Datenschutzpanne: Was tun? Wenn Sie schnelle Hilfe nach einem Datenschutzvorfall benötigen, beraten wir Sie unverbindlich und unterstützen Sie dabei, hohe Strafen abzuwenden.
Die Wörter Datenschutzverletzung, Datenschutzverstoß und Datenschutzpanne werden meist synonym gebraucht, obwohl ein Unterschied zwischen diesen Begriffen besteht:
Datenschutzverstoß: Unter dem Begriff Datenschutzverstoß versteht man jeden Verstoß gegen die DSGVO. Unterschieden wird je nach Schwere des Verstoßes zwischen
Datenschutzverletzung: Eine Datenschutzverletzung liegt nur dann vor, wenn es dabei um eine „Verletzung des Schutzes personenbezogener Daten“ geht. Diese liegt im Sinne von Art. 33 DSGVO und Art 4 Nr. 12 DSGVO nur dann vor, wenn es sich um
Datenschutzpanne: Eine Datenschutzverletzung wird umgangssprachlich auch als Datenschutzpanne bezeichnet.
In Ihrem Unternehmen wurde der Datenschutz missachtet? Verlieren Sie bei einem Datenschutzvergehen keine Zeit: Gemeinsam mit unseren Experten vermeiden Sie hohe Strafen.
Eine Datenschutzverletzung muss nicht unbedingt so etwas Großes wie ein Hackerangriff sein, sondern kann auch beispielsweise durch einen unverschlüsselten USB-Stick entstehen, der in der U-Bahn verloren wurde. Wichtig ist aber in jedem Fall, die Datenschutzverletzung innerhalb von 72 Stunden den zuständigen Aufsichtsbehörden zu melden, um den Schaden einzugrenzen, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die betroffenen Personen.
Die Prüfung und Prognose des Risikos für die Betroffenen muss unverzüglich erfolgen, um die Frist zur Meldung einhalten zu können. Führt die Datenschutzverletzung voraussichtlich zu einem hohen Risiko für die betroffenen Personen, muss der Verantwortliche sie nach Art. 34 DSGVO unverzüglich informieren. Es ist daher sinnvoll, Ihren internen bzw. externen Datenschutzbeauftragten mit einzubeziehen, der Ihnen bei der Einschätzung des Vorfalls und bei den weiteren Schritten behilflich sein wird.
Wichtig: Sind Sie Auftragsverarbeiter und ist bei Ihnen eine Datenschutzverletzung eingetreten, muss sofort ab Bekanntwerden eine Meldung an den Verantwortlichen (= Auftraggeber) erfolgen. Dieser muss sich dann an die Aufsichtsbehörden wenden und Meldung machen. Der Auftragsverarbeiter hat hier also eine Mitwirkungspflicht und muss unverzüglich melden (Art. 33 Abs. 2 DSGVO).
Halten Verantwortliche die Vorgaben der DSGVO nicht ein, liegt ein Datenschutzverstoß vor. Liegt darin nicht zugleich eine Datenschutzverletzung, bestehen keine Pflichten zur Meldung gegenüber der zuständigen Aufsichtsbehörde und auch keine Pflicht zur Benachrichtigung der betroffenen Personen. Dennoch drohen für Verstöße empfindliche Sanktionen bis hin zu Bußgeldern.
Bei dem Unterlassen einer Meldung kann ein Bußgeld in Millionenhöhe drohen (bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes). Außerdem ist der Imageschaden, den ein Unternehmen durch eine vertuschte Datenschutzverletzung erleidet, nicht zu unterschätzen.
Auch bei einer Datenschutzverletzung bei öffentlichen Stellen bestehen die Pflichten nach Art. 33 und 34 DSGVO. Daher müssen Unternehmen, die für staatliche Stellen als Auftragsverarbeiter tätig sind, ihre Auftragnehmer ebenfalls unverzüglich informieren. Auch wenn Aufsichtsbehörden Bußgelder gegen öffentliche Stellen bislang selten verhängt haben, kann ein Verstoß des Auftragsverarbeiters gegen seine Pflicht nach Art. 33 Abs. 2 DSGVO ein Bußgeld nach sich ziehen.
Ein Verstoß gegen die DSGVO liegt zum Beispiel vor, wenn
Wie haben Sie sich bei einer Datenschutzverletzung im Unternehmen zu verhalten? Wir haben eine Checkliste zum Download zusammengestellt, die Ihnen einen Überblick verschafft. Wichtig ist, dass auch alle Angestellten Ihres Unternehmens für dieses Thema sensibilisiert werden, um im Notfall schnell und richtig reagieren zu können.
