Verstoß gegen Datenschutz

Datenschutzverletzung vs. DSGVO Verstoß

Die Wörter Datenschutzverletzung, Datenschutzverstoß und Datenschutzpanne werden meist synonym gebraucht, obwohl ein Unterschied zwischen diesen Begriffen besteht:

Datenschutzverstoß: Unter dem Begriff Datenschutzverstoß versteht man jeden Verstoß gegen die DSGVO. Unterschieden wird je nach Schwere des Verstoßes zwischen

  • Ordnungswidrigkeiten und
  • Straftaten.

Datenschutzverletzung: Eine Datenschutzverletzung liegt nur dann vor, wenn es dabei um eine „Verletzung des Schutzes personenbezogener Daten“ geht. Diese liegt im Sinne von Art. 33 DSGVO und Art 4 Nr. 12 DSGVO nur dann vor, wenn es sich um

  • eine Verletzung der Sicherheit handelt,
  • die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt,
  • die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Datenschutzpanne: Eine Datenschutzverletzung wird umgangssprachlich auch als Datenschutzpanne bezeichnet.

Wir helfen Ihnen weiter

Sie benötigen Hilfe beim Thema Datenschutz oder haben Fragen zu Datenschutzverstößen?
Wir beraten Sie gerne unverbindlich zu unseren individuellen Datenschutzlösungen.

 

Wann liegt eine Datenschutzverletzung vor?

Eine Datenschutzverletzung muss nicht unbedingt so etwas Großes wie ein Hackerangriff sein, sondern kann auch beispielsweise durch einen unverschlüsselten USB-Stick entstehen, der in der U-Bahn verloren wurde. Wichtig ist aber in jedem Fall, die Datenschutzverletzung innerhalb von 72 Stunden den zuständigen Aufsichtsbehörden zu melden, um den Schaden einzugrenzen. Es ist zudem sinnvoll, vorher noch Ihren internen bzw. externen Datenschutzbeauftragten mit einzubeziehen, der Ihnen bei der Einschätzung des Vorfalls und bei den weiteren Schritten behilflich sein wird. Bei dem Unterlassen einer Meldung kann ein Bußgeld in Millionenhöhe drohen (bis zu 20 Millionen Euro oder bis zu 4% des Jahresumsatzes). Außerdem ist der Imageschaden, den ein Unternehmen durch eine vertuschte Datenschutzverletzung erleidet, nicht zu unterschätzen.

Wichtig zu wissen: Sind Sie Auftragsverarbeiter und bei Ihnen ist gegen den Datenschutz verstoßen worden, muss sofort ab Bekanntwerden eine Meldung an den Verantwortlichen (= Auftraggeber) erfolgen. Dieser muss sich dann an die Aufsichtsbehörden wenden und Meldung machen. Der Auftragsverarbeiter hat hier also eine Mitwirkungspflicht und muss unverzüglich melden (Art. 33 II DSGVO).

 

Erste Hilfe bei Datenschutzverstößen

Wie haben Sie sich bei einer Datenschutzverletzung im Unternehmen zu verhalten? Wir haben eine Checkliste zum Download zusammengestellt, die Ihnen einen Überblick verschafft. Wichtig ist, dass auch alle Angestellten eines Unternehmens auf dieses Thema sensibilisiert werden, um im Notfall schnell und richtig reagieren zu können.

FAQ zum Thema Verstoß gegen Datenschutz

Eine Meldung an die Datenschutz-Aufsichtsbehörde muss erfolgen, sofern ein Verstoß gegen den Datenschutz festgestellt worden ist und diese voraussichtlich zu einem Risiko für die Rechte und Freiheiten eines Betroffenen führen kann. Die Meldepflicht nach Art. 33 DSGVO entsteht grundsätzlich bei jedem Verstoß gegen den Datenschutz. Keine Meldepflicht besteht hingegen, wenn die Datenpanne voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Es ist also eine sogenannte Risikoabwägung vorzunehmen, ob ein geringes oder ein hohes Risiko für die betroffenen Personen durch den Datenschutzverstoß entstanden ist.

