Bereits in vielen Beiträgen haben wir Sie über die Aufgaben eines Datenschutzbeauftragten sowie die datenschutzrechtlichen Anforderungen an eine Datenverarbeitung informiert. Trotz aller Vorsicht jedoch können Datenschutzverstöße nicht mit absoluter Sicherheit vermieden werden. Was im Falle eines Datenschutzverstoßes zu beachten ist.
Regelmäßig ist die unternehmerische Arbeit mit der Erfassung und Verarbeitung von personenbezogenen Daten verbunden. Hierzu können beispielsweise personenbezogene Daten von Mitarbeitern, Geschäftspartnern oder Kunden zählen. Diese müssen mit der geltenden Rechtslage konform verarbeitet werden.
Der Datenschutz nimmt daher eine immer gewichtigere Rolle im Alltag vieler Unternehmen ein.
Datenschutz meint dabei vorrangig den Schutz der Integrität und Vertraulichkeit der Datenarbeit, Art. 5 Abs. 1 f) DSGVO. Unternehmen sind verpflichtet, die von ihnen gespeicherten und verarbeiteten Daten auf einem angemessenen Sicherheitsniveau vor unbefugtem Zugriff wie auch vor Verlust, Zerstörung oder Schädigung zu schützen. Dabei muss sich das Schutzniveau gemäß Art. 32 DSGVO auch nach der Sensibilität der konkret erfassten Daten sowie der Gefährdungslage im Einzelfall ausrichten.
Auch bei Ergreifung von Schutzmaßnahmen kann ein Datenschutzverstoß nicht mit absoluter Sicherheit ausgeschlossen werden. Immer wieder kommt es - etwa durch Cyberangriffe oder menschliches Fehlverhalten - zu Verstößen gegen den Datenschutz, bei dem personenbezogene Daten nicht berechtigten Dritten zugänglich gemacht werden.
Ist es zu einem Datenschutzverstoß gekommen, sollte das Unternehmen prüfen, ob dieser eine Meldepflicht gegenüber den Behörden gemäß Art. 33 DSGVO bzw. eine Informationspflicht gegenüber den Betroffenen gemäß Art. 34 DSGVO auslöst.
Eine solche ist gegeben, soweit ein erhöhtes Risiko für die persönlichen Rechte und Freiheiten der von der Datenschutzverletzung betroffenen Personen besteht.
Insoweit ist eine Risikoabwägung im konkreten Einzelfall vorzunehmen. Dabei gilt es zu beachten, dass die Meldepflicht gegenüber den Behörden bereits bei einem geringeren Risiko eingreift als die Informationspflicht gegenüber den Betroffenen.
In die Risikoprognose ist insbesondere auch die Art der erlangten Daten einzubeziehen. Je sensibler diese sind, desto eher wird auch eine Melde- und Informationspflicht anzunehmen sein.
Beispiel:
Wurden Bank- und Gesundheitsdaten Dritten zugänglich gemacht, wird dies in aller Regel eine Melde- wie auch Informationspflicht auslösen.
Besteht eine Mitteilungs- und Informationspflicht, müssen diese innerhalb von 72 Stunden gegenüber den Aufsichtsbehörden bzw. unverzüglich gegenüber den Betroffenen erfüllt werden. So soll eine bestmögliche Verringerung des Schadensrisikos erreicht werden.
Eine bestimmte Form für die Mitteilung ist nicht vorgesehen. Regelmäßig sollte sie jedoch - insbesondere gegenüber den Betroffenen - auch Informationen zur bestmöglichen Schadensminimierung beinhalten.
Beispiel:
Wurden Kreditkartendaten Dritten zugänglich gemacht, sollten Betroffene hierüber informiert und zur Sperrung der Karten aufgefordert werden.
Melde- und Informationspflichten bei Datenschutzverstößen sollten schon aufgrund der empfindlichen Sanktionierungsmöglichkeiten ernst genommen werden.
Ein Verstoß gegen bestehende Melde- und Informationspflichten kann mit empfindlichen Bußgeldern von bis zu 20 Millionen Euro bzw. 4 % des Jahresumsatzes belegt werden, Art. 83 DSGVO. Darüber hinaus können Abhilfemaßnahmen der Datenschutzbehörden sowie Schadensersatzforderungen Betroffener gemäß Art. 82 DSGVO, § 83 BDSG drohen.
Ob eine Informations- und Meldepflicht besteht, wird sich erst im Anschluss an eine Datenpanne anhand der konkreten Umstände des Einzelfalls bestimmen lassen. Um Haftungs- und Bußgeldrisiken zu minimieren, kann auch die Hinzuziehung rechtlich sowie technisch versierter Experten geboten und ratsam sein.
