Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Verstoß gegen Datenschutz

Datenschutzverletzung vs. Datenschutzverstoß

Die Wörter Datenschutzverletzung, Datenschutzverstoß und Datenschutzpanne werden meist synonym gebraucht, obwohl ein Unterschied zwischen diesen Begriffen besteht:

Datenschutzverstoß: Unter dem Begriff Datenschutzverstoß versteht man jeden Verstoß gegen die Datenschutzgrundverordnung. Unterschieden wird je nach Schwere des Verstoßes zwischen

  • Ordnungswidrigkeiten und
  • Straftaten.

Datenschutzverletzung: Eine Datenschutzverletzung liegt nur dann vor, wenn es dabei um eine „Verletzung des Schutzes personenbezogener Daten“ geht. Diese liegt im Sinne von Art. 33 DSGVO und Art 4 Nr. 12 DSGVO nur dann vor, wenn es sich um

  • eine Verletzung der Sicherheit handelt,
  • die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt,
  • die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Datenschutzpanne: Eine Datenschutzverletzung wird umgangssprachlich auch als Datenschutzpanne bezeichnet.

 

Wann liegt ein Verstoß gegen den Datenschutz vor?

Ein Verstoss gegen Datenschutz muss nicht unbedingt so etwas Großes wie ein Hackerangriff sein, sondern kann auch beispielsweise durch einen unverschlüsselten USB-Stick entstehen, der in der U-Bahn verloren wurde. Wichtig ist aber in jedem Fall, den Datenschutzverstoß innerhalb von 72 Stunden den zuständigen Aufsichtsbehörden zu melden, um den Schaden einzugrenzen. Es ist zudem sinnvoll, vorher noch Ihren internen bzw. externen Datenschutzbeauftragten mit einzubeziehen, der Ihnen bei der Einschätzung des Vorfalls und bei den weiteren Schritten behilflich sein wird. Bei dem Unterlassen einer Meldung kann ein Bußgeld in Millionenhöhe drohen (bis zu 20 Millionen Euro oder bis zu 4% des Jahresumsatzes). Außerdem ist der Imageschaden, den ein Unternehmen durch eine vertuschten Datenschutzverstoß erleidet, nicht zu unterschätzen.

Wichtig zu wissen: Sind Sie Auftragsverarbeiter und bei Ihnen ist gegen den Datenschutz verstoßen worden, muss sofort ab Bekanntwerden eine Meldung an den Verantwortlichen (= Auftraggeber) erfolgen. Dieser muss sich dann an die Aufsichtsbehörden wenden und Meldung machen. Der Auftragsverarbeiter hat hier also eine Mitwirkungspflicht und muss unverzüglich melden (Art. 33 II DSGVO).

 

Erste Hilfe bei Datenschutzverstößen

Wie haben Sie sich bei einer Datenschutzverletzung im Unternehmen zu verhalten? Wir haben einen Leitfaden zum Downloaden zusammengestellt, der Ihnen einen Überblick verschafft. Wichtig ist, dass auch alle Angestellten eines Unternehmens auf dieses Thema sensibilisiert werden, um im Notfall schnell und richtig reagieren zu können.

FAQ zum Thema Verstoß gegen Datenschutz

Eine Meldung an die Datenschutz-Aufsichtsbehörde muss erfolgen, sofern ein Verstoß gegen den Datenschutz festgestellt worden ist und diese voraussichtlich zu einem Risiko für die Rechte und Freiheiten eines Betroffenen führen kann. Die Meldepflicht nach Art. 33 DSGVO entsteht grundsätzlich bei jedem Verstoß gegen den Datenschutz. Keine Meldepflicht besteht hingegen, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Es ist also eine sogenannte Risikoabwägung vorzunehmen, ob ein geringes oder ein hohes Risiko für die betroffenen Personen durch den Datenschutzverstoß entstanden ist.

Beispiele für ein hohes Risiko:

  • Verlust eines unverschlüsselten US-Sticks durch Unternehmen mit Nutzerinformationen

  • Passwörter oder weitere sensiblen Daten Versand einer E-Mail an mehrere Kunden im offenen Verteiler

  • Versand von Gesundheitsdaten an falsche Patienten

Beispiele für ein geringes Risiko:

  • Verlust eines verschlüsselten Laptops, USB-Sticks oder Smartphones

  • Fehlversandter Brief, der aber ungeöffnet zurückkam

  • Unbefugter Zugriff Dritter auf Daten, die aber verschlüsselt sind

Gemäß Art. 33 DSGVO muss ein Verstoß gegen den Datenschutz innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.

Neben der Meldepflicht kann es nach Art. 34 DSGVO auch erforderlich werden, die betroffenen natürlichen Personen über die Datenpanne zu informieren und welche Folgen durch diese Datenpanne dem Betroffenen drohen. Die Vorschriften besagen, dass eine Benachrichtigung der Betroffenen nur erfolgen muss, wenn durch die Schutzverletzung ein besonders hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat.

