Datenschutzpannen im Unternehmen

Die eine oder andere Datenschutzpanne scheint an der Tagesordnung zu sein. Auch große Unternehmen und „global Player“ sind in regelmäßigen Zeitabständen immer wieder einmal Opfer von kriminellen Attacken oder ihrer eigenen internen Sorglosigkeit im IT-Bereich. Datenverlust ist die Folge. Gehen ganz bestimmte personenbezogene Daten in einem solchen Fall verloren, müssen sowohl Behörden als auch Betroffene informiert werden. Die neue EU-Datenschutzgrundverordnung erweitert seit dem 25. -Mai 2018 diese Informationspflichten noch einmal wesentlich.

Die EU-Datenschutzgrundverordnung verzichtet auf eine Aufzählung der Daten, deren Verlust eine Benachrichtigungspflicht auslöst. Insofern muss man zunächst davon ausgehen, dass grundsätzlich jeder Datenverlust personenbezogener Daten meldepflichtig ist. Es bleibt zwar abzuwarten, wie dieses Thema in der Praxis tatsächlich umgesetzt wird. Jedoch kann man von einer Erweiterung der Verpflichtung sprechen. Unter Umständen ist diese Regelung de facto sogar eindeutiger für die Unternehmen gefasst, weil etwa nicht mehr geprüft und bewertet werden muss, ob verlorene personenbezogene Daten möglicherweise besonders sensible Daten sind. Betrachtet man die technischen Möglichkeiten, die heute bei der Verknüpfung und In-Beziehung-Setzung von personenbezogenen Daten bestehen, ist jeder Verlust von personenbezogenen Daten durchaus relevant.

Die Information an die genannten Stellen muss auch nach der EU-Datenschutzgrundverordnung unverzüglich erfolgen. Die neuen Regelungen konkretisieren den Zeitraum für die Meldung auf 72 Stunden. Den Inhalt der Meldung verändert die neue Verordnung dagegen nicht: Weiterhin müssen Unternehmen den Betroffenen mögliche Maßnahmen empfehlen, die den Schaden durch den Datenverlust begrenzen helfen. Typisches Beispiel ist hier die Aufforderung, Passwörter und andere Zugangsdaten zu ändern. Bei der Datenschutzbehörde muss dargelegt werden, wie und mit welchen konkreten Maßnahmen man künftig eine ähnliche Datenschutzpanne vermeiden wird.

Weiterhin besteht die Informationspflicht auch verschuldensunabhängig, das heißt, auch wenn das Unternehmen den Datenverlust nicht verschuldet hat, müssen die entsprechenden Meldungen erfolgen.

Auch nach der jetzigen Rechtslage dürfen Unternehmen die Informationspflicht bei einer Datenschutzpanne nicht zu leicht nehmen. Versäumnisse bei der Meldung sind auch jetzt bereits bußgeldbewehrt. Außerdem drohen Schadensersatzforderungen der nicht oder schlecht informierten Betroffenen, den wegen der fehlenden Information Folgeschäden entstehen. Die EU-Datenschutzgrundverordnung verschärft die drohenden Sanktionen, weil sie den Rahmen der Bußgelder stark erhöht. Bis zu 10 Millionen Euro oder 2 % des gesamten weltweiten Umsatzes können bei Verstößen gegen die Regelungen der neuen Verordnung verhängt werden. Darüber hinaus werden die Organe von Unternehmen mit drohenden Sanktionen stärker in eine persönliche Verantwortung eingebunden.

Auch bei größten Anstrengungen lässt sich manche Datenschutzpanne nicht vollständig verhindern.
Jedoch kann das Unternehmen größeren Schaden im Bereich der rechtlichen Sanktionen und weitere kostenträchtige Folgen vermeiden, wenn es entsprechende Routinen angepasst an die gesetzlichen Vorgaben der EU-Datenschutzgrundverordnung geschaffen hat. Eine gute Gelegenheit, die bisherige Organisationsstruktur in diesem Bereich auf den Prüfstand zu stellen und zu verbessern. Dabei können externe Experten helfen.