Ob Daten von Kunden oder Mitarbeitern - personenbezogene Daten werden in jedem Unternehmen erfasst. Ein verantwortlicher Umgang mit diesen Daten bedeutet, die Regelungen der DSGVO einzuhalten und gewissenhaft im Unternehmen umzusetzen. Ein Verstoß gegen den Schutz kann unangenehme Folgen mit sich bringen. Wir klären auf, wann eine Verletzung des Schutzes personenbezogener Daten vorliegt und welche Pflichten mit solch einem Ereignis einhergehen. Noch dazu zeigen wir Ihnen anhand verschiedener Beispiel die rechtlichen Auswirkungen auf und wie Sie diese minimieren.
Der Schutz von personenbezogenen Daten - was versteht man darunter?
Unter personenbezogenen Daten verstehen sich laut Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das sind zum Beispiel der Name, E-Mail-Adresse oder der genaue Wohnort. Aber auch Gesundheitsdaten oder Kontoverbindungen sind sensible Informationen. Vorschlag: Um zu verhindern, dass Unbefugte an diese Daten herankommen und sie missbrauchen, ist seit Mai 2018 die DSGVO in Kraft. Als unmittelbar geltendes Recht ist sie in allen Mitgliedsstaaten der EU und damit auch in Deutschland und dem Europäischen Wirtschaftsraum anzuwenden. Sie regelt die Erfassung, Speicherung und Verarbeitung von personenbezogenen Daten.
Eine Verordnung zum Schutz personenbezogener Daten gibt einen gewissen Rahmen vor, in dem die Datenverarbeitung in einem Unternehmen durchgeführt werden kann. Die Datenschutz-Grundverordnung ist geprägt von verschiedenen Grundprinzipien, die sich mitunter in Art. 5 DSGVO wiederfinden. Danach sind insbesondere stets technische und organisatorische Maßnahmen zu ergreifen, die unter anderem die Vertraulichkeit und Integrität personenbezogener Daten gewährleisten. Bei einer Verletzung des Schutzes personenbezogener Daten wird stets einer dieser Grundsätze nicht eingehalten.
Folgen der Verletzung des Schutzes personenbezogener Daten
Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, hängen die genauen Folgen von der Schwere des Ereignisses ab. In erster Linie ist dabei das Risiko ausschlaggebend, welches sich ergibt aus der möglichen Eintrittswahrscheinlichkeit und Schadenshöhe für die Rechte und Freiheiten der betroffenen Personen. Eine Verletzung des Datenschutzes wird klassifiziert in kein, geringes, sowie in ein mittleres und ein hohes Risiko für die Betroffenen. Je nach Schwere sind an das Unternehmen interne Dokumentationspflichten, Meldepflichten oder auch Benachrichtigungspflichten gegenüber den betroffenen Personen zu erfüllen.
In Art. 33 DSGVO werden die Pflichten bei Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde festgelegt. In Art. 33 Abs. 1 DSGVO heißt es, dass unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde zu melden ist - vorausgesetzt, es ist ein gewisses Risiko mit dem Datenschutzverstoß verbunden. Weiterhin wird in Art. 33 Abs. 3 DSGVO Genaueres über das Meldeverfahren definiert. Was für jeden datenschutzkritischen Sachverhalt gilt, ist laut Art. 33 Abs. 5 DSGVO eine interne Dokumentationspflicht des jeweiligen Vorfalls.
Wie sehen derartige Verletzungen aus und wie können Sie in der Praxis darauf reagieren?
Damit Sie nicht selbst die Erfahrung machen müssen, wann in Ihrem Unternehmen ein Verstoß gegen den Datenschutz vorliegt, haben wir für Sie einige Praxisbeispiele zusammengestellt. Die folgenden Szenarien unterscheiden sich in erster Linie im Risiko, was die Schwere der Datenschutzverletzung betrifft:
Beispiel 1 - geringes Risiko: Ihr Firmen-Laptop wurde entwendet, auf dem sensible personenbezogene Daten hinterlegt sind. Die Daten wurden verschlüsselt gespeichert und liegen extern als Backup vor. Voraussichtlich kann ein Außenstehender trotz Zugang zum Laptop nicht auf die personenbezogenen Daten zugreifen. In diesem Falle ist die Wahrscheinlichkeit für einen Missbrauch höchst unwahrscheinlich und das Risiko demnach gering. Solch einen Fall müssen Sie lediglich intern dokumentieren. Ergreifen Sie darüber hinaus entsprechende Gegenmaßnahmen, damit zukünftig ein solches Ereignis nicht erneut eintritt.
Beispiel 2 - mittleres Risiko: In Ihrer Firma arbeiten Sie mit verschiedenen Marketing-Dienstleistern zusammen. Diese erhalten über einen Link Zugriff zur Cloud-Datenbank, in der eine Liste an personenbezogenen Daten wie Name und E-Mail-Adressen Ihrer Newsletter-Abonnenten gespeichert sind. Durch einen Fehler in den Freigabeeinstellungen kann nun jeder, der den Link hat, auf diese Daten zugreifen. Sie wissen nicht, inwiefern die Links durch eigene Mitarbeiter oder die des Dienstleisters weitergeben wurden und an wen. Auch wissen Sie nicht, ob unbefugt Kopien angefertigt wurden. Hierbei ist davon auszugehen, dass der Schutz von Namen und E-Mail-Adressen verletzt wurde. Bei Bekanntwerden dieser Sicherheitslücke ist die Aufsichtsbehörde innerhalb von 72 Stunden zu informieren und der Vorfall intern zu dokumentieren. Das Risiko für die betroffenen Personen ist als mittelmäßig einzuschätzen, weshalb diese nicht informiert werden müssen.
Beispiel 3 - hohes Risiko: Die Datenbank über Ihre Mitarbeiter wurde gehackt und alle Informationen sind den Angreifern nun frei zugänglich. Nicht nur Daten wie Namen und Adressen wurden offengelegt, sondern auch persönliche Kontodaten. Diese gehören zu den sensiblen Daten, durch welche ein besonderes Risiko für die Betroffenen hervorgeht, wenn diese in unbefugte Hände geraten. Bei solch einem Ereignis müssen Sie auch hier den internen Dokumentationspflichten nachkommen. Noch dazu müssen Sie der Meldepflicht unverzüglich, jedoch spätestens in den nächsten 72 Stunden nachkommen und die Datenschutzverletzung gegenüber den Betroffenen gem. Art. 34 Abs. 1 DSGVO bekannt geben.
Das Risiko aus dem Beispiel 3 lässt sich mit einer effektiven Vorsorge stark minimieren. Diese liegt beispielsweise in der verschlüsselten Speicherung der Daten. Können selbst bei einem Hackerangriff die Daten nicht entziffert werden, ist das Risiko nicht mehr als hoch, sondern als gering oder kaum vorhanden einzustufen. Ihnen bleiben die Meldungen an die Aufsichtsbehörden und Ihrer Mitarbeiter erspart und damit einiges an Aufruhr und mitunter Vertrauensverlusten.
Sehen Sie in Ihrem Unternehmen einen Vorfall, der mit einer Verletzung des Datenschutzes einhergeht? Gehen Sie ohne lange zu überlegen der internen Dokumentationspflicht nach. Führen Sie zusätzlich und unmittelbar eine Risikobewertung durch. Entscheiden Sie anhand Ihrer Ergebnisse, ob Sie das Ereignis an die entsprechende Datenschutzbehörde mitteilen und auch die betroffenen Personen informieren müssen. Um rechtlich auf der sicheren Seite zu sein, egal, welches Risiko am Ende des Tages durch Sie ermittelt wird, sollte die Bewertung innerhalb von 72 Stunden erledigt sein.
Datenschutz in Ihrem Unternehmen hat nicht nur mit konkreten Compliance-Regeln zu tun. Auch geeignete technische und organisatorische Schutzmaßnahmen beugen Sicherheitslücken und einer möglichen Verletzung des Schutzes personenbezogener Daten in Ihrer Firma vor. Werden Sie jetzt aktiv und nutzen Sie unsere persönliche Beratung und unser Know-how, um personenbezogene Daten effektiv zu schützen.
Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 08.04.2022