Bei einer Datenschutzpanne, etwa infolge von Hackerangriffen oder eigenen Lücken im IT-Bereich, kommt es in Unternehmen zum Datenverlust oder auch zur unzulässigen Offenlegung von Daten. Hier sieht die DSGVO nach Art. 33 und Art. 34 DSGVO eine Informationspflicht sowohl gegenüber der Datenschutzbehörde als auch den Betroffenen vor. Die Informationspflicht betrifft sehr sensible personenbezogene Daten wie Gesundheitsdaten oder Kontodaten. Schwerwiegender als die Sanktionen, die die DSGVO vorsieht, können dabei Imageschäden und Rufschädigung sein, die ein Unternehmen durch Datenpannen erlebt.
Die Anzahl an Beschwerden bezüglich Datenschutzverstößen ist in 2018 um enorm gestiegen. Durch die EU-DSGVO wurde das Bewusstsein der Bürger in der EU für ihre Rechte im Datenschutz gestärkt. Sie sind sich des Werts ihrer personenbezogenen Daten bewusst und sind bereit, bei mutmaßlichen Verstößen eine Anzeige wegen einer Datenschutzverletzung bei der Aufsichtsbehörde zu machen.
Die Anzahl der gemeldeten Datenschutzverletzungen hat sich von 2017 auf 2018 vervielfacht. Das wirkt sich unter anderem auf Unternehmen aus, wo eine Sensibilisierung der Mitarbeiter für das Thema Datenschutz stattgefunden hat. Auch Angestellte können einen Datenschutzverstoß ihres Arbeitgebers melden. Dabei wurde zwar noch keine Freiheitsstrafe verhängt, aber sehr wohl drastische von Unternehmen zu begleichenden Geldbußen.
Mitarbeiter, die mit der automatisierten Verarbeitung von personenbezogenen Daten zu tun haben, müssen für den richtigen Umgang mit diesen Daten sensibilisiert werden. So beugen Sie Datenschutzpannen, empfindlichen Bußgeldern und Imageschäden vor.
Schaffen Sie mit der Proliance Academy ein Bewusstsein für die Gefahren und Verbesserungspotenziale im Umgang mit personenbezogenen Daten bei Ihren Angestellten.
Bei einer Verletzung gegen den Datenschutz werden bisher meist Vermögensschäden geltend gemacht. Mit der DSGVO ist die Geltendmachung des immateriellen Schadens deutlich einfacher geworden, weil nicht selten eine Vielzahl an Menschen von Datenschutzvorfällen betroffen sind, birgt dies ein enormes Schadensersatzrisiko für Unternehmen. Für diese Ansprüche gibt es – momentan noch vereinzelt, aber in wachsender Anzahl – in Deutschland bereits einige Anbieter, die solche Forderungen auf immateriellen Schadensersatz aufgrund von Datenschutzverletzungen nach Art. 82 DSGVO großflächig geltend machen. Das ist vergleichbar mit den Portalen zur Geltendmachung von Ersatzansprüchen bei Flugverspätungen. Diese Verfahren laufen oftmals mittels Legal-Tech-Anwendungen automatisiert ab, um möglichst viele Verfahren gleichzeitig voranzutreiben.
Bisher war diese Praxis sehr umstritten, aber ein Urteil des Arbeitsgerichts (ArbG) Düsseldorf vom 05.05.2020 könnte dies nun ändern. In diesem Verfahren wurde ein Unternehmen zu 5.000 € Schadensersatz für einen Datenschutzverstoß wegen verspäteter bzw. unvollständiger Auskunft gegenüber einem Ex-Mitarbeiter verurteilt. Die Begründung: Bereits die unrichtige Erteilung einer solchen Auskunft stelle einen ersatzfähigen immateriellen Schaden nach Art. 82 DSGVO dar. Bemerkenswert ist insbesondere die Aussage der Richter, der Schadensersatz müsse abschreckend sein. Es wurde also bei der Bemessung die finanzielle Leistungsfähigkeit des Unternehmens berücksichtigt.
Es ist abzusehen, dass Fälle wie dieser die Gerichte flächendeckend weiter beschäftigen dürfen. Denn sollten weitere Gerichte, insbesondere das Landesarbeitsgericht Düsseldorf im Berufungsverfahren, den Ansichten des ArbG Düsseldorf folgen, dürfte das umstrittene Urteil zur „DSGVO-Klage“ wohl zur Blaupause für das Geschäftsmodell „Datenschutz-Klage“ werden. Unternehmen werden sich dann in Zukunft mit einer großen Anzahl von Schadensersatzprozessen nach Art. 82 DSGVO konfrontiert sehen.
Spannend bleibt also auch, wie es mit diesem potentiellen Geschäftszweig weitergehen wird.
Wann muss ich einen Datenschutzverstoß melden?
Eine Meldung an die Datenschutz-Aufsichtsbehörde muss erfolgen, sofern ein Verstoß gegen den Datenschutz festgestellt worden ist und diese voraussichtlich zu einem Risiko für die Rechte und Freiheiten eines Betroffenen führen kann. Die Meldepflicht nach Art. 33 DSGVO entsteht grundsätzlich bei jedem Verstoß gegen den Datenschutz. Keine Meldepflicht besteht hingegen, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Es ist also eine sogenannte Risikoabwägung vorzunehmen, ob ein geringes oder ein hohes Risiko für die betroffenen Personen durch den Datenschutzverstoß entstanden ist.
Beispiele für ein hohes Risiko:
Verlust eines unverschlüsselten USB-Sticks von Unternehmen mit Nutzerinformationen
Versand einer E-Mail mit Passwörtern oder weiteren sensiblen Daten an mehrere Kunden im offenen Verteiler
Versand von Gesundheitsdaten an falsche Patienten
Beispiele für ein geringes Risiko:
Verlust eines verschlüsselten Laptops, USB-Sticks oder Smartphones
Fehlversandter Brief, der aber ungeöffnet zurückkam
Unbefugter Zugriff Dritter auf Daten, die aber verschlüsselt sind
Gemäß Art. 33 DSGVO muss ein Verstoß gegen den Datenschutz innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.
Muss ich auch die betroffenen Personen über eine Datenpanne informieren?
Neben der Meldepflicht kann es nach Art. 34 DSGVO auch erforderlich werden, die betroffenen natürlichen Personen über die Datenpanne zu informieren und welche Folgen durch diese Datenpanne dem Betroffenen drohen. Die Vorschriften besagen, dass eine Benachrichtigung der Betroffenen nur erfolgen muss, wenn durch die Schutzverletzung ein besonders hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat.
Ein solches Risiko liegt vor allem bei besonderen Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO vor (z. B. Daten über den Gesundheitszustand, ethnische Herkunft), sowie bei personenbezogenen Daten über strafrechtliche Verurteilungen oder Authentifizierungsdaten, beispielsweise dem E-Mail-Postfach.
Wie melde ich eine Datenschutzverletzung gegen die DSGVO?
Bei Datenschutzpannen besteht eine Meldepflicht: Die Meldung hat gegenüber der jeweils zuständigen Aufsichtsbehörde des Bundeslands, in dem die Verletzung begangen worden ist, zu erfolgen. Für die Meldung von Datenschutzverstößen stellen die meisten Datenschutzbehörden entsprechende Online-Formulare zur Verfügung. Diese finden Sie auf der Webseite Ihrer zuständigen Aufsichtsbehörde.
Die Meldung an die Aufsichtsbehörde muss mindestens folgende Informationen enthalten (Art. 33 Abs. 3 DSGVO):
Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten
Kategorien der Betroffenen und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
Namen und die Kontaktdaten des Datenschutzbeauftragten, der vom Unternehmen bestellt wurde, oder einer sonstigen Anlaufstelle für weitere Informationen
Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
Beschreibung ergriffener und vorgeschlagener Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und zur Abmilderung ihrer Folgen
Was kann passieren, wenn ein Unternehmen eine Datenpanne nicht meldet?
Unterlässt der Verantwortliche eine gebotene Meldung an die Aufsichtsbehörde, kann dies als Verstoß nach Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße bis zu 10 Millionen Euro oder aber bis zu 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Als Verstoß des Verantwortlichen ist auch die unvollständige Meldung, eine unterlassene Teilmeldung und die fehlende oder unvollständige Dokumentation der Datenschutzverletzung zu werten.
Unterlässt der Verantwortliche die nach Art. 34 DSGVO gebotene Benachrichtigung des Betroffenen, kann die Aufsichtsbehörde den Verstoß gem. Art. 83 Abs. 4 lit. a DSGVO ebenfalls mit einer Geldbuße ahnden.
Ein Datenschutzverstoß kann aber auch einen immateriellen Schaden bedeuten. Ein nachhaltiger Vertrauensverlust und ein immenser Imageschaden gegenüber Kunden, Mitarbeitern und Geschäftspartnern können die Folge sein.
Daher zögern Sie nicht, sondern kontaktieren Sie uns sofort, nachdem Sie einen Datenschutzverstoß bei Ihnen im Unternehmen festgestellt haben!
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr
