Startseite/Abmahnung, Datenschutz/Datenschutz-Verstoß – Ein FAQ

Aufgrund von technischen Vorfällen im IT-Bereich, einem Virenbefall auf dem PC, Hackerangriffen oder einem anderen ungewollten Missgeschick kann es ungewollt zu einem Verstoß gegen die Datenschutzgrundverordnung, einer Datenschutzverletzung oder einer Datenschutzpanne kommen.

In diesem Artikel erfahren Sie alles, was Sie zu diesem Thema wissen müssen.

Personenbezogene Daten gehören im besonderen Maße geschützt, ansonsten können daraus schnell rechtliche Konsequenzen folgen. Schließlich unterliegen Unternehmen der Informationspflicht gegenüber den Datenschutzbehörden, die sich aus Art. 33 sowie Art. 34 DSGVO ergibt. Sehr sensible Daten wie zum Beispiel Informationen über den Gesundheitsstand oder Kontoinformationen stehen unter einem besonderen Schutz.

Ein Verstoß kann zu einem besonders hohen DSGVO Bußgeld oder weiteren DSGVO Strafen führen. Rufschädigungen oder Imageschäden sind eventuelle Folgeschäden, die nach einem Datenschutz-Vorfall in einem Unternehmen durchaus auftreten können und im besonderen Maße zu beachten sind.

Datenschutzverstoß oder Datenschutzverletzung – wo liegt der Unterschied?

Die Begriffe Datenschutzverletzung und Datenschutzverstoß werden im Volksmund oft als gleichbedeutend angesehen – dennoch stecken hinter den beiden Begriffen unterschiedliche Bedeutungen.

Wann liegt eine Datenschutzverletzung vor?

Eine Datenschutzverletzung liegt lediglich dann vor, wenn es sich um eine Verletzung des Schutzes von personenbezogenen Daten handelt. Gemäß Art. 4 Nr. 12 DSGVO und Art. 33 DSGVO liegt eine Datenschutzverletzung zum Beispiel dann vor, wenn es die Verletzung der Sicherheit mit folgenden dargelegten Voraussetzungen laut Gesetzeslage betrifft.

Wann liegt ein Datenschutzverstoß vor?

Unter einem Datenschutzverstoß ist jeder Verstoß gegen die Datenschutzgrundverordnung zu verstehen. Der Verstoß kann sowohl eine Ordnungswidrigkeit als auch eine Straftat sein. Datenschutzverstöße können bereits aus Unachtsamkeit entstehen und entstehen daher nicht nur durch einen Hackerangriff.

Persönliche Daten sind daher im besonderen Maße zu schützen und es ist bei einem unabsichtlichen Verlust von Daten unbedingt eine strikte datenschutzkonforme Vorgehensweise einzuhalten, um hohe Bußgelder von verlorenen personenbezogenen Daten und einen Imageschaden zu vermeiden.

Wussten Sie, dass viele Datenschutzverstöße durch ehemalige Arbeitnehmer gemeldet werden? Ein Grund mehr, sich mit dem Thema Arbeitnehmerdatenschutz zu beschäftigen.

Was tut man bei einem Verstoß gegen den Datenschutz?

Eine Meldepflicht bei der Aufsichtsbehörde nach Art. 33 DSGVO ergibt sich aufgrund eines Verstoßes gegen den Datenschutz und ist demnach unerlässlich und immer dann der Fall, wenn die Rechte und Freiheiten Dritter einem Risiko ausgesetzt sind. Keine Meldepflicht besteht nur dann, wenn die Datenpanne nicht zu einem Risiko von Rechten und Freiheiten Dritter führt. Ist im Unternehmen gegen den Datenschutz verstoßen worden, so ist der Verstoß unmittelbar mit dem Datenschutzbeauftragten zu melden.

Bei gravierenden Datenverstößen ohne Meldung können DSGVO Bußgelder sogar in Millionenhöhe liegen. Bei einem Auftragsverarbeiter ist dies ebenso der Fall und ein Verstoß gegen den Datenschutz muss nach der Risikoabwägung gemeldet werden. Schließlich hat ein Auftragsverarbeiter eine Mitwirkungspflicht aus Art. 33 II DSGVO.

