Das Wichtigste in Kürze
Hier erfahren Sie, was ein Datenschutzverstoß ist, welche Maßnahmen zur Vermeidung zu treffen sind, welche Meldepflichten zu erfüllen sind und mit welchen Strafen zu rechnen ist.
Was ist ein Datenschutzverstoß?
Was umgangssprachlich als „Datenschutzverstoß“ bezeichnet wird, nennt die EU-Datenschutzgrundverordnung in Artikel 33 Absatz 1 Satz 1 die „Verletzung des Schutzes personenbezogener Daten“. Damit wird schon deutlich, dass zwei Kriterien wichtig sind:
- Es muss sich um personenbezogene Daten handeln, also Daten, die unmittelbar oder mittelbar einer bestimmten natürlichen Person zugeordnet werden können und
- Es muss eine Verletzung des gesetzlich geforderten Schutzes dieser Daten eingetreten sein.
Zum ersten Punkt ist es wichtig zu wissen, dass im Datenschutz die Schwelle, wann ein Personenbezug vorliegt, sehr niedrig ist. Ich rate meinen Mandanten zunächst immer davon auszugehen, dass man es mit personenbezogenen Daten zu tun hat.
Und zum zweiten Punkt sollte bekannt sein, dass das Gesetz, also insbesondere die DSGVO (Datenschutzgrundverordnung) umfassende Schutzmaßnahmen für solche Daten vorschreibt. Ein Verstoß gegen die DSGVO ist daher oft auch ein Datenschutzverstoß in diesem Sinne. Ein Verstoß gegen den Datenschutz von Privatpersonen ist dabei ebenso relevant, wie ein Verstoß gegen den Datenschutz der Mitarbeiter des Unternehmens.
Die Folge sind Meldepflichten des Datenschutzverstoßes bei der Aufsichtsbehörde und sodann ggf. Bußgelder. Zusätzlich können Schadensersatzansprüche der von dem Datenschutzverstoß betroffenen Personen auf das Unternehmen zukommen.
Wir helfen Ihnen, die volle Datenschutzkonformität zu erreichen.
Schutt, Waetke Rechtsanwälte und Datenschutzanwalt und Fachanwalt für IT-Recht Timo Schutt beraten Ihr Unternehmen und stellen es rechtssicher auf. Wir sorgen für Datenschutzkonformität und ausreichende Maßnahmen zur Verhinderung von Datenschutzverstößen.
Zusätzlich kann Rechtsanwalt und Fachanwalt für IT-Recht Timo Schutt als externer Datenschutzbeauftragter bestellt werden, um so dauerhaft die Datenschutz-Compliance Ihres Unternehmens sicherzustellen.
Datenschutzverstöße verhindern durch Einhaltung der DSGVO
Nur durch Einhaltung der Vorgaben des Datenschutzrechts, also der DSGVO und des BDSG (Bundesdatenschutzgesetz) können die Verhängung von Bußgeldern und die Ansprüche von Betroffenen verhindert werden.
Landläufig wird unter einem Verstoß gegen den Datenschutz der Hackerangriff verstanden, also das rechtswidrige Eindringen einer unbefugten Person in die Systeme eines Unternehmens mit dem Ziel, die Daten zu kopieren und/oder zu löschen.
Die Schwelle, wann von einem Datenschutzverstoß auszugehen ist, liegt jedoch in Anbetracht der obigen Definition wesentlich niedriger. So verstoßen Unternehmen bereits dann gegen Datenschutzvorgaben, wenn sie nicht in der Lage sind, die Vollständigkeit und Richtigkeit aller ihrer Maßnahmen nachweisen zu können (Rechenschaftspflicht, Artikel 5 Absatz 2 DSGVO).
Beispiele für einen Verstoß gegen den Datenschutz
Ein Datenschutzverstoß liegt bspw. schon dann vor, wenn eine E-Mail an einen offenen Verteiler gesendet wird (soweit Empfänger dieser E-Mail die anderen angeschriebenen nicht kennen), wenn eine E-Mail mit personenbezogenen Daten an den falschen Empfänger übermittelt wird (die Autovervollständigung des E-Mail-Programms ist hier oft tückisch) oder dann, wenn der Dienstlaptop oder das Diensthandy verloren geht, gestohlen wird oder zumindest nicht mehr auffindbar ist.
Denn in allen diesen Fällen kann theoretisch eine unbefugte Person Kenntnis von personenbezogenen Daten erlangen, für de das Unternehmen verantwortlich ist.
Wie vermeide ich einen Datenschutzverstoß?
Vereinfacht: Dadurch, dass Sie alle Regeln des Datenschutzrechts einhalten. Wir beraten Sie gerne, da wir bereits viele Unternehmen bei der Umsetzung der Datenschutzkonformität beraten haben. Das ist aber – zugegebenermaßen – recht unkonkret.
Wichtig ist, dass Sie insbesondere drei Dinge beachten:
- Awareness: Das gesamte Unternehmen muss für das Thema Datenschutz sensibilisiert sein. Alle müssen wissen, wie wichtig Datenschutz ist und was sie in ihrer konkreten Rolle im Unternehmen tun können, um das Datenschutzniveau hochzuhalten. Zu dieser Awareness gehört auch, dass eine schnelle Kommunikation im Falle der Feststellung eines (bevorstehenden) Datenschutzvorfalls zur Unternehmensleitung, dem/der Datenschutzkoordinator(in) und dem/der Datenschutzbeauftragten erfolgt.
- Maßnahmen, Maßnahmen, Maßnahmen: Es müssen ausreichende technische und organisatorische Maßnahmen zur Daten- und IT-Sicherheit eingeführt, kommuniziert und kontrolliert werden. Die Summe der Maßnahmen (bspw. Verschlüsselung, Passwortschutz, Einbruchschutz, Backup-Konzept, Firewall, Penetrationstests etc.) muss geeignet sein die Verarbeitung personenbezogener Daten im Unternehmen ausreichend sicher durchzuführen.
- Bestellung eines erfahrenen externen Datenschutzbeauftragten: Der externe Datenschutzbeauftragte hat einen anderen Blick auf Ihre Prozesse als der interne, der oftmals mit der „Betriebsbrille“ auf die Prozesse schaut. Er kann, wenn er die erforderliche juristische Expertise hat, in allen belangend es Datenschutzrechts beraten, unterstützen und das Unternehmen so aufstellen, dass Datenschutzverstöße so gut wie möglich verhindert werden.
Der Datenschutzbeauftragte ist auch im Umgang mit Behörden und betroffenen Personen erfahren und in der Lage die rechtliche Position des Unternehmens im Falle von Datenschutzverstößen entscheiden zu verbessern.
Es ist auch zu prüfen, wann und wie eine Datenschutzfolgenabschätzung (DSFA) vorzunehmen ist oder vorgenommen werden sollte, um eine geplante Datenverarbeitung von Anfang an auf Rechtmäßigkeit zu prüfen. Dabei kann eine DSFA nicht nur in den gesetzlich vorgeschrieben Fällen, sondern auch darüber hinaus eine sinnvolle Möglichkeit der Vorabprüfung und Abwägung darstellen.
Meldepflicht bei Datenschutzverstoß
Die DSGVO schreibt vor, dass grundsätzlich jede Datenschutzverletzung zu melden ist. Die Meldepflicht besteht für den Verantwortlichen. Das ist der Datenverarbeiter, der die Mittel und Zwecke der betroffenen Datenverarbeitung bestimmt (Art. 4 Nr. 7 DSGVO). DSGVO-Verstöße melden muss der Verantwortliche dabei unverzüglich (= ohne schuldhaftes Zögern“) und „möglichst binnen 72 Stunden“. Die Meldung hat zu erfolgen bei der jeweils zuständigen Datenschutzaufsichtsbehörde. Das ist diejenige, die am Hauptsitz des Verantwortlichen zuständig ist. In Deutschland ist das die für das jeweilige Bundesland zuständige Landesdatenschutzbehörde (bspw. beim Unternehmenssitz des Verantwortlichen in Karlsruhe ist der Landesbeauftragte für den Datenschutz Baden-Württemberg in Stuttgart zu informieren).
Ausnahmsweise kann eine Meldung von Verstößen nur dann unterbleiben, wenn festgestellt wird, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt (Ausnahmefall).
Unter Umständen sind zusätzlich die betroffenen Personen über den Datenschutzvorfall zu unterrichten (Art. 34 DSGVO).
Etwas anderes übrigens ist die Möglichkeit für Privatpersonen, Beschwerde bei DSGVO-Verstößen einzulegen. So kann eine betroffene Person, die sich in ihren Rechten verletzt sieht – unabhängig davon, ob objektiv ein Datenschutzverstoß besteht – eine Beschwerde bei der zuständigen Datenschutzaufsichtsbehörde gegenüber einem datenverarbeitenden Unternehmen einlegen (bspw., wenn dieses Unternehmen eine fehlerhafte oder gar keine Datenschutzerklärung auf der Website hat).
Bußgelder und Sanktionen bei einem Datenschutzverstoß
Ein Unternehmen, das einen Datenschutzverstoß begeht, muss mit der Verhängung eines Bußgelds rechnen. Bußgelder können dabei für jede einzelnen Datenschutzverletzung verhängt werden. Die Bußgelder werden dabei von der zuständigen Datenschutzaufsichtsbehörde verhängt. Nach aktueller Rechtsprechung muss dabei nicht einmal eine konkrete Person festgestellt werden, die den Verstoß begangen hat. Das Unternehmen haftet schon dann, wenn der Verstoß selbst feststeht und dem Unternehmen zugerechnet werden kann. Dabei trifft die Strafe für einen Datenschutzverstoß eines Mitarbeiters auch das Unternehmen.
Bei einem Datenschutzverstoß kann als Strafe auch ein Schadensersatzanspruch der Betroffenen angesehen werden. Dafür ist von der betroffenen Person ein konkret durch den Datenschutzverstoß entstandener materieller Schaden nachzuweisen. Ein Verstoß gegen den Datenschutz kann aber auch Schmerzensgeld auslösen. Denn nach Art. 82 DSGVO ist jede betroffene Person berechtigt, Ansprüche geltend zu machen, wenn sie durch eine DSGVO-Verletzung einen immateriellen Schaden erlitten hat. Daher ist auch die bloße Befürchtung, dass wegen fehlender Kontrolle über die eigenen Daten etwas geschehen könnte, ein tauglicher Grund für Schmerzensgeld und kann für das datenverarbeitende Unternehmen eine Strafe für die Datenschutzverletzung bedeuten.
In der Summe kann also schon durch einen einzigen Datenschutzvorfall durch die Kombination aus Bußgeld, Schadensersatz und Schmerzensgeld eine stattliche Summe auf das Unternehmen zukommen.