Datenschutzverstoß: Wann muss ich ihn melden?
Bild-von-dongni-wang-auf-Pixabay
Datenschutz ist in Zeiten der DSGVO ein durchweg relevantes und allgegenwärtiges Thema. Dass Datenschutz ernst zu nehmen ist und ein Datenschutzverstoß hohe Bußgelder mit sich bringen kann, ist weitläufig bekannt. Und doch kommt es regelmäßig zu Verstößen, auch im Rahmen der Meldepflicht von Verletzungen des Schutzes personenbezogener Daten („Datenpannen“). Ob dies nun auf fehlende Awareness der Mitarbeiter zurückzuführen ist oder an mangelhaften unternehmensinternen Zuständigkeiten und Meldeprozessen scheitert: Grundsätzlich sind nach Art. 33 Absatz 1 DSGVO Verletzungen des Schutzes personenbezogener Daten unverzüglich der zuständigen Aufsichtsbehörde zu melden. Besteht gar die Möglichkeit eines hohen Risikos für die persönlichen Rechte und Freiheiten von betroffenen Personen, müssten diese nach Art. 34 Absatz 1 DSGVO von der Verletzung benachrichtigt werden.
Welche Verstöße müssen Sie melden? Unter welchen Umständen entfällt die Meldepflicht? Was erwartet Sie im Zuge eines Verstoßes gegen die Meldepflicht? Das erfahren Sie im folgenden Artikel.
Was zählt als Datenschutzverstoß?
Zunächst zu der Frage, wann überhaupt ein Datenschutzverstoß bzw. eine Verletzung des Schutzes personenbezogener Daten vorliegt. Die Antwort: Grundsätzlich bei jeder Sicherheitsverletzung, die zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führt. Hierbei ist es egal, ob dies absichtlich geschieht oder nicht. Häufig wiederkehrende Fallgruppen sind hier Hackerangriffe auf die IT-Systeme des Unternehmens, die unzureichende Entsorgung von Datenträgern, der Verlust von Datenträgern durch Unachtsamkeit oder Diebstahl oder der Missbrauch von Zugangsrechten durch Mitarbeiter.
Pflicht zur Meldung von Datenschutzverstößen
Ob eine Meldepflicht oder sogar eine Benachrichtigungspflicht vorliegt, beurteilt sich nach einer risikobasierten Vorgehensweise. Führt eine Datenpanne voraussichtlich zu keinem Risiko für die Rechte oder die Freiheiten der betroffenen natürlichen Personen, bedarf es weder eine Meldung noch der Benachrichtigung.
Kann ein Risiko nicht ausgeschlossen oder allenfalls als „gering“ bewertet werden, ist zwischen „hohen“ und „mittleren“ Risiken unterschieden. Diese Prognoseentscheidung hat Auswirkungen darauf, ob der Datenschutzverstoß nur gemeldet werden muss oder zusätzlich eine Benachrichtigungspflicht gegenüber den Betroffenen besteht. Eine Benachrichtigung der betroffenen Personen ist also nicht bei jedem potenziell eintretenden Schaden notwendig. Ob sie erforderlich ist, hängt von der Eintrittswahrscheinlichkeit und Schwere zukünftiger bzw. der Schwere bereits eingetretener Nachteile für die Betroffenen ab. Übersteigen Nachteil und/oder Eintrittswahrscheinlichkeit jeweils ein substanzielles Niveau wird als Ergebnis der Risikobeurteilung regelmäßig ein hohes Risiko stehen.
Eine hilfreiche Faustformel für eine Ersteinschätzung anhand der tatsächlichen Umständen in diesem Zusammenhang könnte sein: „Besteht im Fall einer Benachrichtigung für die Betroffenen die Möglichkeit Maßnahmen zu ergreifen, die ihr Risiko mindern?“, z.B. durch Änderung von Passwörtern bei kompromittierten Online-Konten oder durch Sperren von Kreditkarten bei Diebstahl der Kreditkartendaten. Besteht eine solche Handlungsoption, ist im Zweifel von einer Benachrichtigungspflicht auszugehen. Auch Anzahl der betroffenen Datensätze, Eigenschaften der betroffenen Personen sowie Art, Sensibilität und Umfang der von der Datenpanne betroffenen personenbezogenen Daten können als ersten Schritt eine erste Beurteilungsgrundlage für die Risikoeinschätzung vor Durchführung der eigentlichen Risikoanalyse liefern. So wird eine Verletzung der Sicherheit besonderer personenbezogener Daten im Sinne von Art. 9 DSGVO (z.B. Gesundheitsdaten) im Vergleich zu einem höheren Risiko führen.
Formelle Vorgaben
Bei einer Datenschutzverletzung ist die verantwortliche Stelle verpflichtet, unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls eine Meldung an die zuständigen Aufsichtsbehörden zu erstatten. Falls die Einhaltung dieser 72-Stunden-Frist nicht möglich ist, muss eine begründete Erklärung für die Verzögerung der Meldung bei der Übermittlung an die Behörden beigefügt werden. Sich auf organisatorische Probleme zu berufen, wird von den Aufsichtsbehörden im Normalfall nicht als ausreichende Entschuldigung für ein Überschreiten der 72-Stunden-Frist genügen. Auch Feiertage und Wochenenden werden von der Fristberechnung nicht ausgenommen. Datenschutzverletzungen dulden also keinen Aufschub und sind mit höchster Priorität zu bearbeiten.
Um Datenschutzverletzungen effektiv zu handhaben, ist es zunächst wichtig, das Bewusstsein der Mitarbeiter zu stärken. Sie müssen in der Lage sein Datenpannen und Verstöße zu erkennen, damit diese nicht unbemerkt bleiben und womöglich erst von externen Parteien wie Kunden, Partnern oder den Medien entdeckt werden. Des Weiteren ist die Festlegung klarer Zuständigkeiten entscheidend. Dadurch können bei einer erkannten Datenschutzverletzung schnell die notwendigen Maßnahmen ergriffen werden, um das Ausmaß und die Folgen des Vorfalls so gering wie möglich zu halten. Zusätzlich sind die Entwicklung und Implementierung eines Meldeprozesses notwendig. Ein solcher Prozess stellt sicher, dass Verletzungen des Datenschutzes umgehend intern gemeldet und korrekt behandelt werden. Er ermöglicht es, schnell zu entscheiden, ob eine Meldung notwendig ist und welche Informationen weitergegeben werden müssen.
Bild von Pexels auf Pixabay_2
Inhaltliche Vorgaben bei der Meldung von Datenschutzverstößen
Die inhaltlichen Vorgaben für Meldungen eines Datenschutzverstoß an die Aufsichtsbehörde regelt Art. 33 Absatz 3 DSGVO.
Zunächst fordert das Gesetz hier Angaben zu der Art der Verletzung und eine Schätzung, wie groß der Kreis der Betroffenen und der gefährdeten Datensätze ist. Zudem ist – wenn vorhanden – der zuständige Datenschutzbeauftragte so zu nennen, dass er für weitere Informationen von der Aufsichtsbehörde kontaktiert werden kann. Drittens verlangen die Vorschriften eine Einordnung darüber, welche Folgen der Verstoß voraussichtlich mit sich bringen wird oder kann. Doch nicht nur die Schadensbeschreibung ist relevant. Gleichzeitig muss die Meldung aufzeigen, wie das B2B-Unternehmen auf den Datenschutzverstoß reagiert und wie es die potenziellen Schäden bekämpfen wird.
Folgen eines Datenschutzverstoß
Nachdem eine Meldung eingeht, erfolgt eine Überprüfung des gemeldeten Datenschutzvorfalls und der damit verbundenen Risiken. Die Aufsichtsbehörde kann nun gegebenenfalls zu weiteren Maßnahmen der Risikominimierung und zur Verbesserung der technisch-organisatorischen Maßnahmen raten.
Bezüglich der Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO besteht eine Bußgeldregelung. Verstöße werden mit Geldbußen von bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet. Dies ist abhängig davon, welcher Betrag höher ist. In Anbetracht des Bußgeldrisikos ist die Notwendigkeit einer funktionierenden Strategie für die Meldung von Datenschutzverstößen für B2B-Unternehmen nur zu betonen.
Bild von krystianwin auf Pixabay
Fazit
Abschließend lässt sich festhalten, dass die korrekte Handhabung von Datenschutzverstößen für B2B-Unternehmen von essenzieller Bedeutung ist. Die DSGVO gibt einen klaren Rahmen vor, wie mit solchen Verletzungen umzugehen ist, und droht strenge Sanktionen bei Nichteinhaltung an. Unternehmen müssen daher ein hohes Maß an Verantwortung und Vorsicht walten lassen. So minimieren sie potenzielle Risiken für die persönlichen Daten von Betroffenen erfüllen gleichzeitig die eigenen rechtlichen Verpflichtungen.
Die Implementierung effektiver Schulungen und Bewusstseinsbildung bei Mitarbeitern, die Etablierung klarer Zuständigkeiten und die Entwicklung eines strukturierten Meldeprozesses sind Schlüsselelemente, um Datenschutzverletzungen effektiv zu managen. Darüber hinaus ist es wichtig, dass Unternehmen eine klare Kommunikationslinie zu den zuständigen Aufsichtsbehörden halten und alle erforderlichen Informationen gemäß den gesetzlichen Anforderungen bereitstellen.
Datenschutz ist nicht nur eine rechtliche Verpflichtung, sondern auch ein wesentlicher Aspekt des Vertrauens zwischen Unternehmen und Kunden. Ein proaktiver Ansatz zum Datenschutz und eine transparente Handhabung von Datenschutzverstößen können das Ansehen eines Unternehmens stärken und langfristig zum Erfolg beitragen. Angesichts der erheblichen Bußgelder und der potenziellen Reputationsrisiken, die mit Datenschutzverstößen verbunden sind, ist es unerlässlich, dass Unternehmen in diesen Bereichen die höchsten Standards einhalten.
Bei Fragen wenden Sie sich gerne an unsere Münchner Rechtsanwälte von LLP Law|Patent. Wir helfen B2B-Unternehmen ihre Datenschutzpraktiken zu optimieren und rechtliche Risiken zu minimieren.
Richard Metz | Rechtsanwalt und externer Datenschutzbeauftragter (TÜV zertifiziert)
Herr Rechtsanwalt Richard Metz ist Ihr Ansprechpartner für datenschutzrechtliche Themen. Er unterstützt Sie insbesondere bei der datenschutzgerechten Einführung neuer Produkte, der Erstellung und Prüfung datenschutzrelevanter Verträge und Dokumente oder der rechtlichen Prüfung und Bewertung von Datenverarbeitungsvorgängen oder Datenschutzsachverhalten mit grenzüberschreitendem Bezug. Ein weiterer Schwerpunkt seiner Tätigkeit besteht in den Bereichen Urheberrecht und Wettbewerbsrecht.
Herr Rechtsanwalt Metz ist ferner als externer Datenschutzbeauftragter (TÜV zertifiziert) für deutschlandweit bzw. international operierende mittelständische IT-Unternehmen und Start-ups tätig.
