Datenschutzverstoß

Datenschutzverstoß: Was gilt es jetzt zu tun?

© Photo by Scott Graham on Unsplash

Eine Verletzung des Datenschutzes muss nicht zwingend in einem großen Vorfall, wie beispielsweise einem Hackerangriff, bestehen. Eine Datenschutzverletzung besteht nämlich auch dann bereits, wenn in der Straßenbahn ein unverschlüsselter USB-Stick verloren wurde. Was gilt es dann zu tun? Das klären wir.

Eine solche Verletzung des Datenschutzes muss umgehend den zuständigen Aufsichtsbehörden gemeldet werden – innerhalb einer Frist von 72 Stunden. Nur so lässt sich der Schaden noch eingrenzen. Außerdem ist es empfehlenswert, den zuständigen Datenschutzbeauftragen einzubeziehen, damit dieser den Vorfall professionell einschätzen und gegebenenfalls weitere Schritte einleiten kann. 

Wird eine derartige Meldung eines Verstoßes gegen das BDSG beziehungsweise die DSGVO unterlassen, drohen millionenhohe Bußgelder für Unternehmen. Daneben entsteht ein häufig großer Imageschaden, der ebenfalls nicht zu unterschätzen ist. 

Risikoabwägung bei Datenschutzverstoß 

Grundsätzlich ist es wichtig, dass sämtliche Mitarbeiter eines Unternehmens für das Thema Datenschutzverstoß sensibilisiert werden, damit im Notfall richtig und umgehend gehandelt werden kann. 

Sobald ein Datenschutzverstoß festgestellt wird, der für die Freiheiten und Rechte des Betroffenen voraussichtlich ein Risiko darstellen kann, muss umgehend eine Meldung an die zuständige Datenschutz-Aufsichtsbehörde erfolgen. Nach dem Artikel 33 der DSGVO besteht diese Pflicht zur Meldung grundsätzlich bei sämtlichen Datenschutzverstößen. Die Meldepflicht entfällt lediglich, wenn kein Risiko für die Freiheiten und Rechte von natürlichen Personen durch die Datenpanne entstehen kann. 

Risikoabwägung vornehmen

Für Unternehmen kommt es in einem solchen Fall auf eine sorgfältige Risikoabwägung an. Ein hohes Risiko liegt beispielsweise dann vor, wenn an mehrere Kunden in einem offenen Verteiler Passwörter oder anderweitige sensible Daten versendet wurden. Wurden unverschlüsselte USB-Sticks verloren, die Nutzerinformationen enthalten, liegt ebenfalls ein hohes Risiko vor. 

Von einem geringen Risiko wird dagegen ausgegangen, wenn verschlüsselte Smartphones, USB-Sticks oder Laptops abhandengekommen sind. Fehlgeleitete Briefe, die ungeöffnet zurückgeschickt wurden oder ein unbefugter Datenzugriff durch Dritte, der aufgrund einer Verschlüsselung allerdings gescheitert ist, gelten ebenfalls als geringes Risiko. 

Information der Betroffenen 

Nach den Vorgaben des Artikels 34 der DSGVO kann es neben der Pflicht zur Meldung ebenfalls nötig werden, die natürlichen Personen, die von der Datenpanne betroffen sind, über diese zu informieren und ihnen zu erläutern, welche Konsequenzen sich durch diese ergeben könnten. Allerdings müssen die Betroffenen nur dann informiert werden, wenn ein besonders hohes Risiko von der Datenschutzverletzung für ihre persönlichen Freiheiten und Rechte ausgeht. 

Ein besonders hohes Risiko wird vor allem in Fällen angenommen, bei denen personenbezogene Daten nach Art. 9 Abs. 1 DGSVO betroffen sind. Diese bestehen beispielsweise in Informationen über die ethnische Herkunft oder den Gesundheitszustand. Daneben liegt ein besonderes Risiko vor, wenn Authentifizierungsdaten oder personenbezogene Daten über strafrechtliche Verurteilungen bei dem Datenschutzverstoß involviert sind. 

Konsequenzen aus nicht gemeldetem Datenschutzverstoß

Wird die notwendige Meldung an die zuständige Aufsichtsbehörde nicht ausgeführt, gilt dies als Verstoß gemäß des Art. 83 Abs. 4 lit. a DSGVO. Geahndet wird ein solcher mit einer Geldbuße in Höhe von bis zu zehn Millionen Euro oder bis zu zwei Prozent des globalen Jahresumsatzes des Unternehmens. Daneben gilt auch eine unterlassene Teilmeldung, eine unvollständige Meldung oder eine unvollständige beziehungsweise fehlende Dokumentation der Datenschutzverletzung als unterlassene Meldung. 

Wird durch das Unternehmen die notwendige Information des Betroffenen über den Datenschutzverstoß unterlassen, droht dafür ebenfalls gemäß des Art. 83 Abs. 4 lit. a DSGVO eine empfindliche Geldbuße. 

Unternehmen sollten sich jedoch darüber bewusst sein, dass ein Verstoß gegen den Datenschutz immer auch einen immateriellen Schaden nach sich ziehen kann. Folgen bestehen beispielsweise in einem großen Imageschaden und einem nachhaltigen Vertrauensverlust auf Seiten der Geschäftspartner, Mitarbeiter und Kunden. 


Vorheriger Artikel Saas: Was sind die Vorteile von Software as a Service Nächster Artikel Guest Journey: Wohin geht die Reise im Hotelbusiness?