.2.2.2 Verstöße nach Eintritt des Data Breach No access
      3. 9.1.2.2.3 Verstöße gegen Rechenschafts- und Dokumentationspflichten No access
    3. 1. 9.1.2.3.1 Meinungsstand zu Verschuldenserfordernis in der Literatur No access
      2. 9.1.2.3.2 Mögliche dritte Lesart des Art. 82 Abs. 3 DSGVO: Regelung über haftungsausfüllende Kausalität No access
      3. 9.1.2.3.3.1 Wesentliche Elemente der Entscheidung und offene Fragen No access
        9.1.2.3.3.2 Kritik No access
      4. 9.1.2.3.4 Bewertung und Zwischenergebnis No access
      5. 9.1.2.3.5 Exkulpation nach Art. 82 Abs. 3 DSGVO No access
    4. 9.1.2.4 Anspruchsberechtigte No access
    5. 1. 9.1.2.5.1 Anspruchsgegner No access
      2. 9.1.2.5.2 Gesamtschuldnerische Haftung No access
  3. 1. 9.1.3.1 Schadensbegriff No access
    2. 1. 9.1.3.2.1 Materielle Folgeschäden No access
      2. 9.1.3.2.2 Personenbezogene Daten als Vermögensschaden No access
      3. 9.1.3.2.3 Wirtschaftlicher Wert personenbezogener Daten? No access
      4. 9.1.3.2.4 Vermögenseinbuße, wirtschaftliche Verwertbarkeit der eigenen Daten No access
      5. 9.1.3.2.5 Wirtschaftlicher Wert der eigenen personenbezogenen Daten als individuelle Vermögensposition No access
      6. 9.1.3.2.6.1 Bezugspunkt: Wert auf b2b-Datenmarktplätzen No access
        9.1.3.2.6.2 Bezugspunkt: Wert der Daten für Unternehmen, Daten als Gegenleistung No access
        9.1.3.2.6.3 Bezugspunkt: Willingness to accept No access
        9.1.3.2.6.4 Bezugspunkt: Verkaufspreise im Darknet No access
        9.1.3.2.6.5 Zwischenfazit No access
      7. 9.1.3.2.7 Negativer wirtschaftlicher Saldo bei der betroffenen Person No access
      8. 9.1.3.2.8 Fazit No access
    3. 1. 9.1.3.3.1 Bagatellgrenze No access
      2. 9.1.3.3.2 (Bloßes) Unbehagen und/oder Furcht als Schaden? No access
      3. 9.1.3.3.3.1 Wille des Gesetzgebers No access
        9.1.3.3.3.2 Kein Recht auf Kontrolle über eigene personenbezogene Daten und daher kein Schaden? No access
        9.1.3.3.3.3 Zwischenergebnis No access
    4. 9.1.3.4 Strafschaden No access
    5. 9.1.3.5 Zwischenergebnis No access
    6. 1. 9.1.3.6.1 Besondere Problemfelder bei Personal Data Breaches im Hinblick auf die haftungsausfüllende Kausalität No access
      2. 9.1.3.6.2 Unionsrechtliche Aspekte No access
      3. 9.1.3.6.3.1 Äquivalenz No access
        9.1.3.6.3.2 Adäquanz No access
        9.1.3.6.3.3 Schutzzweck der Norm No access
      4. 9.1.3.6.4 Zivilgerichtliche Rechtsprechung zur Kausalität bei Art. 82 DSGVO No access
      5. 9.1.3.6.5 Vereinbarkeit der deutschen Auslegung mit dem Unionsrecht No access
2. 1. 1. 9.2.1.1 Mangel bei Lieferung digitaler Produkte No access
    2. 9.2.1.2 Unzureichende Aktualisierung digitaler Produkte No access
    3. 9.2.1.3 Verhältnis zur DSGVO No access
  2. 1. 9.2.2.1 Verhältnis des allgemeinen Deliktsrechts zur DSGVO No access
    2. 9.2.2.2 Sonstige Rechte i. S. d. § 823 Abs. 1 BGB No access
    3. 9.2.2.3 Schutzgesetze i. S. d. § 823 Abs. 2 BGB No access
  3. 1. 9.2.3.1 Ansprüche gegen den Verantwortlichen, bei dem der Data Breach eingetreten ist No access
    2. 9.2.3.2 Ansprüche gegen Dritte, denen Daten offengelegt wurden No access
3. 1. 9.3.1 Vermögensschäden No access
  2. 1. 9.3.2.1 Strafschaden und Straffunktion No access
    2. 9.3.2.2 Präventiv- bzw. Abschreckungsfunktion No access
    3. 9.3.2.3 Genugtuungsfunktion No access
    4. 9.3.2.4 Rechtsprechung zur Bemessung von immateriellem Schaden No access
    5. 9.3.2.5 Konkrete Bestimmung der Höhe bei Nichtvermögensschäden No access
4. 1. 9.4.1 Unterlassungsanspruch aus dem BGB und Verhältnis zur DSGVO No access
  2. 9.4.2 Anspruchsvoraussetzungen § 1004 Abs. 1 Satz 2 BGB i. V. m. DSGVO No access
  3. 9.4.3 Anwendung und Besonderheiten bei Data-Breach-Sachverhalten No access
5. 1. 1. 9.5.1.1 Regelungsinhalt der Art. 5 Abs. 2 und 24 Abs. 1 DSGVO No access
    2. 9.5.1.2 Handelt es sich bei Art. 5 Abs. 2 DSGVO um eine zivilprozessuale Regelung? No access
  2. 9.5.2 Folgen für die zivilprozessuale Beweislastverteilung No access
  3. 1. 9.5.3.1 Informationszugang über Art. 33 Abs. 1 und 34 Abs. 1 DSGVO No access
    2. 9.5.3.2 Verwertbarkeit der Dokumentation nach Art. 33 Abs. 5 Satz 1 DSGVO No access
  4. 1. 9.5.4.1 Beweisrelevante Daten, die aus einem Data Breach stammen No access
    2. 9.5.4.2 Beweisverwertungsverbot aus §§ 42 Abs. 4, 43 Abs. 4 BDSG (analog) No access
6. 9.6 Case Study: Schadensersatz für Scraping in der zivilgerichtlichen Realität No access
7. 9.7 Mehrwert im System des Datenschutzrechts? No access
8. 9.8 Zwischenergebnis zu Abschnitt 9 No access
1. 10.1 Allgemeiner Rechtsrahmen, Definition und Bedeutung von Personal Data Breaches No access
2. 10.2 Meldepflichten als zentrales Regelungsinstrument No access
3. 1. 10.3.1 Kompetenzen der Aufsichtsbehörden und Verbandssanktionen No access
  2. 10.3.2 Beweisverwendungsverbote und Selbstbelastungsfreiheit No access
4. 10.4 Die Rolle zivilrechtlicher Rechtsdurchsetzung No access
5. 10.5 Schlussbetrachtung No access
Literaturverzeichnis No access Pages 379 - 388