Praxisbeispiele: So sieht ein meldepflichtiger Datenschutz-Verstoß aus

Datenpannen sind der Alptraum jedes Unternehmens: Anmeldedaten von Webseitenbesuchern geraten durch Schadsoftware in falsche Hände, USB-Sticks mit Mitarbeiterdaten gehen verloren, und Betriebsfeierfotos werden ungewollt öffentlich. Doch die Liste der Datenschutzverstöße ist lang und birgt die Gefahr von Bußgeldern und Imageschäden. Wir präsentieren Ihnen reale Beispiele für Datenschutzverstöße und erklären, wann solche Vorfälle gemeldet werden müssen. Mit unserem Überblick erkennen Sie schnell, ob ein Vorfall nur unangenehm oder auch meldepflichtig ist. Entdecken Sie, wie Sie Datenschutzverletzungen effektiv bewältigen können.

Das Wichtigste in Kürze

  • Nicht jeder vermeintliche Verstoß gegen die Datenschutzgrundverordnung ist meldepflichtig. 
  • Die unberechtigte Veröffentlichung von personenbezogenen Daten ist ein mögliches Beispiel für einen meldepflichtigen Verstoß. Der Klassiker hierbei ist noch immer eine E-Mail, die an den falschen Empfänger versendet wurde. 
  • Wird auf Nachfrage keine Auskunft über die gespeicherten Daten von Personen gegeben, ist das ebenfalls ein Beispiel für einen Verstoß gegen den Datenschutz. 
  • Liegt ein Datenschutzverstoß vor, entscheidet das Risiko für die Rechte und Freiheiten von Betroffenen über eine Meldepflicht.

Was versteht man unter einem Datenschutzverstoß?  

Ein Datenschutzverstoß ist jede Art von Missachtung der geltenden Datenschutzgesetze. Zu diesen gehören in Deutschland das Bundesdatenschutzgesetz (BDSG) und die Datenschutzgrundverordnung (DSGVO).   

Hat ein Unternehmen zum Beispiel keinen Datenschutzbeauftragten benannt, obwohl es dazu laut DSGVO verpflichtet ist, ist das ein Datenschutzverstoß. Meist wird der Begriff aber für Datenschutzverletzungen genutzt. Das sind Datenschutzverstöße, bei denen es zu einer „Verletzung des Schutzes personenbezogener Daten“ gekommen ist – also z. B. Hackerangriffe, die versehentliche Veröffentlichung personenbezogener Daten oder die unrechtmäßige Verarbeitung personenbezogener Daten.   

Was versteht man als Verletzung des Schutzes personenbezogener Daten?  

Alle Vorfälle, bei denen persönliche Daten unbeabsichtigt offengelegt, manipuliert oder vernichtet werden, gelten als Datenschutzverletzungen – oft auch Datenpannen genanntEs liegt in der Natur jeder Gesetzgebung, dass sie nicht jeden Einzelfall konkret beschreiben kann und gegebenenfalls von Gerichten ausgelegt werden muss.  

Dementsprechend allgemein ist ein Verstoß gegen den Schutz personenbezogener Daten definiert als jede unrechtmäßige oder unbeabsichtigte Handlung, die  

… zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt“ (vgl. Art. 4 Zif. 12 DS-GVO).  

Nicht minder allgemein gehalten ist die Formulierung, dass Datenschutzverstöße meldepflichtig sind, wenn sie „Freiheiten oder Rechte“ der betroffenen Personen gefährden. 

Ob ein Datenschutzverstoß gegenüber der Behörde allerdings meldepflichtig ist, hängt von den betroffenen Daten und dem daraus resultierenden Risiko für den Betroffenen ab. Zieht die Datenschutzpanne einen physischen, materiellen oder immateriellen Schaden nach sich, zum Beispiel ein Identitätsdiebstahl oder Rufschädigung, muss sie immer gemeldet werden. Bei der Entscheidung, in welchen Fällen eine Meldepflicht begründet sein könnte, sollten sich Unternehmen professionell beraten lassen.

 

Beispiele für Datenschutzverstöße aus der Praxis  

Beispiele aus formaler Sicht 

1. Kein Datenschutzbeauftragter im Unternehmen

Ein mögliches Beispiel für einen Verstoß gegen den Datenschutz ist, als Unternehmen keinen Datenschutzbeauftragten zu benennen, obwohl die Verpflichtung dazu bestünde. Wenn mindestens 20 Personen im Betrieb ständig mit der Speicherung oder Verarbeitung personenbezogener Daten beschäftigt sind, muss ein DSB benannt werden – so zumindest die weit verbreitet Annahme.   

Die Schwelle von 20 Personen ist jedoch nicht die einzige Anforderung für die Ernennung eines Datenschutzbeauftragten. Unabhängig von der Personenanzahl kann bei Firmen aus bestimmten Branchen, wie z. B. dem Gesundheitswesen, bei denen besonders sensible Daten (wie Gesundheitsdaten) zum Tagesgeschäft gehören, kann ein Datenschutzbeauftragter Pflicht sein. Wenn Sie zu den Unternehmen gehören, die zwingend einen DSB benötigen, aber trotzdem keinen haben, zählt dies als Datenschutzverstoß.  

Losgelöst von der gesetzlichen Verpflichtung, einen Datenschutzbeauftragten benennen zu müssen, ist darauf hinzuweisen, dass ein Unternehmen trotzdem die Vorgaben der DS-GVO und des Datenschutzes einhalten muss.  

2. Fehlende oder fehlerhafte Datenschutzerklärung

Ein häufiger Verstoß betrifft auch die Darstellung der verpflichtenden Datenschutzerklärung für Ihre Website, wenn dort personenbezogene Daten erhoben werden. Fehlt die Datenschutzerklärung, obwohl beispielsweise die IP-Adresse des Website-Besuchers, sein Standort oder seine E-Mail-Adresse erhoben werden, handelt es sich hierbei um inhaltliche Mängel der Erklärung – und damit um einen Verstoß. 

Sie müssen in der Datenschutzerklärung genau darlegen, welche Informationen aufgenommen, wie lange die erhobenen Daten gespeichert und wofür diese genutzt werden. Auch sollte eine einfache und allgemein verständliche Sprache verwendet werden. Wenn Sie einen internen oder externen Datenschutzbeauftragten benannt haben, muss dieser in der Datenschutzerklärung benannt werden. 

Als Kunde bei DataGuard haben Sie übrigens die Möglichkeit, Ihre Datenschutzerklärung in unserer Datenschutz-Plattform ganz einfach und individuell zu erstellen. 

Datenschutzverstöße bezüglich der Speicherung und Verarbeitung persönlicher Daten 

3. Datenspeicherung und Weitergabe ohne Einverständnis der Betroffenen

Wenn Sie personenbezogene Daten von Personen aufnehmen, ohne dass diese davon wissen oder ihr Einverständnis erteilt haben, handelt es sich dabei um ein typisches Datenschutzverstoßbeispiel. Das kann etwa die Eintragung in den Mailingverteiler für einen Newsletter sein, ohne dass diesem Umstand aktiv zugestimmt wurde.  

Nutzen Sie die personenbezogenen Informationen, um diese an andere Unternehmen zu verkaufen oder sich dadurch anderweitig Vorteile zu verschaffen, ohne dass hier die zu beachtenden datenschutzrechtlichen Stellschrauben eingehalten wurden, ist dies eine vorsätzliche Verletzung des Datenschutzes, die mit besonders hohen Bußgeldern geahndet werden kann. 

4. Verlust von personenbezogenen Daten

Datenschutzverstöße umfassen ebenfalls den Verlust von personenbezogenen Daten, sodass diese im schlimmsten Fall durch Dritte einsehbar sind. Das kann der Fall sein, wenn Sie ein firmeninternes Speichermedium verlieren, das die erhobenen Daten von Kunden und Partnern enthält. Auch ein Hackerangriff, der aufgrund mangelnder Sicherheitsvorkehrungen stattfinden konnte, ist in diesem Bereich angesiedelt. 

