DSGVO - BDSG - TTDSG

b) Formale Anforderungen der Einwilligung
aa) Erteilung durch die betroffene Person

348

Weitere Voraussetzung für eine wirksame Einwilligungserklärung ist, dass sie von der betroffenen Person erteilt wird, also von der Person, auf die sich die zu verarbeitenden personenbezogenen Daten beziehen. Dies bedeutet jedoch nicht, dass die Einwilligung in jedem Fall von der betroffenen Person selbst abgegeben werden muss. So ist die Erteilung einer Einwilligung bei Vorliegen der entsprechenden Voraussetzungen durch gesetzliche Vertreter zulässig.673 Ebenso ist die Erteilung durch einen Boten zulässig.674 Zur Wirksamkeit einer durch einen (bevollmächtigten) Stellvertreter erteilten Einwilligung siehe ausführlich Art. 7 Rn. 14f.

bb) Unmissverständliche Erteilung der Einwilligung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung/Form der Einwilligung

349

Außerdem setzt Art. 4 Nr. 11 EU-DSGVO voraus, dass die Einwilligung unmissverständlich in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung erteilt wird, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (ausführlich zu dieser formalen Anforderung Art. 6 Rn. 42f., Art. 7 Rn. 29ff., siehe auch oben Rn. 295f.). Ob eine Einwilligung vorliegt, ist aus dem objektiven Empfängerhorizont zu beurteilen.675

350

Die Erklärung ist dabei an keine bestimmte Form gebunden und kann gem. ErwG 32 z.B. schriftlich, elektronisch oder mündlich ergehen.676 Eine eindeutige bestätigende Handlung liegt vor, wenn die betroffene Person durch eine bewusste/vorsätzliche aktive Handlung in eine bestimmte Datenverarbeitung eingewilligt hat.677 Mithin kann eine Einwilligung z.B. mittels Unterschrift unter einer papiergebundenen Einwilligungserklärung, Anklicken einer Schaltfläche oder Ankreuzen eines Kästchens erteilt werden.678 Schaltflächen sind dabei so zu bezeichnen, dass für die betroffene Person klar ersichtlich ist, dass bei ihrer Betätigung eine Einwilligung erteilt wird (z.B. „Zustimmen“, „Einverstanden“, Einwilligung erteilen“; nicht ausreichend: „OK“, „Verstanden“ oder „Weiter“).679

351

Eine ausdrückliche Einwilligung ist grundsätzlich nicht erforderlich.680 Vielmehr kann die betroffene Person auch durch konkludentes oder schlüssiges Verhalten in die Verarbeitung ihrer Daten einwilligen.681 In diesem Zusammenhang erscheint es – auch nach der Entscheidung des EuGH in Sachen „Planet49“ – nicht vollkommen ausgeschlossen, dass eine betroffene Person durch die aktive Weiternutzung einer Webseite eine Einwilligung erteilt (z.B. in die Verarbeitung personenbezogener Daten durch Cookies).682 Allerdings muss diesem Verhalten ein eindeutiges Erklärungsbewusstsein der betroffenen Person zu entnehmen sein, das einen Rückschluss auf den eindeutigen Willen des Erklärenden zulässt (siehe Art. 7 Rn. 33).683 Zudem müssen auch in diesem Fall die weiteren Anforderungen an eine wirksame Einwilligung gewahrt sein, insb. die Informiertheit, und der Verantwortliche muss die Einwilligung nach Art. 7 Abs. 1 DSGVO nachweisen können (siehe Art. 7 Rn. 33).684

352

Die Erteilung einer konkludenten Einwilligung ist allerdings ausnahmsweise ausgeschlossen, wenn die relevante Vorschrift (ausnahmsweise) eine ausdrückliche Einwilligung verlangt, so z.B. Art. 9 Abs. 2 lit. a (Verarbeitung besonderer Kategorien personenbezogener Daten), Art. 22 Abs. 2 lit. c (automatisierte Entscheidungen im Einzelfall) und Art. 49 Abs. 1 Satz 1 lit. a DSGVO (Übermittlung personenbezogener Daten in ein Drittland). Ebenso kann die Einwilligung nach hier vertretener Ansicht grundsätzlich auch zusammen mit anderen (z.B. schuldrechtlichen) Erklärungen durch eine einzige Handlung erteilt werden – vorausgesetzt, dass diese unmissverständlich ist.685

