Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Datenschutzverletzung

Was ist eine Datenschutzverletzung?

Umgangssprachlich wird eine Datenschutzverletzung auch „Datenpanne“ genannt. Die Datenschutzgrundverordnung (DSGVO) definiert eine Datenschutzverletzung als „Verletzung des Schutzes personenbezogener Daten“. Diese liegt vor, wenn es sich um

  • „eine Verletzung der Sicherheit,
  • die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt,
  • die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“

handelt (Art. 33 DSGVO und Art 4 Nr. 12 DSGVO).

Beispiele einer Datenschutzverletzung

  • Gerät/ mobile Datenträger (Handy, USB-Stick etc.) verloren / gestohlen
  • Unterlagen verloren, gestohlen oder an einem unsicheren Platz gelagert
  • Versand von personenbezogenen Daten per E-Mail ohne angemessene Sicherheitsmaßnahmen (z. B. Verschlüsselung); für Mailserver von Unternehmen ist eine Transportverschlüsselung (z. B. STARTTLS oder Perfect Forward Secrecy) obligatorisch
  • Postsendung verloren oder versehentlich geöffnet
  • Hackerangriff, Schadsoftware, Phishing
  • Nicht datenschutzgerechte Entsorgung von Materialien (z. B. Akten, Bild- oder Tonträger) oder von Geräten (z. B. Festplatten)
  • Personenbezogene Daten an falsche Empfänger gesendet
  • Versand von E-Mail mit offenem Verteilerkreis
Vorlage Datenschutzverletzung

Download: Leitfaden

Wie muss ich mich bei einer Datenschutzverletzung im Unternehmen verhalten?

3 Fakten zur Datenschutzverletzung

  1. Enorme Imageschaden, hohe Bußgelder oder gar Schadensersatz – bei Datenschutzverletzungen drohen Unternehmen enorme Sanktionen.

  2. Die DSGVO sieht bei einer Datenschutzverletzung Bußgelder bis zu 20 Millionen Euro oder aber bis zu 4 Prozent des weltweiten Jahresumsatzes vor.

  3. Unter gewissen Umständen besteht eine Meldepflicht von Datenschutzverstößen bei der zuständigen Aufsichtsbehörde.

Wir beantworten Ihre Fragen zu Datenschutzverletzungen

Eine Meldung an die Datenschutz-Aufsichtsbehörde muss erfolgen, sofern eine Datenschutzverletzung festgestellt worden ist und diese voraussichtlich zu einem Risiko für die Rechte und Freiheiten eines Betroffenen führen kann. Die Meldepflicht nach Art. 33 DSGVO entsteht grundsätzlich bei jeder Datenschutzverletzung. Keine Meldepflicht besteht hingegen, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Es ist also eine sogenannte Risikoabwägung vorzunehmen, ob ein geringes oder ein hohes Risiko für die betroffenen Personen durch die Datenschutzverletzung entstanden ist.

Beispiele für ein hohes Risiko:

  • Verlust eines unverschlüsselten US-Sticks durch Unternehmen mit Nutzerinformationen

  • Passwörter oder weitere sensiblen Daten Versand einer E-Mail an mehrere Kunden im offenen Verteiler

  • Versand von Gesundheitsdaten an falsche Patienten

Beispiele für ein geringes Risiko:

  • Verlust eines verschlüsselten Laptops, USB-Sticks oder Smartphones

  • Fehlversandter Brief, der aber ungeöffnet zurückkam

  • Unbefugter Zugriff Dritter auf Daten, die aber verschlüsselt sind

Gemäß Art. 33 DSGVO muss eine Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.

Neben der Meldepflicht kann es nach Art. 34 DSGVO auch erforderlich werden, die betroffenen natürlichen Personen über die Datenpanne zu informieren und welche Folgen durch diese Datenpanne dem Betroffenen drohen. Eine Benachrichtigung der Betroffenen muss nur erfolgen, wenn durch die Schutzverletzung ein besonders hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat.

Ein solches Risiko liegt vor allem bei besonderen Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO (z. B. Daten über den Gesundheitszustand, ethnische Herkunft) sowie bei personenbezogenen Daten über strafrechtliche Verurteilungen oder Authentifizierungsdaten zu E-Mail-Postfach oder Online-Banking.

Die Meldung hat gegenüber der jeweils zuständigen Aufsichtsbehörde, also in dem Bundesland wo die Verletzung begangen worden ist, zu erfolgen. Für die Meldung von Datenschutzverstößen stellen die meisten Datenschutzbehörden entsprechende Online-Formulare zur Verfügung. Diese finden Sie auf der Webseite Ihrer zuständigen Aufsichtsbehörde.

Die Meldung an die Aufsichtsbehörde muss mindestens folgende Informationen enthalten (Art. 33 Abs. 3 DSGVO):

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten

  • Kategorien der Betroffenen und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze

  • Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen

  • Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten

  • Beschreibung ergriffener und vorgeschlagener Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und zur Abmilderung ihrer Folgen

Unterlässt der Verantwortliche eine gebotene Meldung an die Aufsichtsbehörde, kann dies als Verstoß nach Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße bis zu 10 Millionen Euro oder aber bis zu 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Als Verstoß des Verantwortlichen ist auch die unvollständige Meldung, eine unterlassene Teilmeldung und die fehlende oder unvollständige Dokumentation der Datenschutzverletzung zu werten.

Unterlässt der Verantwortliche die nach Art. 34 DSGVO gebotene Benachrichtigung des Betroffenen, kann die Aufsichtsbehörde den Verstoß gem. Art. 83 Abs. 4 lit. a DSGVO ebenfalls mit einer Geldbuße ahnden.

Eine Datenschutzverletzung kann aber auch einen immateriellen Schaden bedeuten. Ein nachhaltiger Vertrauensverlust und ein immenser Imageschaden gegenüber Kunden, Mitarbeitern und Geschäftspartnern können die Folge sein.

Daher zögern Sie nicht, sondern kontaktieren Sie uns sofort, nachdem Sie eine Datenschutzverletzung bei Ihnen im Unternehmen festgestellt haben!

Rufschädigung durch Datenpanne oder Datenschutzverletzung

Bei einer Datenschutzpanne, etwa infolge von Hackerangriffen oder eigenen Lücken im IT-Bereich, kommt es in Unternehmen zum Datenverlust oder auch zur unzulässigen Offenlegung von Daten. Hier sieht die DSGVO nach Art. 33  und Art. 34 DSGVO eine Informationspflicht sowohl gegenüber der Datenschutzbehörde als auch den Betroffenen vor. Die Informationspflicht betrifft sehr sensible personenbezogene Daten wie Gesundheitsdaten oder Kontodaten. Schwerwiegender als die Sanktionen, die die DSGVO vorsieht, können dabei Imageschäden und Rufschädigung sein, die ein Unternehmen durch Datenpannen erlebt.


EU-Bürger nehmen ihre Rechte im Datenschutz wahr

Die Anzahl an Beschwerden bezüglich Datenschutzverstößen ist in 2018 um 160 % gestiegen. Durch die neue EU-DSGVO wurde das Bewusstsein der Bürger in der EU für ihre Rechte im Datenschutz gestärkt. Sie sind sich des Werts ihrer personenbezogenen Daten bewusst und sind bereit, mutmaßliche Verstöße zu melden.

Das wirkt sich unter anderem auf Unternehmen aus, wo eine Sensibilisierung der Mitarbeiter für das Thema Datenschutz stattgefunden hat. Die Anzahl der gemeldeten Datenschutzverletzungen vom Jahr 2017 auf das Jahr 2018 hat sich ver-18-facht. Auch in den Betrieben scheinen die Relevanz und Brisanz des Themas Datenschutz also angekommen zu sein.


Kontrolle durch die Aufsichtsbehörden

Mit Inkrafttreten der DSGVO wurden alle europäischen Unternehmen zur Einhaltung des Datenschutzes verpflichtet. Bereits kleine Datenpannen können schwerwiegende Folgen für Unternehmen haben und ziehen Sanktionen und Bußgelder nach sich. Doch wer kontrolliert die ordnungsgemäße Umsetzung der DSGVO? Wir haben die wichtigsten Informationen zu den einzelnen Datenschutz-Aufsichtsbehörden für Sie zusammengefasst.


Weitere Themen, die Sie interessieren könnten

Aktuelle Beiträge zum Thema "Verstoß gegen Datenschutz"