Ein solches Risiko liegt vor allem bei besonderen Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO (z. B. Daten über den Gesundheitszustand, ethnische Herkunft) sowie bei personenbezogenen Daten über strafrechtliche Verurteilungen oder Authentifizierungsdaten, beispielsweise dem E-Mail-Postfach.

Bei Datenschutzpannen besteht eine Meldepflicht: Die Meldung hat gegenüber der jeweils zuständigen Aufsichtsbehörde des Bundeslands, in dem die Verletzung begangen worden ist, zu erfolgen. Für die Meldung von Datenschutzverstößen stellen die meisten Datenschutzbehörden entsprechende Online-Formulare zur Verfügung. Diese finden Sie auf der Webseite Ihrer zuständigen Aufsichtsbehörde.

Die Meldung an die Aufsichtsbehörde muss mindestens folgende Informationen enthalten (Art. 33 Abs. 3 DSGVO):

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten

  • Kategorien der Betroffenen und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze

  • Namen und die Kontaktdaten des Datenschutzbeauftragten, der vom Unternehmen bestellt wurde, oder einer sonstigen Anlaufstelle für weitere Informationen

  • Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten

  • Beschreibung ergriffener und vorgeschlagener Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und zur Abmilderung ihrer Folgen

Unterlässt der Verantwortliche eine gebotene Meldung an die Aufsichtsbehörde, kann dies als Verstoß nach Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße bis zu 10 Millionen Euro oder aber bis zu 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Als Verstoß des Verantwortlichen ist auch die unvollständige Meldung, eine unterlassene Teilmeldung und die fehlende oder unvollständige Dokumentation der Datenschutzverletzung zu werten.

Unterlässt der Verantwortliche die nach Art. 34 DSGVO gebotene Benachrichtigung des Betroffenen, kann die Aufsichtsbehörde den Verstoß gem. Art. 83 Abs. 4 lit. a DSGVO ebenfalls mit einer Geldbuße ahnden.

Ein Datenschutzverstoß kann aber auch einen immateriellen Schaden bedeuten. Ein nachhaltiger Vertrauensverlust und ein immenser Imageschaden gegenüber Kunden, Mitarbeitern und Geschäftspartnern können die Folge sein.

Daher zögern Sie nicht, sondern kontaktieren Sie uns sofort, nachdem Sie einen Datenschutzverstoß bei Ihnen im Unternehmen festgestellt haben!


Rufschädigung durch Datenpanne oder Datenschutzverstoß

Bei einer Datenschutzpanne, etwa infolge von Hackerangriffen oder eigenen Lücken im IT-Bereich, kommt es in Unternehmen zum Datenverlust oder auch zur unzulässigen Offenlegung von Daten. Hier sieht die DSGVO nach Art. 33  und Art. 34 DSGVO eine Informationspflicht sowohl gegenüber der Datenschutzbehörde als auch den Betroffenen vor. Die Informationspflicht betrifft sehr sensible personenbezogene Daten wie Gesundheitsdaten oder Kontodaten. Schwerwiegender als die Sanktionen, die die DSGVO vorsieht, können dabei Imageschäden und Rufschädigung sein, die ein Unternehmen durch Datenpannen erlebt.


EU-Bürger nehmen ihre Rechte im Datenschutz wahr

Die Anzahl an Beschwerden bezüglich Datenschutzverstößen ist in 2018 um enorm gestiegen. Durch die neue EU-DSGVO wurde das Bewusstsein der Bürger in der EU für ihre Rechte im Datenschutz gestärkt. Sie sind sich des Werts ihrer personenbezogenen Daten bewusst und sind bereit, mutmaßliche Verstöße zu melden.

Das wirkt sich unter anderem auf Unternehmen aus, wo eine Sensibilisierung der Mitarbeiter für das Thema Datenschutz stattgefunden hat. Die Anzahl der gemeldeten Datenschutzverletzungen vom Jahr 2017 auf das Jahr 2018 hat sich verfielfacht. Auch in den Betrieben scheinen die Relevanz und Brisanz des Themas Datenschutz also angekommen zu sein. Dabei wurde zwar noch keine Freiheitsstrafe verhängt, aber sehr wohl drastische von Unternehmen zu begleichenden Geldbußen.


Wir helfen Ihnen weiter

Sie benötigen Hilfe beim Thema Datenschutz oder haben Fragen zu Datenschutzverstößen?
Wir beraten Sie gerne unverbindlich zu unseren individuellen Datenschutzlösungen.


Weitere Themen, die Sie interessieren könnten

Aktuelle Beiträge zum Thema "Verstoß gegen Datenschutz"