Die Wörter Datenschutzverletzung, Datenschutzverstoß und Datenschutzpanne werden meist synonym gebraucht, obwohl ein Unterschied zwischen diesen Begriffen besteht:
Datenschutzverstoß: Unter dem Begriff Datenschutzverstoß versteht man jeden Verstoß gegen die DSGVO. Unterschieden wird je nach Schwere des Verstoßes zwischen
Datenschutzverletzung: Eine Datenschutzverletzung liegt nur dann vor, wenn es dabei um eine „Verletzung des Schutzes personenbezogener Daten“ geht. Diese liegt im Sinne von Art. 33 DSGVO und Art 4 Nr. 12 DSGVO nur dann vor, wenn es sich um
Datenschutzpanne: Eine Datenschutzverletzung wird umgangssprachlich auch als Datenschutzpanne bezeichnet.
Sie benötigen Hilfe beim Thema Datenschutz oder haben Fragen zu Datenschutzverstößen?
Wir beraten Sie gerne unverbindlich zu unseren individuellen Datenschutzlösungen.
Eine Datenschutzverletzung muss nicht unbedingt so etwas Großes wie ein Hackerangriff sein, sondern kann auch beispielsweise durch einen unverschlüsselten USB-Stick entstehen, der in der U-Bahn verloren wurde. Wichtig ist aber in jedem Fall, die Datenschutzverletzung innerhalb von 72 Stunden den zuständigen Aufsichtsbehörden zu melden, um den Schaden einzugrenzen. Es ist zudem sinnvoll, vorher noch Ihren internen bzw. externen Datenschutzbeauftragten mit einzubeziehen, der Ihnen bei der Einschätzung des Vorfalls und bei den weiteren Schritten behilflich sein wird. Bei dem Unterlassen einer Meldung kann ein Bußgeld in Millionenhöhe drohen (bis zu 20 Millionen Euro oder bis zu 4% des Jahresumsatzes). Außerdem ist der Imageschaden, den ein Unternehmen durch eine vertuschte Datenschutzverletzung erleidet, nicht zu unterschätzen.
Wichtig zu wissen: Sind Sie Auftragsverarbeiter und bei Ihnen ist gegen den Datenschutz verstoßen worden, muss sofort ab Bekanntwerden eine Meldung an den Verantwortlichen (= Auftraggeber) erfolgen. Dieser muss sich dann an die Aufsichtsbehörden wenden und Meldung machen. Der Auftragsverarbeiter hat hier also eine Mitwirkungspflicht und muss unverzüglich melden (Art. 33 II DSGVO).
Wie haben Sie sich bei einer Datenschutzverletzung im Unternehmen zu verhalten? Wir haben eine Checkliste zum Download zusammengestellt, die Ihnen einen Überblick verschafft. Wichtig ist, dass auch alle Angestellten eines Unternehmens auf dieses Thema sensibilisiert werden, um im Notfall schnell und richtig reagieren zu können.
Wann muss ich einen Datenschutzverstoß melden?
Eine Meldung an die Datenschutz-Aufsichtsbehörde muss erfolgen, sofern ein Verstoß gegen den Datenschutz festgestellt worden ist und diese voraussichtlich zu einem Risiko für die Rechte und Freiheiten eines Betroffenen führen kann. Die Meldepflicht nach Art. 33 DSGVO entsteht grundsätzlich bei jedem Verstoß gegen den Datenschutz. Keine Meldepflicht besteht hingegen, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Es ist also eine sogenannte Risikoabwägung vorzunehmen, ob ein geringes oder ein hohes Risiko für die betroffenen Personen durch den Datenschutzverstoß entstanden ist.
Beispiele für ein hohes Risiko:
Verlust eines unverschlüsselten USB-Sticks von Unternehmen mit Nutzerinformationen
Versand einer E-Mail mit Passwörtern oder weiteren sensiblen Daten an mehrere Kunden im offenen Verteiler
Versand von Gesundheitsdaten an falsche Patienten
Beispiele für ein geringes Risiko:
Verlust eines verschlüsselten Laptops, USB-Sticks oder Smartphones
Fehlversandter Brief, der aber ungeöffnet zurückkam
Unbefugter Zugriff Dritter auf Daten, die aber verschlüsselt sind
Gemäß Art. 33 DSGVO muss ein Verstoß gegen den Datenschutz innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.
