Die Meldung geschieht nicht der Meldung wegen. Eine Meldung an DS oder Security sollte eigentlich zu genau den Sicherheitsmaßnahmen führen, die künftige Meldungen verhindern. Wird das Abhandenkommen von Daten erst nach einer Analyse bekannt, kann schlechterdings eine Meldung vor der Analyse gemacht werden, denn die Verletzung ist zu diesem Zeitpunkt ebenfalls unbekannt. Hier kann man im Nachhinein den Angriffsvektor versuchen nachzuvollziehen, um auf die Ursache schließen und sie künftig ausschließen zu können. Das scheint mir der Sinn hinter Art.33 Abs.2 lit.d zu sein. Wenn dies zur automatisierten Erkennung und Benachrichtigung heruntergeladener Schadsoftware führt, dann sind wir bei einem Prozess, der die Überprüfung von Sicherheitsmaßnahmen anstößt.
Aus meinder Sicht gibt es keinen Unterschied zwischen den Daten des Users und möglichen weiteren Daten. Die Definition der Verletzung des Schutzes personenbezogener Daten in Art.4 Nr.12 lautet:
eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden
Der Verletzung ist gleichgültig, ob ein oder mehrere User betroffen sind. Es geht vor allem um die Wirksamkeit des Angriffs auf die Daten.
In einer bloßen Infizierung sehe ich noch keine Verletzung, weil diese zwar unrechtmäßig sein kann, aber erst weitere Aktivitäten einer Schadsoftware zu Vernichtung, Verlust etc. führen (zB das Ausführen heruntergeladener Inhalte; Nachladen von Code, der anschließend verschlüsselt oder Daten ausleitet). Erst in dieser Aktivität sehe ich die oben zitierte, meldungspflichtige Verletzung. Denn wird diese durch Sicherheitsmaßnahmen unterbunden (zB durch Deaktivierung von Macros), dann liegt die Software einfach nur herum und kann keine solche Verletzung verursachen. Betroffen sind hier die Systeme des Verantwortlichen, der meldepflichtig ist.
Beim “normalen” Phishing wird der User aber auf eine Website gelockt und gibt dort seine Daten preis. Zu diesem Zeitpunkt ist der Verantwortliche noch nicht involviert. Für ihn hat es erst Konsequenzen, wenn die Daten den Zugang zu seinen Systemen und in der Folge eine Verletzung ermöglichen. Die oben genannte Aktivität wäre hier das Eindringen mit den erbeuteten Zugangsdaten. Nicht aber der Versuch, denn dieser führt bei ausreichenden Sicherheitsmaßnahmen (zB 2FA), ähnlich wie die herumliegende Software, noch nicht zum Ziel (Verletzung). Aber es ist möglich, dass dies von anderen analog des Strafrechts (§202c) gesehen wird.