Art. 4 Abs. 12 DS-GVO enthält die Definition zur "Verletzung des Schutzes personenbezogener Daten". Demzufolge liegt eine solche vor, wenn es zu einer Verletzung der Sicherheit, die
zur Vernichtung,
zum Verlust oder
zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder
zur unbefugten Offenlegung von beziehungsweise
zum unbefugten Zugang zu
personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, kommt.
Eine "Verletzung des Schutzes personenbezogener Daten" ist damit in mannigfaltigen Fällen denkbar. Zunächst natürlich immer in den Fällen, in denen "Unbefugte" auf für sie nicht bestimmte Daten zugreifen können. Dieses dürfte somit für alle Fälle gelten, in denen sich bspw. Hacker unberechtigt Zugang zu den Systemen verschaffen. Darüber hinaus dürften aber sogar schon die Fälle von der Regelung erfasst sein, in denen Mitarbeiter durch ein unzulängliches Rollen- und Berechtigungskonzept (unbefugt) Zugriff auf Daten erhalten, auf die sie eigentlich keinen Zugriff haben dürften.
Aufgrund der weitreichenden Definition von Art. 4 Abs. 12 DS-GVO dürfte ferner eine solche Verletzung auch schon dann vorliegen, wenn Befugte im Rahmen der Datenverarbeitung Daten verändern, vernichten, usw., obwohl eine rechtliche Grundlage wie z.B. ein Vertrag mit dem Betroffenen oder auch ein Gesetz eine Aufbewahrungspflicht der Originaldaten beim Verantwortlichen verlangen.