Oder Sie haben versehentlich eine Rundmail so verschickt, dass die Adressen aller Empfänger für die jeweils anderen sichtbar sind (Verteiler in CC und nicht in BCC). Hierdurch erhalten Unbefugte den Zugriff auf die persönlichen Daten, ohne dass Sie dies beabsichtigt haben. 

Datenschutzverstöße im persönlichen Kontakt mit Betroffenen 

Sie sind als Unternehmen dazu verpflichtet, die gespeicherten personenbezogenen Daten eines Kunden auf dessen Anfrage herauszugeben. Wurden personenbezogene Daten angefragt, aber nicht innerhalb eines angemessenen Zeitrahmens mitgeteilt oder die Anfrage sogar vollständig ignoriert, ist das ein weiteres typisches Datenschutzverstoßbeispiel. Sie sollten sich in diesen Fällen um eine zeitnahe und detaillierte Auskunft bemühen.  

Meistens reicht es nicht aus, lediglich die erhobenen Daten zu versenden. Es ist u.a. mit anzugeben, wofür die Daten genutzt und wem sie gegebenenfalls weitergegeben wurden. Besonders professionell wirkt für dieses Schreiben ein Brief an Stelle einer E-Mail. Hierdurch kann ebenfalls die Integrität des Inhalts gewährleistet werden.

 

Die Meldepflicht von Datenschutzverstößen nach DSGVO  

Die DSGVO der Europäischen Union hat auch die Meldepflichten bei einem Verstoß gegen Datenschutz neu geregelt. Verglichen mit der früheren Regelung durch das Bundesdatenschutzgesetz sind die Meldepflichten gegenüber den Aufsichtsbehörden deutlich verschärft worden. Demgegenüber müssen die Betroffenen selbst deutlich seltener über einen Verstoß gegen Datenschutz informiert werden.   

Das ist nur noch der Fall, wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten des Betroffenen besteht, etwa wenn es sich um besonders sensible Daten wie Gesundheitsdaten oder biometrische Daten handelt.  

Gut zu wissen: Nicht jeder Verstoß löst eine Meldepflicht aus. Wichtig ist es, das individuelle Risiko durch den Schadensfall zu ermitteln.  

 

Risiko für die persönlichen Rechte und Freiheiten des Betroffenen 

Meldepflicht an Aufsichtsbehörde notwendig? 

Meldepflicht an Betroffene notwendig? 

Niedrig 

Nein 

Nein 

Mittel 

Ja 

Nein 

Hoch 

Ja 

Ja 

 

Faustregel: Sie müssen Datenpannen im Firmenalltag immer dann melden, wenn „normale“ oder hohe Risiken bestehen. Bei normalen Risiken reicht die Meldung an die zuständige Aufsichtsbehörde in Ihrem Bundesland, bei hohen Risiken müssen Sie zusätzlich die Betroffenen informieren. 

Datenpanne 

Eher meldepflichtig 

Eher nicht meldepflichtig 

E-Mail an einen falschen Empfänger verschickt 

E-Mail mit Steuer- oder Gesundheitsdaten 

Teilnahmebestätigung 

Anmeldedaten von Besuchern einer Webseite gehen durch Schadsoftware verloren 

Dritte können auf Konten zugreifen 

Webseitenbetreiber bemerkt Vorfall schnell und sperren Konten rechtzeitig 

Ein USB-Stick mit sensiblen Daten wurde entwendet 

Die Daten befinden sich unverschlüsselt auf dem Speichermedium 

Das Medium oder die Daten sind sicher verschlüsselt  

Sollten Sie sich nicht sicher sein, ob solch ein Risiko vorliegt, wird durch den risikobasierten Einsatz der DSGVO eine Meldung durchzuführen sein. Bei den Betroffenen handelt es sich um die Personen, deren Daten verloren gegangen sind oder unbefugt weitergegeben wurden. Für die korrekte Einordnung des entstandenen Risikos sollten Sie sich an Ihren Datenschutzbeauftragten wenden. 