Muss ich einen Datenschutzverstoß melden? Wenn ja, wann?

Ein Datenschutzverstoß ist unbedingt innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Im besten Fall so früh wie möglich. Idealerweise informiert das Unternehmen zudem den zuständigen Datenschutzbeauftragten und klärt die alle weiteren Schritte mit zuständigen Ansprechpartnern. Bei einem Unterlassen einer Meldung an die Aufsichtsbehörde können mehrere Millionen Euro Bußgeld (bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes) fällig sein. Fehlende datenschutzrechtliche Maßnahmen können ebenso einen bedeutenden Imageschaden hervorrufen.

Müssen die Personen, die vom Datenschutzverstoß betroffen sind, benachrichtigt werden?

Durchaus kann es gemäß Art. 34 DSGVO erforderlich sein, dass eine Meldepflicht gegenüber der betroffenen natürlichen Person besteht und diese über dem Datenschutzverstoß zu informieren. Laut Gesetzeslage besteht die Meldepflicht gegenüber der betroffenen natürlichen Person allerdings nur dann, wenn durch die Datenschutzverletzung ein besonders hohes Risiko besteht.

Besonders hoch einzustufen sind personenbezogene Daten aus den Kategorien nach Art. 9 Abs. 1 DSGVO. Dazu zählen zum Beispiel Angaben über den Gesundheitszustand oder die ethnische Herkunft. Daten über strafrechtliche Verurteilungen oder Authentifizierungsdaten zum Beispiel von der E-Mail-Adresse zählen ebenso dazu.

Muss ich mit Strafen rechnen, wenn ich den Verstoß nicht melde?

Kommen Unternehmen beziehungsweise die Verantwortlichen der Meldung an die Aufsichtsbehörde nicht nach, kann das Unterlassen nach Art. 83 Abs. 4 lit. a DSGVO geahndet werden und hohe Geldbußen mit sich bringen. Eine fehlerhafte oder wissentlich unvollständige Meldung oder eine fehlende oder unvollständige Dokumentationen kann ebenso zu Sanktionen führen. Ferner kann ein Datenschutzverstoß auch einen immateriellen Schaden hervorrufen. Ein Vertrauensverlust vonseiten der Mitarbeiter, Kunden und weiteren Geschäftspartnern kann durchaus die Folge sein. Daher ist eine unmittelbare Meldung an die zuständige Aufsichtsbehörde ein wichtiger Schritt, um das Risiko so gering wie möglich zu halten.

Wie kann ich eine Rufschädigung nach einem offengelegten Verstoß vermeiden?

Vorsorge ist in diesem Fall der beste Schutz. Das bedeutet, dass das Unternehmen bezüglich des Datenschutzes stets auf dem aktuellen Stand sein sollte, um jegliche Datenpannen und Bußgelder zu vermeiden. Dennoch kann auch bei einem hohen datenschutzkonformen Level durchaus nicht Hackerangriffe auftreten, die zu einem unzulässigen Offenlegen der Daten oder darüber hinaus zu einem Datenverlust führen. Ein interner oder externer Datenschutzbeauftragter ist im Vorfeld stets ein wichtiger Ansprechpartner.

Liegt ein Verstoß gegen den Datenschutz vor, so muss der Informationspflicht nachgegangen werden. Ein kompetenter, professioneller und vertrauenswürdiger Umgang und die Einschaltung von Experten unterstreicht die Interessen von Mitarbeitern, Kunden und weiteren Geschäftspartnern und steht ebenso einer Rufschädigung sowie einer DSGVO Strafe und Bußgeldern entgegen. Die Achtung von persönlichen Daten und die strikte Einhaltung der Datenschutzrichtlinie steht dabei im Fokus.

Sie haben Fragen zu diesem Thema?
Wir sind gerne für Sie da!

Kontakt aufnehmen

Diese Artikel könnten Sie auch interessieren:

Zur Startseite
Zur Blog-Übersicht