Eine Datenschutzverletzung muss nicht unbedingt so etwas Großes wie ein Hackerangriff sein, sondern kann auch beispielsweise durch einen unverschlüsselten USB-Stick entstehen, der in der U-Bahn verloren wurde. Wichtig ist aber in jedem Fall, die Datenschutzverletzung innerhalb von 72 Stunden den zuständigen Aufsichtsbehörden zu melden, um den Schaden einzugrenzen, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die betroffenen Personen.
Die Prüfung und Prognose des Risikos für die Betroffenen muss unverzüglich erfolgen, um die Frist zur Meldung einhalten zu können. Führt die Datenschutzverletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen, muss der Verantwortliche sie nach Art. 34 DSGVO unverzüglich informieren. Es ist daher sinnvoll, Ihren internen bzw. externen Datenschutzbeauftragten mit einzubeziehen, der Ihnen bei der Einschätzung des Vorfalls und bei den weiteren Schritten behilflich sein wird.
Wichtig: Sind Sie Auftragsverarbeiter und ist bei Ihnen eine Datenschutzverletzung eingetreten, muss sofort ab Bekanntwerden eine Meldung an den Verantwortlichen (= Auftraggeber) erfolgen. Dieser muss sich dann an die Aufsichtsbehörden wenden und Meldung machen. Der Auftragsverarbeiter hat hier also eine Mitwirkungspflicht und muss unverzüglich melden (Art. 33 Abs. 2 DSGVO).
Halten Verantwortliche die Vorgaben der DSGVO nicht ein, liegt ein Datenschutzverstoß vor. Liegt darin nicht zugleich eine Datenschutzverletzung, bestehen keine Pflichten zur Meldung gegenüber der zuständigen Aufsichtsbehörde und auch keine Pflicht zur Benachrichtigung der betroffenen Personen. Dennoch drohen für Verstöße empfindliche Sanktionen bis hin zu Bußgeldern.
Datenschutzvorfall: Strafe in Millionenhöhe
Bei dem Unterlassen einer Meldung kann ein Bußgeld in Millionenhöhe drohen (bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes). Außerdem ist der Imageschaden, den ein Unternehmen durch eine vertuschte Datenschutzverletzung erleidet, nicht zu unterschätzen.
Auch bei einer Datenschutzverletzung bei öffentlichen Stellen bestehen die Pflichten nach Art. 33 und 34 DSGVO. Daher müssen Unternehmen, die für staatliche Stellen als Auftragsverarbeiter tätig sind, ihre Auftragnehmer ebenfalls unverzüglich informieren. Auch wenn Aufsichtsbehörden Bußgelder gegen öffentliche Stellen bislang selten verhängt haben, kann ein Verstoß des Auftragsverarbeiters gegen seine Pflicht nach Art. 33 Abs. 2 DSGVO ein Bußgeld nach sich ziehen.
Verstoß gegen Datenschutz: Beispiele
Ein Verstoß gegen die DSGVO liegt zum Beispiel vor, wenn
- Unternehmen keinen Datenschutzbeauftragten haben
- personenbezogene Daten durch ein Datenleck im Unternehmen oder über ehemalige Angestellte (Datenschutz-Missbrauch) in falsche Hände geraten
- die Datenschutzerklärung eines Unternehmens fehlerhaft ist