353

Eine Erteilung der Einwilligung durch Schweigen, bloßes Bestehenlassen eines angekreuzten Kästchens auf einer Webseite oder durch Untätigkeit ist hingegen gem. ErwG 32 Satz 3 nicht zulässig. Dies gilt ebenso für eine mutmaßliche Einwilligung.686 Somit liegt z.B. keine wirksame Einwilligung vor, wenn eine Datenverarbeitung mittels voreingestellter Ankreuzkästchen erlaubt wird, die die betroffene Person zur Verweigerung ihrer Einwilligung abwählen muss.687 Zum sogenannten „Nudging“ bzw. „Dark Patterns“ siehe die Ausführungen unter Rn. 318ff.688

354

Auf jeden Fall muss der Verantwortliche eine Form wählen, die es ihm ermöglicht, die Einwilligung gem. Art. 7 Abs. 1 DSGVO nachzuweisen.689

355

Des Weiteren ist es nach ErwG 32 Satz 2 auch möglich, eine Einwilligung durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft i.S.d. Art. 4 Nr. 25 DSGVO zu erteilen, also z.B. durch Browsereinstellungen. Allerdings erscheint es derzeit schwer vorstellbar, wie durch ein solches Verfahren die (anderen) Anforderungen an eine Einwilligung, insbesondere aus Art. 4 Nr. 11, Art. 6 Abs. 1 lit. a, Art. 7 und Art. 8 DSGVO, gewahrt werden sollen, vor allem im Hinblick auf die Bestimmtheit (siehe oben Rn. 325ff.) und die Informiertheit (siehe oben Rn. 335ff.). Ebenso müsste eine aktive Auswahl der technischen Einstellungen erfolgen – das bloße Bestehenlassen der Voreinstellungen ist hingegen nicht ausreichend.690 Allerdings ist für den in diesem Zusammenhang besonders praxisrelevanten Fall der Einwilligung in Cookies zu erwarten, dass die sich bei Redaktionsschluss dieser Auflage noch im Gesetzgebungsverfahren befindliche ePrivacy-Verordnung Sonderregelungen enthalten wird, die ggf. eine Erteilung solcher Einwilligungen durch Browsereinstellungen auch praktisch durchführbar machen. Für den Anwendungsbereich des TTDSG siehe in diesem Zusammenhang auch § 26 TTDSG.

356

Wird die Einwilligung elektronisch erteilt, verlangt ErwG 32 Satz 6, dass die Aufforderung hierzu in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgt. Der Wortlaut der Vorschrift legt nahe, dass diese (nur) solche Einwilligungen erfasst, mittels derer ein Einwilligender seine Zustimmung zu einer Datenverarbeitung gibt, die für die Erbringung des Dienstes erforderlich ist.691 Damit wäre die Regelung in der Praxis weitgehend gegenstandslos, da in diesen Fällen die Datenverarbeitung ganz regelmäßig auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden kann. Es erscheint daher sachgerecht, ErwG 32 Satz 6 teleologisch so auszulegen, dass er auch Einwilligungen erfasst, die Datenverarbeitungen zum Gegenstand haben, die für die Erbringung des Dienstes nicht erforderlich sind, was z.B. in der Regel bei Werbeeinwilligungen der Fall ist.692 Banner-Einblendungen auf einer Webseite mit der Aufforderung zur Abgabe einer Einwilligung (z.B. in die Datenverarbeitung durch Cookies) sind nach hier vertretener Ansicht mit ErwG 32 S. 6 DSGVO aber vereinbar, zumindest soweit dies einmalig beim Betreten der Webseite erfolgt.693 Selbst wenn man sich auf den Standpunkt stellt, dass die Einblendung eines solchen Banners den Dienst unterbrechen würde, wäre die Unterbrechung in diesem Fall nicht „unnötig“, zumindest solange eine Einwilligungserteilung durch Auswahl technischer Einstellungen/Browsereinstellungen noch nicht möglich ist bzw. von den Nutzern noch nicht akzeptiert wird und keine anderen Verfahren verfügbar sind, die den Dienst nicht/weniger stark unterbrechen.694

357

Zu den Anforderungen aus ErwG 43 Satz 2 und ErwG 32 Satz 4 und 5, z.B. zur Granularität der Einwilligung, siehe oben Rn. 309ff. Soweit die datenschutzrechtliche Einwilligung zusammen mit anderen Willenserklärungen abgegeben wird oder die betroffene Person mittels der Einwilligung der Verarbeitung ihrer Daten zu mehreren Zwecken (gebündelt) zustimmen soll, ist es erforderlich, dass sich die Willensbekundung (auch) auf die datenschutzrechtliche Einwilligung und auf sämtliche darin enthaltenen Verarbeitungszwecke erstreckt.695

358

Wird die Einwilligung im Rahmen von AGB erteilt, gelten besondere formale Anforderungen (siehe hierzu ausführlich Art. 7 Rn. 53ff.).

cc) Einwilligungsfähigkeit

359

Schließlich setzt Art. 4 Nr. 11 DSGVO zumindest indirekt noch voraus, dass die betroffene Person einwilligungsfähig ist. Dies ist sie, wenn sie einsichtsfähig ist.696 Auch Minderjährige, also Personen unter 18 Jahren, können daher wirksam in die Verarbeitung ihrer Daten einwilligen – vorausgesetzt, dass sie insoweit einsichtsfähig sind. Dies ist im jeweiligen Einzelfall zu prüfen (siehe ausführlich zur Einwilligungsfähigkeit Art. 6 Rn. 30f.). Etwas anderes gilt jedoch für den Fall, dass die Einwilligung im Rahmen eines Angebots von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, eingeholt wird. Hier gilt nach Art. 8 Abs. 1 Satz 1 DSGVO eine starre Altersgrenze von 16 Jahren (siehe ausführlich hierzu Art. 8 Rn. 3ff., 13ff.).697

c) Zeitpunkt und Wirksamkeitsdauer der Einwilligung

360

Die Einwilligung ist von der betroffenen Person vor Beginn der Datenverarbeitung zu erteilen, die durch die Einwilligung gerechtfertigt werden soll.

361

Die DSGVO gibt keine feste maximale Geltungsdauer einer Einwilligung vor.698 Insbesondere erlischt eine Einwilligungserklärung auch nicht automatisch durch Zeitablauf – vielmehr müssen sachliche Gründe dafür bestehen, dass eine Datenverarbeitung nicht mehr auf eine Einwilligung gestützt werden kann, z.B. dass der Verarbeitungszweck, für den die Einwilligung erteilt wurde, entfallen ist.699 Somit kann eine Einwilligungserklärung ggf. auch für die Dauer des gesamten Lebens der betroffenen Person wirksam sein. Allerdings empfiehlt der Europäische Datenschutzausschuss als „best practice“, die Einwilligung in angemessenen Zeitabständen „aufzufrischen“, damit die betroffene Person informiert bleibt.700

362

Etwas anderes gilt jedoch, wenn die Wirksamkeitsdauer in der Einwilligung zeitlich befristet wurde. Dann gilt die Einwilligung nur bis zu diesem Zeitpunkt. Ebenfalls ist eine neue Einwilligung einzuholen, wenn sich die Verarbeitungsvorgänge gegenüber der in der (ursprünglichen) Einwilligung beschriebenen erheblich ändern oder weiterentwickeln.701 So ist auch eine neue Einwilligung von der betroffenen Person einzuholen, wenn auf Basis einer Einwilligung verarbeitete personenbezogene Daten nun für einen anderen Zweck verarbeitet werden sollen, der von der (ursprünglichen) Einwilligung nicht erfasst wird und die Verarbeitung für diesen anderen Zweck nicht auf eine gesetzliche Erlaubnis gestützt werden kann.702 Abzulehnen ist die Verwirkung einer Einwilligung, bloß weil der Verantwortliche von ihr keinen Gebrauch macht, da dies eine nicht hinnehmbare Rechtsunsicherheit bedeuten würde, sich im Wortlaut der DSGVO kein Hinweis darauf findet, die Problematik durchaus bekannt war, ohne dass der Verordnungsgeber sie aufgegriffen hätte, und die betroffene Person insoweit nicht schutzbedürftig ist, da sie die Wirksamkeit der Einwilligung zu jeder Zeit selbst durch einen Widerruf aufheben kann.703

363

Aus Gründen der Rechtssicherheit könnte es jedoch überlegenswert sein, eine Gültigkeitsdauer in der Einwilligungserklärung mit anzugeben, wenn sich sicher voraussagen lässt, wie lange die Datenverarbeitung auf Grundlage der Einwilligung erfolgt. Sollte dies nicht möglich sein, ist die Aufnahme einer Formulierung wie z.B. „Meine Einwilligung gilt bis auf Widerruf, den ich jederzeit mit Wirkung für die Zukunft erklären kann“ zu erwägen.704

364

Im Übrigen kann der Einwilligende seine Einwilligung gem. Art. 7 Abs. 3 DSGVO jederzeit selbst mit Wirkung für die Zukunft widerrufen (siehe hierzu ausführlich Art. 7 Rn. 76ff.).

XIII. Verletzung des Schutzes personenbezogener Daten (Nr. 12)
1. Rechtlicher Hintergrund/Gesetzessystematischer Zusammenhang

365

Die Begriffsbestimmung von Art. 4 Nr. 12 DSGVO ist von maßgeblicher Bedeutung für die Meldepflichten nach Art. 33, 34 DSGVO. Insofern kann einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 DSGVO eine Meldepflicht des Verantwortlichen gegenüber der zuständigen Aufsichtsbehörde sowie nach Art. 34 DSGVO gegenüber den von der Verletzung betroffenen Personen auslösen.

2. Merkmale einer Verletzung des Schutzes personenbezogener Daten

366

Art. 4 Nr. 12 DSGVO definiert eine Verletzung des Schutzes personenbezogener Daten als „[...] eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

367

Nach Art. 70 Abs. 1 lit. g DSGVO kann der Europäische Datenschutzausschuss705 Leitlinien, Empfehlungen und bewährte Verfahren für die Feststellung von Verletzungen des Schutzes personenbezogener Daten bereitstellen.706

a) Verletzung der Sicherheit

368

Ausgangspunkt der Definition ist eine Verletzung der Sicherheit. Die Begriffsbestimmung nimmt insoweit Bezug auf Art. 32 DSGVO, welcher datenverarbeitende Stellen dazu verpflichtet, geeignete technische und organisatorische Datensicherheitsmaßnahmen zu ergreifen. Art. 32 Abs. 2 DSGVO greift insoweit den Wortlaut von Art. 4 Nr. 12 DSGVO auf und statuiert, dass hierbei insbesondere solche Risiken zu berücksichtigen sind, die infolge von „[...] Vernichtung, Verlust, Veränderung oder unbefugte[r] Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten [...]“ entstehen können.

369

Die Datensicherheit umfasst daher die technischen und organisatorischen Maßnahmen, die einen unberechtigten (nicht unrechtmäßigen)707 Umgang mit personenbezogenen Daten verhindern und zugleich die Integrität und Verfügbarkeit der Daten und die zu deren Verarbeitung eingesetzten technischen Einrichtungen erhalten sollen.708 Die Anforderungen an die Datensicherheit umschreiben dabei den technischen und organisatorischen Rahmen, in dem die Verarbeitung erfolgen darf.709 Aus diesem Grund ist bei der Bestimmung, ob eine Verletzung der Sicherheit und damit des Schutzes personenbezogener Daten vorliegt, auf die von dem Verantwortlichen oder Auftragsverarbeiter eingesetzten technischen und organisatorischen IT-Sicherheits- bzw. Datensicherheits-Maßnahmen nach Art. 32 DSGVO abzustellen.710 Eine Verletzung nach Art. 4 Nr. 12 DSGVO liegt demgemäß immer erst dann vor, wenn eine dieser Maßnahmen versagt hat, sei es technisch bedingt (z.B. beim Versagen der Firewall oder einem Fehler im Berechtigungskonzept) oder durch einen Verstoß der Mitarbeiter gegen IT-Sicherheitsbestimmungen oder Vorgaben des Verantwortlichen, die die Datensicherheit betreffen.711 Entsprechendes gilt, wenn die von der datenverarbeitenden Stelle ergriffenen Maßnahmen in Anbetracht der mit den Verarbeitungstätigkeiten verbundenen Risiken kein hinreichendes Schutzniveau etablieren und infolgedessen ein in Art. 4 Nr. 12 DSGVO vorgesehener Vorfall eintritt.

370

Demgegenüber erfüllt eine bloß unrechtmäßige Verarbeitung von personenbezogenen Daten (mithin in erster Linie, wenn für die jeweilige Datenverarbeitung kein entsprechender Erlaubnistatbestand i.S.v. Art. 6 bzw. 9 DSGVO vorliegt) für sich allein genommen nicht den Verletzungstatbestand des Art. 4 Nr. 12 DSGVO.712 Entsprechendes gilt für Verstöße durch Mitarbeiter gegen Anweisungen zum rechtmäßigen Umgang mit personenbezogenen Daten, etwa gegen Regelungen zur Zweckbestimmung, Speicherdauer, Transparenzanforderungen.713 Dies wird durch den Umstand unterstrichen, dass es ausweislich der Begriffsbestimmung des Art. 4 Nr. 12 DSGVO unerheblich ist, ob eine Verletzung im Sinne der Norm unrechtmäßig eintritt. Zu beachten ist, dass ein solcher Vorfall jedoch mit einer Verletzung i.S.v. Art. 4 Nr. 12 DSGVO zusammenfallen kann.

371

Nach dem Wortlaut der Definition kann sowohl unbeabsichtigtes (z.B. fahrlässiges Liegenlassen eines Datenträgers durch eigenen Mitarbeiter oder das nicht ordnungsgemäße Entsorgen von Unterlagen) als auch gezieltes Handeln (z.B. vorsätzliche Weitergaben an Dritte oder Hackerangriffe) eine Verletzung der Datensicherheit begründen.714 Ziel der Datensicherheit ist ein umfassender Schutz der personenbezogenen Daten, weshalb allein objektive Kriterien maßgeblich sind; ob jemand vorsätzlich oder schuldhaft handelt, ist dabei irrelevant.715

372

Von der Verletzung müssen personenbezogene Daten betroffen sein, „[...] die übermittelt, gespeichert oder auf sonstige Weise [i.S.v. Art. 4 Nr. 2 DSGVO] verarbeitet wurden“. Mit Blick auf sich möglicherweise anschließende Meldepflichten gemäß Art. 33, 34 DSGVO, muss es sich dabei um personenbezogene Daten handeln, für welche die datenverarbeitende Stelle als (gemeinsam) Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO (vgl. Art. 33 Abs. 1, Art. 34 Abs. 1 DSGVO) oder Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO (vgl. Art. 33 Abs. 2 DSGVO) agiert.716

b) Mögliche Verletzungserfolge

373

Art. 4 Nr. 12 DSGVO zählt abschließend die möglichen Verletzungserfolge auf, die sich grundlegend in zwei Kategorien unterteilen lassen: den Integritätsschutz und die unberechtigte Kenntnisnahme.717 Als mögliche Folgen einer solchen Verletzung kommen gemäß ErwG 85 DSGVO sowohl physische, materielle oder immaterielle Schäden der betroffenen Personen in Betracht.

aa) Integritätsschutz (Vernichtung, Verlust, Veränderung)

374

Unter den Integritätsschutz fallen die Vernichtung, der Verlust und die Veränderung von Daten. Bei der Vernichtung von Daten ist entscheidend, dass die Daten nicht mehr oder nur noch in einer Form vorhanden sind, die dem Verantwortlichen nicht von Nutzen ist.718 Die Vernichtung geht dabei regelmäßig mit der Zerstörung des Datenträgers einher, wobei die Beschaffenheit des Datenträgers (analog oder digital) keine Bedeutung hat.719

375

Ein Verlust hingegen liegt in Abgrenzung zur unwiderruflichen Vernichtung vor, sofern die Daten zwar noch existieren, der Verantwortliche aber jegliche Kontrolle oder Zugriff auf die Daten verloren hat.720 Beispielsweise handelt es sich um einen Verlust, wenn ein Gerät, welches eine Kopie der Kundendaten des Verantwortlichen enthält, verloren gegangen ist oder gestohlen wurde.721

376

Unter einer Veränderung von Daten ist jede inhaltliche Umgestaltung von gespeicherten Daten zu verstehen, wodurch sich der Informationsgehalt ändert.722

bb) Unbefugte Kenntnisnahme (Offenlegung, Zugang)

377

Auch bei der zweiten Kategorie, der unbefugten Kenntnisnahme in Form der Offenlegung oder des Zugangs, ist für die Feststellung einer Verletzung auf die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO abzustellen.723 Obwohl der Wortlaut „unberechtigt“ auf das Kriterium der Rechtmäßigkeit der Datenverarbeitung hindeutet, verbietet die Schutzrichtung der Datensicherheit den Begriff „unbefugt“ als „unrechtmäßig“ zu lesen. So liegt eine unbefugte Kenntnisnahme lediglich dann vor, sofern eine Person Daten (unter Verletzung von Maßnahmen i.S.v. Art. 32 DSGVO) zur Kenntnis nimmt bzw. nehmen könnte, obwohl sie nach dem Vorstellungsbild des jeweiligen Verantwortlichen diese Information nicht zur Kenntnis nehmen soll.724 Ob die Kenntnisnahme rechtmäßig war oder nicht, ist dabei unbeachtlich.

378

Eine Offenlegung liegt dabei vor, wenn die jeweils betroffenen personenbezogenen Daten einem Empfänger gemäß Art. 4 Nr. 9 DSGVO zur Kenntnis gelangen. Nach der hier vertretenen Ansicht handelt es sich dabei ausschließlich um Personen und Stellen außerhalb der Organisation des Verantwortlichen (bzw. des Auftragsverarbeiters725), da nur in solchen Fällen eine „Offenlegung“ von personenbezogenen Daten vorliegt.726 Das Tatbestandsmerkmal des Zugangs impliziert demgegenüber, dass auch interne Sachverhalte erfasst werden, mithin Fälle, in denen personenbezogene Daten Mitarbeitern zugänglich gemacht werden, obwohl diese nach dem Vorstellungsbild des Verantwortlichen hierauf keinen Zugriff haben sollten (etwa versehentliches Ablegen einer Datei in einem nicht zugangsbeschränkten Verzeichnis). Der Begriff „Zugang“ legt insoweit nicht nahe, dass es sich dabei um einen Zugriff von außerhalb des Verantwortlichen handeln muss. Für ein solches Verständnis spricht zudem, dass die beiden Verletzungserfolge der Offenlegung sowie des Zugangs insoweit in einem Alternativ- und nicht in einem Spezialitätsverhältnis („beziehungsweise“) stehen. Auch die Begriffsbestimmung der „Verarbeitung“ nach Art. 4 Nr. 2 DSGVO nennt den Zugang zu personenbezogenen Daten insoweit nicht als Unterfall der „Offenlegung“. Letztlich ist auch aus Wertungsgesichtspunkten nicht ersichtlich, warum rein interne Vorfälle bereits von der Begriffsbestimmung gemäß Art. 4 Nr. 12 DSGVO ausgenommen werden sollten. Insofern können auch solche Sachverhalte zu erheblichen Risiken für die Betroffenen führen, etwa wenn Gesundheitsdaten oder andere sensible Daten in einem Unternehmen allgemein zugänglich aufbewahrt werden. Es erscheint daher eher angemessen, interne, gleichwohl unkritische Vorfälle im Rahmen der in Art. 33 bzw. 34 DSGVO vorzunehmenden Risikoanalyse entsprechend zu würdigen.

379

Der Zweiklang zwischen unbefugter Offenlegung und unbefugtem Zugang stellt zudem klar, dass eine unbefugte Kenntnisnahme im Sinne der Norm sowohl durch die tatsächliche Einsichtnahme als auch die bloße mögliche Abrufbarkeit der von der verantwortlichen Stelle bereitgehaltenen Daten erfolgen kann, ohne dass die jeweiligen Daten auch tatsächlich abgerufen worden sein müssen.727 Dies wird insoweit durch die Definition der „Verarbeitung“ gemäß Art. 4 Nr. 2 DSGVO unterstrichen, die statuiert, dass sich eine Offenlegung von personenbezogenen Daten als „[...] Übermittlung, Verbreitung oder eine andere Form der Bereitstellung [...]“ manifestieren kann. Die Differenzierung zwischen „Übermittlung und Verbreitung“ auf der einen Seite und „andere Form der Bereitstellung“ auf der anderen Seite legt insoweit nahe, dass sich erstere Bestimmung auf einen tatsächlichen Transfer von Informationen bezieht, während es für letztere Konstellation genügt, dass die datenverarbeitende Stelle den potenziellen Zugang zu personenbezogenen Daten ermöglicht.