Beispiele für ein hohes Risiko:

  • Verlust eines unverschlüsselten USB-Sticks von Unternehmen mit Nutzerinformationen

  • Versand einer E-Mail mit Passwörtern oder weiteren sensiblen Daten an mehrere Kunden im offenen Verteiler

  • Versand von Gesundheitsdaten an falsche Patienten

Beispiele für ein geringes Risiko:

  • Verlust eines verschlüsselten Laptops, USB-Sticks oder Smartphones

  • Fehlversandter Brief, der aber ungeöffnet zurückkam

  • Unbefugter Zugriff Dritter auf Daten, die aber verschlüsselt sind

Gemäß Art. 33 DSGVO muss ein Verstoß gegen den Datenschutz innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden.

Neben der Meldepflicht kann es nach Art. 34 DSGVO auch erforderlich werden, die betroffenen natürlichen Personen über die Datenpanne zu informieren und welche Folgen durch diese Datenpanne dem Betroffenen drohen. Die Vorschriften besagen, dass eine Benachrichtigung der Betroffenen nur erfolgen muss, wenn durch die Schutzverletzung ein besonders hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen zur Folge hat.

Ein solches Risiko liegt vor allem bei besonderen Kategorien von personenbezogenen Daten nach Art. 9 Abs. 1 DSGVO vor (z. B. Daten über den Gesundheitszustand, ethnische Herkunft),  sowie bei personenbezogenen Daten über strafrechtliche Verurteilungen oder Authentifizierungsdaten, beispielsweise dem E-Mail-Postfach.

Bei Datenschutzpannen besteht eine Meldepflicht: Die Meldung hat gegenüber der jeweils zuständigen Aufsichtsbehörde des Bundeslands, in dem die Verletzung begangen worden ist, zu erfolgen. Für die Meldung von Datenschutzverstößen stellen die meisten Datenschutzbehörden entsprechende Online-Formulare zur Verfügung. Diese finden Sie auf der Webseite Ihrer zuständigen Aufsichtsbehörde.

Die Meldung an die Aufsichtsbehörde muss mindestens folgende Informationen enthalten (Art. 33 Abs. 3 DSGVO):

  • Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten

  • Kategorien der Betroffenen und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze

  • Namen und die Kontaktdaten des Datenschutzbeauftragten, der vom Unternehmen bestellt wurde, oder einer sonstigen Anlaufstelle für weitere Informationen

  • Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten

  • Beschreibung ergriffener und vorgeschlagener Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und zur Abmilderung ihrer Folgen

Unterlässt der Verantwortliche eine gebotene Meldung an die Aufsichtsbehörde, kann dies als Verstoß nach Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße bis zu 10 Millionen Euro oder aber bis zu 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Als Verstoß des Verantwortlichen ist auch die unvollständige Meldung, eine unterlassene Teilmeldung und die fehlende oder unvollständige Dokumentation der Datenschutzverletzung zu werten.

Unterlässt der Verantwortliche die nach Art. 34 DSGVO gebotene Benachrichtigung des Betroffenen, kann die Aufsichtsbehörde den Verstoß gem. Art. 83 Abs. 4 lit. a DSGVO ebenfalls mit einer Geldbuße ahnden.

Ein Datenschutzverstoß kann aber auch einen immateriellen Schaden bedeuten. Ein nachhaltiger Vertrauensverlust und ein immenser Imageschaden gegenüber Kunden, Mitarbeitern und Geschäftspartnern können die Folge sein.

Daher zögern Sie nicht, sondern kontaktieren Sie uns sofort, nachdem Sie einen Datenschutzverstoß bei Ihnen im Unternehmen festgestellt haben!


Rufschädigung durch Datenpanne oder Datenschutzverstoß

Bei einer Datenschutzpanne, etwa infolge von Hackerangriffen oder eigenen Lücken im IT-Bereich, kommt es in Unternehmen zum Datenverlust oder auch zur unzulässigen Offenlegung von Daten. Hier sieht die DSGVO nach Art. 33  und Art. 34 DSGVO eine Informationspflicht sowohl gegenüber der Datenschutzbehörde als auch den Betroffenen vor. Die Informationspflicht betrifft sehr sensible personenbezogene Daten wie Gesundheitsdaten oder Kontodaten. Schwerwiegender als die Sanktionen, die die DSGVO vorsieht, können dabei Imageschäden und Rufschädigung sein, die ein Unternehmen durch Datenpannen erlebt.


EU-Bürger nehmen ihre Rechte im Datenschutz wahr

Die Anzahl an Beschwerden bezüglich Datenschutzverstößen ist in 2018 um enorm gestiegen. Durch die neue EU-DSGVO wurde das Bewusstsein der Bürger in der EU für ihre Rechte im Datenschutz gestärkt. Sie sind sich des Werts ihrer personenbezogenen Daten bewusst und sind bereit, mutmaßliche Verstöße zu melden.

Das wirkt sich unter anderem auf Unternehmen aus, wo eine Sensibilisierung der Mitarbeiter für das Thema Datenschutz stattgefunden hat. Die Anzahl der gemeldeten Datenschutzverletzungen vom Jahr 2017 auf das Jahr 2018 hat sich verfielfacht. Auch in den Betrieben scheinen die Relevanz und Brisanz des Themas Datenschutz also angekommen zu sein. Dabei wurde zwar noch keine Freiheitsstrafe verhängt, aber sehr wohl drastische von Unternehmen zu begleichenden Geldbußen.


Geschäftsmodell Datenschutzklage?

Bei einer Verletzung gegen den Datenschutz werden bisher meist Vermögensschäden geltend gemacht. Mit der DSGVO ist die Geltendmachung des immateriellen Schadens deutlich einfacher geworden, weil nicht selten eine Vielzahl an Menschen von Datenschutzvorfällen betroffen sind, birgt dies ein enormes Schadensersatzrisiko für Unternehmen. Für diese Ansprüche gibt es – momentan noch vereinzelt, aber in wachsender Anzahl – in Deutschland bereits einige Anbieter, die solche Forderungen auf immateriellen Schadensersatz aufgrund von Datenschutzverletzungen nach Art. 82 DSGVO großflächig geltend machen. Das ist vergleichbar mit den Portalen zur Geltendmachung von Ersatzansprüchen bei Flugverspätungen. Diese Verfahren laufen oftmals mittels Legal-Tech-Anwendungen automatisiert ab, um möglichst viele Verfahren gleichzeitig voranzutreiben.

Neue Rechtslage nach Urteil

Bisher war diese Praxis sehr umstritten, aber ein Urteil des Arbeitsgerichts (ArbG) Düsseldorf vom 05.05.2020 könnte dies nun ändern. In diesem Verfahren wurde ein Unternehmen zu 5.000 € Schadensersatz für einen Datenschutzverstoß wegen verspäteter bzw. unvollständiger Auskunft gegenüber einem Ex-Mitarbeiter verurteilt. Die Begründung: Bereits die unrichtige Erteilung einer solchen Auskunft stelle einen ersatzfähigen immateriellen Schaden nach Art. 82 DSGVO dar. Bemerkenswert ist insbesondere die Aussage der Richter, der Schadensersatz müsse abschreckend sein. Es wurde also bei der Bemessung die finanzielle Leistungsfähigkeit des Unternehmens berücksichtigt.

Es ist abzusehen, dass Fälle wie dieser die Gerichte flächendeckend weiter beschäftigen dürfen. Denn sollten weitere Gerichte, insbesondere das Landesarbeitsgericht Düsseldorf im Berufungsverfahren, den Ansichten des ArbG Düsseldorf folgen, dürfte das umstrittene Urteil zur „DSGVO-Klage“ wohl zur Blaupause für das Geschäftsmodell „Datenschutz-Klage“ werden. Unternehmen werden sich dann in Zukunft mit einer großen Anzahl von Schadensersatzprozessen nach Art. 82 DSGVO konfrontiert sehen.

Spannend bleibt also auch, wie es mit diesem potentiellen Geschäftszweig weitergehen wird.  

Sind Ihre Mitarbeiter fit im Datenschutz?

Mitarbeiter, die mit der automatisierten Verarbeitung von personenbezogenen Daten zu tun haben, müssen für den richtigen Umgang mit diesen Daten sensibilisiert werden. Nur so können Datenschutzpannen vorgebeugt werden, welche empfindliche Bußgelder und Imageschäden nach sich ziehen können. Sind Ihre Mitarbeiter fit im Datenschutz? Machen Sie den Test!

Zum Check

Geöffneter Laptop, auf welchem derCheck zur Datensensibilität der Mitarbeiter geöffnet ist

Weitere Themen, die Sie interessieren könnten

Aktuelle Beiträge zum Thema "Verstoß gegen Datenschutz"

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr