<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=219905&amp;fmt=gif">
close

Kontaktieren Sie uns jetzt
für Ihr individuelles Angebot

Oder buchen Sie hier direkt einen Termin

(089) 8967 410 600
userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Spätestens seit der Einführung der DSGVO (Datenschutz-Grundverordnung) im Jahr 2018 spielt das Thema Datenschutz eine zentrale Rolle in jedem Unternehmen. Wird im Betrieb eine Datenschutzpanne aufgedeckt, gilt es, schnell zu handeln. Doch wann ist ein Datenschutzverstoß meldepflichtig und wie gehen Sie bei einem Vorfall am besten vor? Wird durch einen DSGVO-Verstoß ein Bußgeld fällig, steht zudem die Frage im Raum, wer für den Schaden haftet und für die Kosten aufkommt. Alles Wissenswerte zum Thema Datenschutzverstoß erfahren Sie hier. Zudem geben wir Tipps, wie Sie einem Vorfall aktiv entgegenwirken.

Das Wichtigste in Kürze

  • Nicht jede Datenschutzverletzung muss der Aufsichtsbehörde gemeldet werden. Trotzdem sollten Datenpannen ernst genommen werden.
  • Liegt ein meldepflichtiger Datenschutzverstoß vor, muss dieser innerhalb von 72 Stunden nachdem er bekannt wurde, gemeldet werden.
  • Je nach Umfang und Sensibilität der verlorenen Daten können hohe Bußgelder verhängt werden.
  • Die Haftung beim Datenschutzverstoß liegt grundsätzlich beim Unternehmen als Verantwortlichen. Unter Umständen kann auch der vom Unternehmen bestellte Datenschutzbeauftragte haften.
  • Durch sorgfältig getroffene Maßnahmen und eine klare Zuständigkeitszuweisung kann Datenschutzpannen aktiv entgegengewirkt werden.

In diesem Beitrag

Wann handelt es sich um einen Datenschutzverstoß?

Ob ein Datenschutzverstoß bei der Aufsichtsbehörde gemeldet werden muss, hängt vom individuellen Risiko ab, welches durch den Schadensfall für die Rechte und Grundfreiheiten der betroffenen Personen entsteht.

Bevor also eine Meldung bei der Aufsichtsbehörde erfolgt, muss eine genaue Analyse der Datenpanne erfolgen. Dabei müssen der Verantwortliche und der Datenschutzbeauftragte eng zusammenarbeiten. Sollte die Bewertung ein Risiko für die Rechte und Freiheiten der Betroffenen ergeben, muss die zuständige Aufsichtsbehörde umgehend, ggf. spätestens nach 72 Stunden, benachrichtigt werden.  

Geht mit dem Datenleck sogar ein hohes Risiko für die Betroffenen einher (z. B. weil besondere Datenkategorien wie Religionszugehörigkeit oder Gesundheitsdaten offengelegt wurden), müssen auch die betroffenen Personen über den Vorfall und seinen Umfang informiert werden. So sind die unterschiedlichen Risikostufen beispielhaft einzuordnen:

 

Geringes Risiko

z. B. der Verlust eines Speichermediums mit personenbezogenen Daten, die aber im Vorfeld nach dem aktuellen Stand der Technik verschlüsselt wurden, sodass ein Datenleck unwahrscheinlich ist.

Normales bis mittleres Risiko

z. B. der Versand eines Newsletters, bei dem alle Adressaten für jeden Empfänger des Newsletters einsehbar sind (weil die Adressen beispielsweise in das „CC“-Feld und nicht das „BCC“-Feld eingetragen wurden).

Hohes Risiko

z. B. wenn besonders sensible Daten, wie beispielsweise medizinische Diagnosen oder Bankverbindungen veröffentlicht werden oder nachweislich durch Dritte eingesehen werden können.

Weitere Beispiele finden Sie hier.

Meldepflichtige DSGVO-Verstöße

Vor dem Inkrafttreten der DSGVO war der Verantwortliche nur bei bestimmten Datenarten zur Meldung der Datenschutzvorfälle verpflichtet. Diese Datenarten hat der Gesetzgeber in den alten Bestimmungen des Bundesdatenschutzgesetzes (BDSG) und Telemediengesetz (TMG) als besonders sensibel eingestuft. Die Pflicht zur Meldung einer Datenpanne war damit eher ein Ausnahmefall.

Mit dem Inkrafttreten der DSGVO wurde dieses Regel-Ausnahme-Prinzip in eine grundsätzliche Meldepflicht sämtlicher Datenschutzverletzungen umgewandelt. Dies macht eine gründliche Analyse sämtlicher Schutzverletzungen unentbehrlich. Mögliche Beispiele für einen meldepflichtigen DSGVO – Verstoß sind:

  • Hackerangriffe auf die IT-Infrastruktur eines Unternehmens, die die Ausspähung oder Veröffentlichung von Mitarbeiter- und/oder Kundendaten zur Folge hat
  • In Einem Call-Center werden Kundendaten auf eine einfache Aufforderung der Anrufenden mitgeteilt, ohne ihre Identität zu überprüfen
  • Versand von Werbe-E-Mails an eine große Anzahl der Kunden, deren Adressen im CC-Feld (anstatt im BCC-Feld) erfasst werden.     

Gut zu wissen: Ihre Auftragsverarbeiter (AV) sind verpflichtet, Ihnen eine Schutzverletzung zu melden. Wie dies im Einzelfall zu erfolgen hat, sollte in Ihrem Auftragsverarbeitungsvertrag geregelt sein.

Nicht meldepflichtige Fälle von Datenschutzverletzung

Um das Risiko im Einzelfall richtig einzuschätzen, sollten Sie sich in jedem Fall an Ihren Datenschutzbeauftragten wenden. Wird das durch die Datenschutzverletzung entstandene Risiko durch Ihren Datenschutzexperten als gering eingestuft, so müssen Sie die Datenschutzpanne nicht zwingend melden. Hier ist Genauigkeit gefragt: Überprüfen Sie akribisch, wie viele Personen von dem Datenschutzverstoß betroffen sind und welche Daten konkret verloren gegangen sind. Je sensibler die betroffenen Daten und je größer der Personenkreis, desto höher ist auch das Risiko.

Sollten Sie nach Absprache mit Ihrem Datenschutzbeauftragten von der Meldung absehen, ist diese Entscheidung immer zu dokumentieren. Beschreiben Sie die Umstände des Falles genau und halten Sie die Gründe für die unterbliebene Meldung schriftlich fest. Diese interne Dokumentation ist zwingend erforderlich und folgt direkt aus den Bestimmungen der DSGVO. Im Fall einer Kontrolle durch die Aufsichtsbehörde, soll diese Dokumentation eine Überprüfung des Falles ermöglichen.

So handeln Sie bei einer Datenschutzverletzung

Wird Ihnen ein DSGVO-Verstoß in Ihrem Unternehmen bekannt, so gilt es, möglichst schnell zu handeln. Dabei ist es sinnvoll, einem strukturierten Reaktionsplan zu folgen. Eine meldepflichtige Datenschutzpanne müssen Sie umgehend, in jedem Fall aber innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde melden. Verhaltensmaßnahmen im Fall einer Datenschutzverletzung sollten gemeinsam mit Ihrem Datenschutzbeauftragten festgelegt werden. So können Sie im Ernstfall eine genaue Risikoanalyse durchführen und geeignete Schutzmaßnahmen in die Wege leiten.

Reaktionsplan bei einer Datenschutzpanne

Folge Maßnahmen sollten Sie einleiten, sobald Ihnen eine Datenschutzverletzung im Unternehmen bekannt wird: 

  1. Kontakt zu Ihrem Datenschutzbeauftragten aufnehmen: Der Datenschutzbeauftragte hilft Ihnen bei der Risikoeinschätzung sowie bei der Einleitung der nächsten Schritte.
  2. Den Fall überprüfen: Da nicht jeder Schadensfall meldepflichtig ist, sollten Sie gemeinsam das Risiko für die betroffenen Personen überprüfen und einstufen. Dabei sind z. B. folgende Merkmale zu berücksichtigen:
    1. Wer ist von der Datenpanne betroffen?
    2. Welche personenbezogenen Daten sind betroffen?
    3. Was ist das mögliche Ausmaß des Ereignisses und der Schadensrisiko für die betroffenen Personen?
  3. Sofortige Gegenmaßnahmen ergreifen: Wurden Fehler in den Verarbeitungsprozessen festgestellt, sind diese umgehend zu beheben. Es sollten auch sofortige Schritte zur Reduzierung des Risikos eingeleitet werden, wie z. B. unternehmensweite Passwortänderungen.
  4. Betroffene Personen informieren: Bestehen durch die Datenschutzpanne hohe Risiken für die persönlichen Rechte oder die individuelle Freiheit der betroffenen Personen, müssen diese benachrichtigt werden.
  5. Den Fall bei der Aufsichtsbehörde melden: Ist auf Grundlage der o. g. Punkte das Risiko zu bejahen, muss der Datenschutzverstoß der zuständigen Aufsichtsbehörde Ihres Bundeslandes gemeldet werden. Hierfür haben Sie 72 Stunden Zeit.
  6. Datenschutzverstößen in Zukunft vorbeugen: Haben strukturelle Fehler oder Sicherheitslücken im Unternehmen zur Datenschutzverletzung beigetragen ist, so sollten diese behoben und optimiert werden. Weitere Vorsichtsmaßnahmen können Sie mit Ihrem DSB besprechen. Sollte Ihr Unternehmen keinen Datenschutzbeauftragten benannt haben, weil Sie hierzu gesetzlich nicht verpflichtet sind, sollte zumindest ein zentraler Ansprechpartner in Sachen Datenschutz und -sicherheit bestimmt werden.

Bitte beachten Sie, dass es sich bei diesem Reaktionsplan um ein Musterplan für ein mögliches Vorgehen handelt. Die konkreten Maßnahmen im Einzelfall sollten Sie immer mit Ihrem Datenschutzbeauftragten besprechen.

So melden Sie einen Datenschutzvorfall

Die Schutzverletzung ist im oben beschriebenen Zeitrahmen bei der zuständigen Aufsichtsbehörde zu melden. Sollten Sie innerhalb der 72 Stunden nicht sämtliche Informationen zum Vorfall bereitstellen können, können Sie diese ggf. schrittweise zur Verfügung stellen. In jedem Fall ist zumindest eine Erstmeldung mit dem groben Umriss des Ereignisses vorzunehmen. Viele Aufsichtsbehörden stellen Online-Formulare zur Verfügung, mit denen eine Meldung schnell und einfach vorgenommen werden kann.

Das sind die möglichen Folgen einer Datenschutzverletzung

Wird die Meldepflicht missachtet, obwohl Gründe für eine Meldung vorlagen, stellt dies einen bußgeldbewehrten Verstoß gegen die Bestimmungen der DSGVO dar. Die Aufsichtsbehörde kann in diesem Fall ein Bußgeld von bis zu 10 Mio. EUR oder – im Fall eines Unternehmens – von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes verhängen (je nachdem, welcher der Beträge höher ist). Selbstverständlich werden von den Behörden sämtliche Umstände der Datenschutzverletzung berücksichtigt, sodass die gesetzliche Bußgeldobergrenze nur in besonderen Ausnahmefällen erreicht werden dürfte. Nichtsdestotrotz sind die Bußgelder im fünf- bis sechsstelligen Bereich keine Seltenheit.

Wer haftet bei einer Datenschutzverletzung?

Für eine Verletzung des Datenschutzes haftet prinzipiell der Verantwortliche. In Bestimmten Fällen kann eine Regresshaftung des Datenschutzbeauftragten eine Rolle spielen (z. B. bei Schäden, die dem Verantwortlichen als Folge mangelnder Pflichterfüllung des DSB entstanden sind). Bei einem internen (betrieblichen) Datenschutzbeauftragten sind die Grundsätze der beschränkten Arbeitnehmerhaftung zu berücksichtigen, bei denen insbesondere der Grad der Fahrlässigkeit beim Handeln des Datenschutzbeauftragten eine Rolle spielt. Bei einem externen Datenschutzbeauftragten greift diese Einschränkung nicht.

Haftung interner DSB

Haftung externer DSB

-       Der interne DSB haftet grundsätzlich dann, wenn er nachweislich vorsätzlich oder grob fahrlässig gehandelt hat.

-       Die Haftung eines internen DSB ist durch Arbeitnehmerrechte begrenzt.

-       Darüber hinaus greift prinzipiell die Beweislastumkehr, sodass das Unternehmen die Pflichtverletzung durch den internen Datenschutzbeauftragten beweisen muss.

-       Externe Datenschutzbeauftragte haften grundsätzlich im vollen Umfang für die begangenen Pflichtverletzungen. Die Vertragsparteien können allerdings einen abweichenden Haftungsmaßstab vereinbaren.

