Verstoß gegen den Datenschutz: Beispiele, die gemeldet werden müssen

Datenschutzverstöße können mit Bußgeldern geahndet werden – nicht nur deshalb spielt die DS-GVO in Unternehmen eine wichtige Rolle. Doch was sind eigentlich Verstöße gegen den Datenschutz und wann müssen diese gemeldet werden? Wir zeigen Ihnen Datenschutzverstoß-Beispiele aus der Praxis, die Ihnen eine genaue Einschätzung der Fälle erlauben. So können auch Sie künftig rasch erkennen, ob es sich in Ihrem Fall um einen meldepflichtigen Verstoß handelt oder nicht.

Das Wichtigste in Kürze

  • Nicht jeder vermeintliche Verstoß gegen die Datenschutzgrundverordnung ist meldepflichtig.
  • Die unberechtigte Veröffentlichung von personenbezogenen Daten ist ein mögliches Beispiel für einen meldepflichtigen Verstoß. Der Klassiker hierbei ist noch immer eine E-Mail, die an den falschen Empfänger versendet wurde.
  • Wird auf Nachfrage keine Auskunft über die gespeicherten Daten von Personen gegeben, ist das ebenfalls ein Beispiel für einen Verstoß gegen den Datenschutz.
  • Die DS-GVO fährt mit seinem Art. 32 einen risikoorientierten Ansatz. Im Zweifelsfall ist die Rücksprache mit Ihrem Datenschutzbeauftragten essenziell.

In diesem Beitrag

  1. Datenschutz-Verstoß: Beispiele im Überblick
  2. Verstoß gegen den Datenschutz: Beispiele aus formaler Sicht
  3. Datenschutzverstöße bezüglich der Speicherung und Verarbeitung persönlicher Daten
  4. Datenschutzverstöße im persönlichen Kontakt mit Betroffenen
  5. Datenschutzverstoß-Beispiele in Hinblick auf die Meldepflicht
  6. Abgrenzung zur Datenpanne
  7. Fazit: Beispiele bei Verstoß gegen den Datenschutz sehr unterschiedlich

Datenschutz-Verstoß: Beispiele im Überblick

Liegt ein Verstoß gegen den Datenschutz vor? Die Beispiele der möglichen Datenschutzverstöße sind nahezu unendlich, da die Regelungen der DS-GVO mitunter sehr komplex sind. Trotzdem gibt es einige Verstöße, die in der Praxis gehäuft vorkommen. Diese stellen wir Ihnen nachfolgend vor.

Verstoß gegen den Datenschutz: Beispiele aus formaler Sicht

1. Kein Datenschutzbeauftragter im Unternehmen

Ein mögliches Beispiel für einen Verstoß gegen den Datenschutz ist, als Unternehmen keinen Datenschutzbeauftragten zu benennen, obwohl die Verpflichtung dazu bestünde. Wenn mindestens 20 Personen im Betrieb ständig mit der Speicherung oder Verarbeitung personenbezogener Daten beschäftigt sind, muss ein DSB benannt werden – so zumindest die weit verbreitet Annahme. Die Schwelle von 20 Personen ist jedoch nicht die einzige Anforderung für die Ernennung eines Datenschutzbeauftragten. Unabhängig von der Personenanzahl kann bei Firmen aus bestimmten Branchen, wie z. B. dem Gesundheitswesen, bei denen besonders sensible Daten (wie Gesundheitsdaten) zum Tagesgeschäft gehören, kann ein Datenschutzbeauftragter Pflicht sein. Wenn Sie zu den Unternehmen gehören, die zwingend einen DSB benötigen, aber trotzdem keinen haben, zählt dies als Datenschutzverstoß.

Losgelöst von der gesetzlichen Verpflichtung, einen Datenschutzbeauftragten benennen zu müssen, ist darauf hinzuweisen, dass ein Unternehmen trotzdem die Vorgaben der DS-GVO und des Datenschutzes einhalten muss.

2. Fehlende oder fehlerhafte Datenschutzerklärung

Ein häufiger Verstoß betrifft auch die Darstellung der verpflichtenden Datenschutzerklärung für Ihre Website, wenn dort personenbezogene Daten erhoben werden. Fehlt die Datenschutzerklärung, obwohl beispielsweise die IP-Adresse des Website-Besuchers, sein Standort oder seine E-Mail-Adresse erhoben werden, handelt es sich hierbei um inhaltliche Mängel der Erklärung – und damit um einen Verstoß.

Sie müssen in der Datenschutzerklärung genau darlegen, welche Informationen aufgenommen, wie lange die erhobenen Daten gespeichert und wofür diese genutzt werden. Auch sollte eine einfache und allgemein verständliche Sprache verwendet werden. Wenn Sie einen internen oder externen Datenschutzbeauftragten benannt haben, muss dieser in der Datenschutzerklärung benannt werden.

Datenschutzverstöße bezüglich der Speicherung und Verarbeitung persönlicher Daten

1. Datenspeicherung und Weitergabe ohne Einverständnis der Betroffenen

Wenn Sie personenbezogene Daten von Personen aufnehmen, ohne dass diese davon wissen oder ihr Einverständnis erteilt haben, handelt es sich dabei um ein typisches Datenschutzverstoß-Beispiel. Das kann etwa die Eintragung in den Mailingverteiler für einen Newsletter sein, ohne dass diesem Umstand aktiv zugestimmt wurde.

Nutzen Sie die personenbezogenen Informationen, um diese an andere Unternehmen zu verkaufen oder sich dadurch anderweitig Vorteile zu verschaffen, ohne das hier die zu beachtenden datenschutzrechtlichen Stellschrauben eingehalten wurden, ist dies eine vorsätzliche Verletzung des Datenschutzes, die mit besonders hohen Bußgeldern geahndet werden kann.

2. Verlust von personenbezogenen Daten

Datenschutzverstöße umfassen ebenfalls den Verlust von personenbezogenen Daten, sodass diese im schlimmsten Fall durch Dritte einsehbar sind. Das kann der Fall sein, wenn Sie ein firmeninternes Speichermedium verlieren, das die erhobenen Daten von Kunden und Partnern enthält. Auch ein Hackerangriff, der aufgrund mangelnder Sicherheitsvorkehrungen stattfinden konnte, ist in diesem Bereich angesiedelt.

Oder Sie haben versehentlich eine Rundmail so verschickt, dass die Adressen aller Empfänger für die jeweils anderen sichtbar sind (Verteiler in CC und nicht in BCC). Hierdurch erhalten Unbefugte den Zugriff auf die persönlichen Daten, ohne dass Sie dies beabsichtigt haben.

Datenschutzverstöße im persönlichen Kontakt mit Betroffenen

Sie sind als Unternehmen dazu verpflichtet, die gespeicherten personenbezogenen Daten eines Kunden auf dessen Anfrage herauszugeben. Wurden personenbezogene Daten angefragt, aber nicht innerhalb eines angemessenen Zeitrahmens mitgeteilt oder die Anfrage sogar vollständig ignoriert, ist das ein weiteres typisches Datenschutzverstoß-Beispiel. Sie sollten sich in diesen Fällen um eine zeitnahe und detaillierte Auskunft bemühen.

Meistens reicht es nicht aus, lediglich die erhobenen Daten zu versenden. Es ist u.a. mit anzugeben, wofür die Daten genutzt und wem sie gegebenenfalls weitergegeben wurden. Besonders professionell wirkt für dieses Schreiben ein Brief an Stelle einer E-Mail. Hierdurch kann ebenfalls die Integrität des Inhalts gewährleistet werden.

Datenschutzverstoß-Beispiele in Hinblick auf die Meldepflicht

Sie haben eines der bisher genannten Beispiele festgestellt, aber den Datenschutzverstoß nicht bei der zuständigen Aufsichtsbehörde gemeldet? Dann haben Sie unter Umständen ebenfalls gegen Artikel 33 DS-GVO verstoßen, denn bei Verstößen gilt eine grundsätzliche Meldepflicht bei der Aufsichtsbehörde. Sie haben für die Meldung 72 Stunden Zeit. Wenn sich herausstellt, dass Sie die Meldepflicht verletzt haben, müssen Sie mit (weiteren) Bußgeldern rechnen. Zudem könnte Ihr Unternehmen einen Imageschaden erleiden.

Abgrenzung zur Datenpanne

Gut zu wissen: Nicht jeder Verstoß löst eine Meldepflicht aus. Wichtig ist es, das individuelle Risiko durch den Schadensfall zu ermitteln. Wurde beispielsweise ein USB-Stick mit sensiblen Daten entwendet, das Medium oder die Daten sind jedoch sicher verschlüsselt, wird argumentiert werden können, dass dies nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führen wird. Es gilt abzuwägen, ob es sich um einen meldepflichtigen Datenschutzverstoß mit empfindlichen Konsequenzen für die betroffenen Personen handelt.

Faustregel: Sie müssen Datenpannen im Firmenalltag immer dann melden, wenn „normale“ oder hohe Risiken bestehen. Bei normalen Risiken reicht die Meldung an die zuständige Aufsichtsbehörde in Ihrem Bundesland, bei hohen Risiken müssen Sie zusätzlich die Betroffenen informieren.

Sollten Sie sich nicht sicher sein, ob solch ein Risiko vorliegt, wird durch den risikobasierten Einsatz der DS-GVO eine Meldung durchzuführen sein. Bei den Betroffenen handelt es sich um die Personen, deren Daten verloren gegangen sind oder unbefugt weitergegeben wurden. Für die korrekte Einordnung des entstandenen Risikos sollten Sie sich an Ihren Datenschutzbeauftragten wenden.

Fazit: Beispiele bei Verstoß gegen den Datenschutz sehr unterschiedlich

Datenschutzverstöße können in den unterschiedlichsten Bereichen auftreten und verschiedene Auswirkungen haben. Um einen Überblick zu behalten und gar nicht erst einen Verstoß gegen die DS-GVO zu riskieren, lohnt sich die Benennung eines Datenschutzbeauftragten. Dieser prüft im Zweifelsfall, ob es sich um eine meldepflichtige Verletzung der DS-GVO handelt. Auch dient er generell als zuverlässiger Ansprechpartner in allen relevanten Fragen rund um das Thema Datenschutz.

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
49 (89) 442 55062 - 000 bundesweiter Service