尽管有法律要求，数据还是被泄露？

fabiha01

在一个数字化进程迅速、处理越来越多的（个人）数据的世界里，数据保护的主题变得越来越重要。由于这会导致数据处理错误增加，我们的几篇博客文章已经讨论了“数据泄露”或“数据保护事件”的主题，例如这篇，它涉及通过电子邮件发送错误发票。

在本文中，我们想阐明数据泄露领域的另一个有趣问题：如果事实证明错误地获取他人个人数据的人实际上拥有访问这些数据的合法权利，那么是否也会发生可报告的数据泄露？

以下假设情况可以达到此目的
一位业主协会（WEG）的公寓业主，因系统错误，被其管理委托的物业管理公司无意中发送了WEG另一位业主的声明。

在发现错误并确定这是一起孤立事件后，管理公司得出结论，这起事件中不可能存在“数据泄露”，因为根据 WEG 法律，每个业主都有权检查其他公寓业主的个人声明。如果有合法权利检查（错误）获取的文件，就不存在“数据泄露”的说法。

但这种评估正确吗？
“数据泄露”一词指的是各种各样的事件，其严重程度各不相同，对受事件影响的人员的权利和自由构成不同的风险。

当个人数据保护遭到违反时，就会发生数据泄露或数据保护事件（参见 GDPR 第 33（1）条）。根据第 14 条的法律定义，新西兰商业传真列表 GDPR 第 4 条第 12 款规定，这是“[…] 安全漏洞导致传输、存储或以其他方式处理的个人数据被意外或非法破坏、丢失、更改、未经授权披露或访问”。

根据该定义，所描述的事实构成了数据保护违规，因为与此处相关的第二类（保密性）相关的保护违规问题，涉及未经授权（而非非法）访问个人数据，必须特别基于技术和组织措施（参见 Taeger/Gabel/Arning/Rothkegel，GDPR，第 4 条第 368 款及以下；Ehmann/Selmayr，GDPR，第 4 条第 56 款；Kühling/Buchner/Jandt，GDPR，第 4 条第 12 款第 8 款）。这些旨在保护数据主体，特别是针对处理其个人数据可能产生的不利影响。在这种情况下，所使用的技术和组织安全措施的失败以及非故意性表明发生了数据保护事件。第三方发票的传输是由于系统错误而发生的，并不是为了履行检查发票的权利。

即使实际拥有合法的检查权也无法改变这种观点。虽然公寓业主确实有权根据公寓法检查其他业主的个人报表收据，但这一合法权利应该通过明确且合法的程序和流程来保障。无意传输数据不符合WEG法规定的检查要求。我们认为，该公司认为不可能发生任何数据保护事件的评估是不正确的。这构成了数据保护事件！

根据艺术。根据 GDPR 第 33 (1) 条规定，控制者通常必须向主管监督机构报告此事。仅 当事件不太可能对自然人的权利和自由造成风险时，才可以不予报告。因此，为了确定是否需要通知，必须根据具体案件的情况进行风险评估，不仅要考虑受影响的数据类型和数据主体的可识别性，而且最重要的是，还要考虑违规行为对该人可能造成的后果。

在这种情况下，自然人的权利和自由将面临风险，因此需要根据《条例》履行通知义务。 33（1） GDPR可以被否认。由于拥有合法的检查权，因此在这种情况下不会因其他所有者未经授权的访问而产生滥用的风险。数据主体不会受到任何物质或非物质损害的威胁，例如歧视、身份盗窃、财务损失、声誉损害或其他重大经济或社会不利。没有披露任何在没有发生该事件的情况下无法看到的信息。