-       In der Regel kommt die Haftpflichtversicherung des externen DSB oder die seines Arbeitgebers im Schadensfall zu tragen. Eine Ausnahme kann gelten, wenn der externe DSB vorsätzlich schadhaft gehandelt hat.

 

So vermeiden Sie Datenpannen

Neben hohen Bußgeldern führt eine Datenschutzverletzung im schlimmsten Fall auch zu einem erheblichen Imageschaden. Fällt z.B. ein Datenleck besonders groß aus und wird es erst später gemeldet oder womöglich vertuscht, steht das Vertrauen Ihrer Kunden und Partner auf dem Spiel. Um die Schäden durch Datenschutzpannen von vornherein zu vermeiden, sollten Sie stets einen Überblick über die betriebsinternen Verarbeitungsprozesse behalten und diese mit größter Vorsicht und Verantwortung verwalten.

Datenschutzbeauftragte unterstützen Sie bei der Fehlervermeidung

Ein qualifizierter Datenschutzbeauftragter ist der beste Schutz vor Datenschutzvertößen! Er unterstützt Sie bei allen Fragen und Aufgaben rund um den Datenschutz. Zu Beginn seiner Arbeit führt der DSB eine Datenschutzprüfung (bzw. ein Datenschutzaudit) durch und verschafft sich dadurch einen Überblick über die internen Prozesse Ihres Unternehmens, in denen personenbezogene Daten verarbeitet werden. Aufbauend auf den Ergebnissen werden sofortige Maßnahmen ergriffen, die Datenschutzverstößen vorbeugen sollen. Welche Maßnahmen dies konkret sind, hängt immer von dem jeweiligen Geschäftsmodell und der Komplexität Ihrer internen Prozesse ab.

Ob Sie sich letztendlich für einen internen oder externen Datenschutzbeauftragten entscheiden, bleibt Ihnen überlassen. Beide Modelle sind durch ihre unterschiedlichen Vor- und Nachteile bekannt. Da der externe Datenschutzbeauftragte tagtäglich mit branchenspezifischen, datenschutzrechtlichen Fragen konfrontiert wird, verfügt er unzweifelhaft über eine besondere, datenschutzrechtliche Expertise. Darüber hinaus stehen hinter ihm Expertenteams aus Juristen und Spezialisten in der IT-Sicherheit. So kann der externe Datenschutzbeauftragte schnell auf das das gebündelte Know-how anderer Spezialisten zurückgreifen.

Fazit: Bei Datenschutzverstößen ist schnelles Handeln gefragt

Das Thema Datenschutz sollte mit höchster Verantwortung behandelt und professionell betreut werden. Wird in Ihrem Unternehmen ein Verstoß gegen die DSGVO aufgedeckt, so sollten zunächst dringende Gegenmaßnahmen getroffen und die Auswirkungen für die betroffene Personengruppe eingeschätzt werden. Dies muss stets nach enger Absprache mit Ihrem Datenschutzbeauftragten erfolgen. Um Datenschutzverletzungen aktiv vorzubeugen und entgegenzuwirken, ist eine akribische Untersuchung der vorhandenen Prozesse und Sicherheitsmaßnahmen zwingend erforderlich. Ein qualifizierter Datenschutzbeauftragter unterstützt Sie bei diesem Prozess und kann auch wertvolle Hilfe bei dem Dialog mit der Aufsichtsbehörde leisten.

 

Wer kümmert sich eigentlich um Ihren Datenschutz?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten, lernen Sie uns persönlich kennen und beugen Sie Datenschutzverletzungen vor.

Kostenloses Erstgespräch vereinbaren

 

 

Jetzt noch mehr herausholen.

Wohin soll Ihre Reise heute noch gehen?

1. Wir unterstützen Sie, ihre Ziele erfolgreich umzusetzen

Sie sind sich unsicher, wie Sie Datenschutz und Informationssicherheit am besten umsetzen? Wir begleiten Sie gern auf dem Weg, die richtigen Entscheidungen in diesen Bereichen zu treffen. Doch der nächste Schritt liegt nun an Ihnen. Nutzen Sie gern unsere kostenfreien Inhalte, um sich weiter zu informieren, oder nehmen Sie einfach direkt Kontakt zu uns auf. Wir freuen uns auf Sie! 

Hier kostenloses Erstgespräch vereinbaren

3. Kontaktieren Sie uns

Bereits mehr als 1.500 Unternehmen vertrauen auf unseren Service. Zögern auch Sie nicht und treten Sie mit uns in Kontakt!

close