DataGuard Kunden

Die Meldefrist von Verletzungen des Schutzes personenbezogener Daten  

Der Artikel 33 der DSGVO schreibt vor, dass die Frist zu Meldung von Datenschutzverstößen an die Aufsichtsbehörde 72 Stunden nach Kenntnisnahme der Verletzung beträgt. Die Meldung muss die Art der Verletzung sowie Angaben zur ungefähren Zahl der betroffenen Personen und Datensätze enthalten. Außerdem sollte dargelegt werden, welche Maßnahmen geeignet erscheinen, die Folgen des Verstoßes zu mildern. 

Lesen Sie hier, wie Sie sich bei einer Datenpanne korrekt verhalten (inklusive Reaktionsplan).

Ob ein Datenschutzverstoß gemeldet werden muss, ist nicht immer ganz eindeutig. Wenn Unbefugte Zugang zu personenbezogenen Daten erhalten, ist dies ein meldepflichtiger Verstoß gegen Datenschutz. Es sei denn, dass die Verletzung nicht zu einem Risiko für die Rechte und Freiheit des Betroffenen führt. Wann das der Fall ist und wann nicht, ist zum Teil Interpretationssache.   

Fazit: Verschiedene Datenschutzverstöße werden sehr unterschiedlich bewertet 

Datenschutzverstöße können in den unterschiedlichsten Bereichen auftreten und verschiedene Auswirkungen haben. Um einen Überblick zu behalten und gar nicht erst einen Verstoß gegen die DSGVO zu riskieren, lohnt sich die Benennung eines Datenschutzbeauftragten.  

Dieser prüft im Zweifelsfall, ob es sich um eine meldepflichtige Verletzung der DSGVO handelt. Auch dient er generell als zuverlässiger Ansprechpartner in allen relevanten Fragen rund um das Thema Datenschutz. 

Wie teuer eine Datenpanne für Ihr Unternehmen werden kann?

Das lässt sich seriös nicht beziffern. Allein der Vertrauensverlust bei Kunden kann ein Unternehmen in die Insolvenz führen. Investitionen in den Datenschutz sind daher ein Muss und lohnen sich mit Sicherheit. 

Sie sind sich nicht sicher, ob Sie aktuell gegen die DSGVO verstoßen und somit einen Datenschutzverstoß begehen? Wir helfen Ihnen gerne weitere. Unsere Experten beraten Sie in einem ersten Gespräch kostenlos auf Ihrem Weg zur DSGVO-Compliance. Sollten

Sie dann interessiert sein, führen wir mit Ihnen eine Datenschutzbestandsaufnahme durch. So können wir Ihnen eine direkte Einschätzung geben, wie Sie in Sachen Datenschutz aufgestellt sind.

 
Top 6 privacy mistakes 212x234 DE Top 6 privacy mistakes 800x600 MOBILE DE

Die 6 häufigsten Datenschutzverstöße und wie sie vermieden werden

In diesem Whitepaper zeigen wir Ihnen, wie Sie die häufigsten Datenschutzfehler ganz einfach vermeiden. 

Jetzt kostenlos herunterladen
Torsten Wolf, Managing Director, brands4friends

E-Commerce ist ein Peoples' Business. Wir speichern personenbezogene Daten nicht nur, wir arbeiten damit. Umso wichtiger ist es für uns, datenschutzrechtlich auf der sicheren Seite zu sein. Mit DataGuard sind wir diesbezüglich sehr gut unterwegs.

Über den Autor

Bottom CTA Expert Female

Unsicher, ob Sie gegen die DSGVO verstoßen?

Sprechen Sie uns an

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren