So schnell passiert ein Datenschutzverstoß:
Ein Mitarbeiter aus der Personalabteilung nutzt den längeren Weg zur Arbeit, um im Zug am Laptop zu arbeiten. Im Laptop eingesteckt ist ein USB-Stick mit vertraulichen Daten der anderen Mitarbeiter. Beim Aussteigen aus dem Zug fällt der USB-Stick zu Boden, der Mitarbeiter bemerkt dies aber erst als er im Büro ankommt.
Und schon ist es passiert - ein Verstoß gegen den Datenschutz.
Was ist ein Datenschutzverstoß und wie entsteht er?
Jeder Verstoß gegen die Regelungen der Europäischen Datenschutz-Grundverordnung (DS-GVO) wird als Datenschutzverstoß bezeichnet (auch Datenverletzung oder umgangssprachlich Datenpanne genannt). Hierbei muss es sich nicht zwingend um einen beabsichtigten Vorfall handeln, durch den die Rechte und Freiheiten einer betroffenen Person verletzt werden. Als Datenschutzverstoß zählt auch schon jede kleinste Ordnungswidrigkeit gegen das Datenschutzgesetz.
Solche Verstöße passieren gerade in großen Unternehmen leider sehr schnell und unbeabsichtigt. Eine häufige Ursache ist beispielsweise die fehlende oder nicht ausreichende Schulung und Sensibilisierung der Mitarbeiter zu datenschutzrelevanten Themen. Die Mitarbeiter handeln dann oft unvorsichtig, was schnell zu einer Verletzung des Datenschutzes führen kann.
Datenschutzverstoß: typische Beispiele in Unternehmen
Hier einige Beispiele für einen typischen Datenschutzverstoß in einem Unternehmen:
Was tun als Verantwortlicher bei einem Datenschutzverstoß?
Hat sich in Ihrem Unternehmen ein Verstoß gegen den Datenschutz ereignet, ist schnelles Handeln angesagt.
Denn wenn der Verstoß ein hohes Risiko für Betroffene zur Folge hat, muss dieser innerhalb von 72 Stunden an die Behörde gemeldet werden.
Im ersten Schritt führen Sie eine Bestandsaufnahme der Situation durch und tragen alle wichtigen Informationen über die Art und den Umfang des Verstoßes zusammen. Diese Angaben sollten Sie schnellstmöglich an Ihren Datenschutzbeauftragten weiterleiten, sofern für Ihr Unternehmen einer bestellt ist.
Der Datenschutzbeauftragte wird die Angaben prüfen und mit Ihnen gemeinsam abwägen, ob ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, um deren personenbezogene Daten es sich bei dem Verstoß handelt. Wenn dies der Fall ist, müssen Sie den Verstoß im nächsten Schritt der Aufsichtsbehörde melden und die betroffenen Personen informieren.
Außerdem hilft Ihnen der Datenschutzbeauftragte bei der Entwicklung von Maßnahmen, um den Schaden durch den Verstoß eingrenzen zu können. Zuletzt sollten Sie auch innerhalb Ihres Datenschutzmanagementsystems (DSMS) vorgekommene Verstöße ordentlich dokumentieren. Hier finden Sie eine Vorlage für die Dokumentation von Datenschutzverstößen.
Datenschutzverstoß: Checkliste zum richtigen Vorgehen von Verantwortlichen
Wenn es in einem Unternehmen zu einer Datenpanne kommt, muss schnell gehandelt werden und alle relevanten Aspekte müssen dabei beachtet werden. Unsere Experten im Bereich Datenschutz haben für Sie eine Checkliste zum richtigen Vorgehen bei einem Datenschutzverstoß erstellt, die Sie hier kostenfrei herunterladen können. So behalten Sie im Falle des Falles den Überblick über alle Dinge, die Sie berücksichtigen müssen, um den Schaden bestmöglich einzugrenzen.
Meldung eines Datenschutzverstoßes bei der Behörde
Wenn zu vermuten ist, dass durch einen Datenschutzverstoß ein Risiko für die Rechte und Freiheiten von Betroffenen besteht, muss der Verantwortliche (das Unternehmen) diesen Verstoß im Sinne des Art. 33 DS-GVO ("Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde") binnen 72 Stunden der zuständigen Datenschutzbehörde melden.
Des Weiteren muss auch die betroffene Person, dessen personenbezogene Daten durch das Unternehmen verarbeitet werden, über den Verstoß informiert werden, wenn dieser voraussichtlich ein hohes Risiko für dessen Rechte und Freiheiten zur Folge hat (vgl. Art. 34 DS-GVO). Von einem hohen Risiko für den Betroffenen ist auszugehen, wenn es sich beispielsweise bei den personenbezogenen Daten um sensible Daten (besondere Kategorien personenbezogener Daten, Art. 9 DS-GVO) handelt. Sensible Daten sind zum Beispiel Angaben über Gesundheitsdaten, Religion, Gewerkschaftszugehörigkeit, sexuelle Orientierung, politische Meinung oder ethnische Herkunft einer natürlichen Person.
Datenschutzverstoß: Wie melde ich diesen denn nun?
Der Verantwortliche muss den Verstoß bei der zuständigen Aufsichtsbehörde melden. Das ist diejenige Behörde des Bundeslandes, in dem das verantwortliche Unternehmen seinen Hauptsitz hat.
Nach Artikel 33 Absatz 3 der DS-GVO muss die Meldung an die Behörden die folgenden Angaben enthalten:
Die Art und der Umfang der Datenschutzverletzung (welche Daten wurden verarbeitet, wie viele Datensätze sind betroffen, wie viele Personen sind betroffen).
Den Namen und die Kontaktdaten des Datenschutzbeauftragten oder des Verantwortlichen, wenn kein Datenschutzbeauftragter bestellt ist.
Die möglichen Folgen des Verstoßes.
Die Maßnahmen, die der Verantwortliche vorschlägt, um den Verstoß zu beheben oder die Folgen des Verstoßes zu minimieren.
Die Aufsichtsbehörden für den Datenschutz stellen Formulare und Muster für die Meldung von Datenschutzverletzungen zur Verfügung, wie beispielsweise die Landesdatenschutzbehörde NRW. Informieren Sie sich auf der Webseite Ihrer zuständigen Datenschutzbehörde.
In Ihrem Unternehmen liegt ein möglicher Datenschutzverstoß vor und Sie wissen nicht, wie Sie am besten handeln?
Wir helfen Ihnen! Unsere Berater im Datenschutz schätzen die Situation in Ihrem Unternehmen ein und unterstützen Sie bei den folgenden Schritten.
Sprechen Sie uns an!
Folgen für Verantwortliche durch einen Datenschutzverstoß
Datenschutzverstöße können je nach Art und Umfang enorme Konsequenzen für das verantwortliche Unternehmen zur Folge haben:
Imageschaden
Durch einen Verstoß gegen den Datenschutz kann der Ruf des Unternehmens bei den Kunden, Lieferanten und Mitarbeitern nachhaltig geschädigt werden und das Vertrauen in das Unternehmen geht verloren. Dies kann das Unternehmen auch noch Jahre nach dem begangenen Verstoß beeinträchtigen.
Schadensersatz
Hat ein Datenschutzverstoß einen materiellen oder immateriellen Schaden für die betroffene Person zur Folge, kann diese Person einen Anspruch auf Schadensersatz an das verantwortliche Unternehmen stellen (vgl. Art. 82 DS-GVO). Dadurch können für das Unternehmen zusätzliche hohe Kosten entstehen.
Bußgelder und Freiheitsstrafen
Schwere Verstöße gegen die Datenschutz-Grundverordnung werden mit Bußgeldern sanktioniert. Die DS-GVO sieht bei Datenschutzverstößen Bußgelder bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Betrag höher ist) verhängt werden. Bei vorsätzlichen Straftaten gegen den Datenschutz können sogar Freiheitsstrafen bis zu 2 Jahren folgen.
Tipps, um Datenschutzverstöße im Unternehmen zu vermeiden
Datenschutzverstöße lassen sich leider nicht vollständig verhindern. Aber es gibt einige Maßnahmen, die Ihnen dabei helfen können, das Risiko eines Verstoßes in Ihrem Unternehmen zu minimieren.
Im Allgemeinen empfiehlt es sich für jedes Unternehmen, einen Datenschutzbeauftragten zu bestellen - unabhängig davon, ob dies für ein Unternehmen gesetzlich vorgeschrieben ist. Denn der Datenschutzbeauftragte unterstützt und berät Sie in allen datenschutzrelevanten Themen und steht in zur Seite, wenn es zu einem Datenschutzverstoß kommt.
Außerdem kann der Datenschutzbeauftragte Ihnen bei der Erstellung und Dokumentation eines gepflegten Datenschutz-Management-Systems (kurz DSMS) helfen. Ein sorgfältig dokumentiertes DSMS ist die wichtigste Grundlage für den Datenschutz im Unternehmen und für die Vermeidung von Verstößen gegen den Datenschutz.
Auch einige wichtige Rolle bei der Verhinderung von Datenschutzverletzungen spielt die Schulung und Sensibilisierung Ihrer Mitarbeiter. Denn diese legt einen Grundstein für die Einhaltung der datenschutzrechtlichen Pflichten in Ihrem Unternehmen.
Bei fehlender oder nicht ausreichender Schulung zu datenschutzrelevanten Themen handeln Mitarbeiter oft unwissend und unvorsichtig. Das erhöht das Risiko für Datenschutzverstöße.
Wir übernehmen die Schulung ihrer Mitarbeiter im Datenschutz, um das Risiko für Datenschutzverstöße in Ihrem Unternehmen zu minimieren!
Das eLearning-Angebot der exkulpa bietet Ihnen eine vollumfängliche, auf 2022 aktualisierte Datenschutzschulung an, inklusive Erhalt eines Abschlusszertifikats, mit der Sie Ihre Mitarbeiter ganz einfach jederzeit und von überall schulen lassen können.
Mitarbeiterschulung im Datenschutz
Jetzt kostenlosen Test-Account für die Online-Schulung anfordern.
Fazit
Datenschutzverstöße passieren leider sehr schnell und alltäglich in Unternehmen.
Wenn es zu einem Verstoß kommt, ist es wichtig, schnell zu handeln und den Verstoß binnen 72 Stunden der Aufsichtsbehörde zu melden, wenn von einem hohen Risiko für die Rechte und Freiheiten von natürlichen Personen auszugehen ist. Auch die betroffenen Personen müssen in diesem Fall informiert werden.
Verstöße gegen den Datenschutz können enorme Konsequenzen, wie Imageschaden, Bußgelder und zusätzliche Kosten durch Schadensersatzansprüche für das Unternehmen zur Folge haben.
Umso wichtiger ist es, ein gut dokumentiertes DSMS zu pflegen und für die Schulung und Sensibilisierung der Mitarbeiter zu sorgen, um das Risiko für Verstöße zu minimieren.
Jenny Weigandt