Muss ich auch die betroffenen Personen über eine Datenpanne informieren?
Neben der Meldepflicht kann es nach Art. 34 DSGVO auch erforderlich werden, die betroffenen natürlichen Personen über die Datenpanne zu informieren und welche Folgen durch diese Datenpanne dem Betroffenen drohen. Die Vorschriften besagen, dass eine Benachrichtigung der Betroffenen nur erfolgen muss, wenn durch die Schutzverletzung ein besonders hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat.
Ein solches Risiko liegt vor allem bei besonderen Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO vor (z. B. Daten über den Gesundheitszustand, ethnische Herkunft), sowie bei personenbezogenen Daten über strafrechtliche Verurteilungen oder Authentifizierungsdaten, beispielsweise dem E-Mail-Postfach.
Wie melde ich einen Verstoß gegen den Datenschutz?
Bei Datenschutzpannen besteht eine Meldepflicht: Die Meldung hat gegenüber der jeweils zuständigen Aufsichtsbehörde des Bundeslands, in dem die Verletzung begangen worden ist, zu erfolgen. Für die Meldung von Datenschutzverstößen stellen die meisten Datenschutzbehörden entsprechende Online-Formulare zur Verfügung. Diese finden Sie auf der Webseite Ihrer zuständigen Aufsichtsbehörde.
Die Meldung an die Aufsichtsbehörde muss mindestens folgende Informationen enthalten (Art. 33 Abs. 3 DSGVO):
Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
Kategorien der Betroffenen und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
Namen und die Kontaktdaten des Datenschutzbeauftragten, der vom Unternehmen bestellt wurde, oder einer sonstigen Anlaufstelle für weitere Informationen
Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
Beschreibung ergriffener und vorgeschlagener Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und zur Abmilderung ihrer Folgen
Was passiert, wenn ich keine Meldung oder Benachrichtigung vornehme?
Unterlässt der Verantwortliche eine gebotene Meldung an die Aufsichtsbehörde, kann dies als Verstoß nach Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße bis zu 10 Millionen Euro oder aber bis zu 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Als Verstoß des Verantwortlichen ist auch die unvollständige Meldung, eine unterlassene Teilmeldung und die fehlende oder unvollständige Dokumentation der Datenschutzverletzung zu werten.
Unterlässt der Verantwortliche die nach Art. 34 DSGVO gebotene Benachrichtigung des Betroffenen, kann die Aufsichtsbehörde den Verstoß gem. Art. 83 Abs. 4 lit. a DSGVO ebenfalls mit einer Geldbuße ahnden.
Ein Datenschutzverstoß kann aber auch einen immateriellen Schaden bedeuten. Ein nachhaltiger Vertrauensverlust und ein immenser Imageschaden gegenüber Kunden, Mitarbeitern und Geschäftspartnern können die Folge sein.
Daher zögern Sie nicht, sondern kontaktieren Sie uns sofort, nachdem Sie einen Datenschutzverstoß bei Ihnen im Unternehmen festgestellt haben!
Bei einer Datenschutzpanne, etwa infolge von Hackerangriffen oder eigenen Lücken im IT-Bereich, kommt es in Unternehmen zum Datenverlust oder auch zur unzulässigen Offenlegung von Daten. Hier sieht die DSGVO nach Art. 33 und Art. 34 DSGVO eine Informationspflicht sowohl gegenüber der Datenschutzbehörde als auch den Betroffenen vor. Die Informationspflicht betrifft sehr sensible personenbezogene Daten wie Gesundheitsdaten oder Kontodaten. Schwerwiegender als die Sanktionen, die die DSGVO vorsieht, können dabei Imageschäden und Rufschädigung sein, die ein Unternehmen durch Datenpannen erlebt.
Die Anzahl an Beschwerden bezüglich Datenschutzverstößen ist in 2018 um enorm gestiegen. Durch die neue EU-DSGVO wurde das Bewusstsein der Bürger in der EU für ihre Rechte im Datenschutz gestärkt. Sie sind sich des Werts ihrer personenbezogenen Daten bewusst und sind bereit, mutmaßliche Verstöße zu melden.
Das wirkt sich unter anderem auf Unternehmen aus, wo eine Sensibilisierung der Mitarbeiter für das Thema Datenschutz stattgefunden hat. Die Anzahl der gemeldeten Datenschutzverletzungen vom Jahr 2017 auf das Jahr 2018 hat sich verfielfacht. Auch in den Betrieben scheinen die Relevanz und Brisanz des Themas Datenschutz also angekommen zu sein. Dabei wurde zwar noch keine Freiheitsstrafe verhängt, aber sehr wohl drastische von Unternehmen zu begleichenden Geldbußen.
Bei einer Verletzung gegen den Datenschutz werden bisher meist Vermögensschäden geltend gemacht. Mit der DSGVO ist die Geltendmachung des immateriellen Schadens deutlich einfacher geworden, weil nicht selten eine Vielzahl an Menschen von Datenschutzvorfällen betroffen sind, birgt dies ein enormes Schadensersatzrisiko für Unternehmen. Für diese Ansprüche gibt es – momentan noch vereinzelt, aber in wachsender Anzahl – in Deutschland bereits einige Anbieter, die solche Forderungen auf immateriellen Schadensersatz aufgrund von Datenschutzverletzungen nach Art. 82 DSGVO großflächig geltend machen. Das ist vergleichbar mit den Portalen zur Geltendmachung von Ersatzansprüchen bei Flugverspätungen. Diese Verfahren laufen oftmals mittels Legal-Tech-Anwendungen automatisiert ab, um möglichst viele Verfahren gleichzeitig voranzutreiben.
Bisher war diese Praxis sehr umstritten, aber ein Urteil des Arbeitsgerichts (ArbG) Düsseldorf vom 05.05.2020 könnte dies nun ändern. In diesem Verfahren wurde ein Unternehmen zu 5.000 € Schadensersatz für einen Datenschutzverstoß wegen verspäteter bzw. unvollständiger Auskunft gegenüber einem Ex-Mitarbeiter verurteilt. Die Begründung: Bereits die unrichtige Erteilung einer solchen Auskunft stelle einen ersatzfähigen immateriellen Schaden nach Art. 82 DSGVO dar. Bemerkenswert ist insbesondere die Aussage der Richter, der Schadensersatz müsse abschreckend sein. Es wurde also bei der Bemessung die finanzielle Leistungsfähigkeit des Unternehmens berücksichtigt.
Es ist abzusehen, dass Fälle wie dieser die Gerichte flächendeckend weiter beschäftigen dürfen. Denn sollten weitere Gerichte, insbesondere das Landesarbeitsgericht Düsseldorf im Berufungsverfahren, den Ansichten des ArbG Düsseldorf folgen, dürfte das umstrittene Urteil zur „DSGVO-Klage“ wohl zur Blaupause für das Geschäftsmodell „Datenschutz-Klage“ werden. Unternehmen werden sich dann in Zukunft mit einer großen Anzahl von Schadensersatzprozessen nach Art. 82 DSGVO konfrontiert sehen.
Spannend bleibt also auch, wie es mit diesem potentiellen Geschäftszweig weitergehen wird.
Mitarbeiter, die mit der automatisierten Verarbeitung von personenbezogenen Daten zu tun haben, müssen für den richtigen Umgang mit diesen Daten sensibilisiert werden. Nur so können Datenschutzpannen vorgebeugt werden, welche empfindliche Bußgelder und Imageschäden nach sich ziehen können. Sind Ihre Mitarbeiter fit im Datenschutz? Machen Sie den Test!
Zum Check
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr