Was gilt als Verletzung des Datenschutzes nach DSGVO?
Es kann jederzeit und jedem passieren — die Onlinewelt schafft neben vielen Möglichkeiten auch große Risiken. Hier einige Beispiele:
- Hinter einer E-Mail mit Anhang verbirgt sich eine Phishing-Mail, die Hackern den gewünschten Zugriff auf vertrauliche Kontodaten erlaubt.
- Die Hausbank verschickt die Steuerbescheinigung versehentlich an die falsche Adresse.
- Ein soziales Netzwerk wird gehackt und E-Mail-Adressen mit den dazugehörigen Passwörtern veröffentlicht.
- Eine E-Mail mit Gehaltsdaten wird an den falschen Empfängerkreis verschickt.
- Wegen irrtümlich im IT-System eingestellter Kompetenzen können unbefugte Mitarbeiter auf die Daten der Personalabteilung zugreifen.
Der Gesetzgeber versteht unter „Verletzung des Datenschutzes“ alle Vorfälle, die zur unbefugten Offenlegung, Vernichtung, Veränderung oder zum unbefugten Zugang personenbezogener Daten führt (Art. 4 Nr. 12 DSGVO). Die Daten können dabei gespeichert, übermittelt oder auf sonstige Weise verarbeitet worden sein.
Was ist die DSGVO?
Das Kürzel DSGVO steht für die Datenschutzgrundverordnung der EU, die seit dem 25. Mai 2018 anwendbar ist. Die Verordnung löst die Europäische Datenschutzrichtlinie ab, um das unterschiedlich umgesetzte Datenschutzrecht in den Mitgliedstaaten zu harmonisieren und zu modernisieren. Der neue Rechtsrahmen ist eine wichtige Voraussetzung, um gleiche Wettbewerbsbedingungen innerhalb der EU zu schaffen. Dabei gilt die DSGVO für öffentliche und nicht öffentliche Stellen gleichermaßen.
Extraterritoriale Wirkung
Auch wenn die Verordnung einen Rechtsrahmen für die Mitgliedstaaten der EU darstellt, unterliegen ihr unter Umständen auch Unternehmen außerhalb der Europäischen Union. Die DSGVO entfaltet eine besondere generalisierende (extraterritoriale) Wirkung, d. h. sie gilt auch, wenn:
- Unternehmen außerhalb der EU ihre Waren oder Dienstleistungen innerhalb der EU anbieten
oder
- außereuropäische Unternehmen Daten von in der EU wohnenden natürlichen Personen verarbeiten.
Benennung eines Datenschutzbeauftragten
Unternehmen, die systematisch Personen überwachen und hierzu Daten aufzeichnen, haben einen Datenschutzbeauftragten zu ernennen (Art. 37 b DSGVO). Dieser ist auch notwendig, wenn ein Unternehmen mit der Verarbeitung besonders schützenswerter personenbezogener Daten, beispielsweise religiöse Überzeugungen betraut ist.
Der Datenschutzbeauftragte muss eine geeignete berufliche Qualifikation sowie Fachwissen im Bereich Datenschutz vorweisen (z. B. Juristen). Er darf bei der Erfüllung der Aufgaben nach Art. 39 DSGVO nicht in Interessenkonflikte geraten. Daher dürfen u. a. Geschäftsführer, Gesellschafter oder Führungskräfte eines Unternehmens nicht ernannt werden.
Was tun nach einer Datenpanne?
Wenn Sie ein Datenleck oder eine versehentliche Offenlegung von Daten feststellen, heißt es, schnell zu sein. Ziel jeder Maßnahme ist es, die Datenschutzverletzung möglichst rasch einzudämmen und deren Auswirkungen zu begrenzen.
Darüber hinaus muss das Datenleck ggf. der zuständigen Aufsichtsbehörde gemeldet werden (Art. 33 DSGVO). Diese Meldung ist verpflichtend, wenn eine „Verletzung des Schutzes personenbezogener Daten“ feststellbar ist und ein „Risiko für die Rechte und Freiheiten natürlicher Personen“ besteht.
Dabei wird das Risiko vom Gesetzgeber nicht konkret definiert. Ausschlaggebend ist u. a.:
- die Anzahl der Betroffenen,
- wie persönlich die offengelegten Daten sind,
- ob die Daten zu weiterem Missbrauch einladen, wie z. B. Kreditkartendaten.
Dokumentations- und Meldepflichten
Jede Datenpanne muss genauestens geprüft und belegt werden, auch wenn sie nicht meldepflichtig sein sollte. Entscheidet sich ein Unternehmen, die Behörden nicht zu informieren, ist diese Vorgehensweise intern schriftlich zu begründen und zu dokumentieren.
Ist die Datenschutzverletzung nach einer rechtlichen Risikoeinschätzung so schwerwiegend, dass sie der zuständigen Datenschutzbehörde gemeldet werden muss, bleibt dafür ein Zeitfenster von 72 Stunden. Viele Unternehmen schrecken davor zurück, da häufig die Öffentlichkeit von umfangreichen oder besonders brisanten Datenlecks erfährt.
Verstöße gegen die DSGVO können teuer werden
Bei Verstößen gegen die DSGVO kann eine Strafe von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes eines betroffenen Unternehmens verhängt werden. Eine erforderliche Meldung zu unterlassen, ist daher keine gute Idee.
Zu entscheiden, ob eine Meldung angezeigt ist oder nicht, setzt allerdings die präzise Analyse der Datenpanne und ihrer Folgen voraus. Dazu benötigen Sie umfassende Kenntnisse rund um die Datenschutzgrundverordnung und zu weiteren Datenschutzbestimmungen. Die Experten unserer Rechtsanwaltskanzlei unterstützen Sie gerne dabei, eine fundierte Entscheidung zu treffen und die nächsten Schritte zu planen.
Wichtig: Die DSGVO schreibt in den Artikeln 24, 25 und 32 die „Gewährleistung geeigneter technischer und organisatorischer Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit“ vor. Von einer Datenpanne betroffene Unternehmen sollten daher nicht versäumen, umgehend Maßnahmen ergreifen, um Datenschutzverletzungen zukünftig zu vermeiden. Auch hierbei unterstützen unsere erfahrenen Experten Sie gerne.
.svg)
