Sie sind spätestens seit Anwendbarkeit der DSGVO der datenschutzrechtliche Schrecken aller Unternehmen – Datenschutzvorfälle und Datenschutzpannen. Vor allem, da Verstöße gegen datenschutzrechtliche Vorschriften bekanntlich mit Bußgeldern von bis zu 20 Mio. EUR geahndet werden können, gilt hier besondere Vorsicht. Wann spricht man eigentlich von Datenschutzvorfällen und wie kann man sie am besten vermeiden? Es lohnt sich, dies einmal genauer zu betrachten.
Der Inhalt im Überblick
Datenschutzvorfälle in freier Wildbahn
Wer erinnert sich nicht an Peter Knäbel vom Hamburger SV und seinen berühmten Rucksack? Auch wenn dies inzwischen schon fast sechs Jahre her ist, sorgt dieser Vorfall, in welchem eine Passantin im Jenisch-Park höchstvertrauliche Dokumente entdeckt hat, in der Hansestadt immer noch für Lacher und für Kopfschütteln. Bei den gefundenen Dokumenten handelte es sich unter anderem um Gehaltslisten der Fußballer und persönliche Gegenstände des damaligen HSV-Sportdirektors selbst. Gegenüber der Polizei gab Knäbel an, dass ihm der Rucksack gestohlen worden sei. Dies sei ihm zunächst aber gar nicht aufgefallen. Ein Schelm, wer Böses dabei denkt.
Solche unerwünschten Vorfälle geistern regelmäßig und in recht kurzen Abständen durch die Medien. Erst vorgestern ist einer Mitarbeiterin eines Impfzentrums aus dem Großraum Dortmund eine schwere Datenpanne unterlaufen, als sie ca. 1.500 E-Mail-Adressen von Impfwilligen in einem offenen E-Mail-Verteiler verschickt hatte – ein wahrer Klassiker unter den Datenschutzpannen. Immerhin waren hier offenbar „nur“ die E-Mail-Adresse betroffen und nicht etwaige Gesundheitsdaten. Sie sehen, es kann jederzeit jeden treffen. Und noch schwerer als ein mögliches Bußgeld wiegen oft die negative Publicity und der Vertrauensverlust, welche das Ganze nach sich zieht.
Von Datenpannen und anderen Verstößen
Sind Datenschutzverletzungen und Datenschutzverstöße eigentlich das Gleiche? Und was sind dann Datenschutzpannen? Im allgemeinen Sprachgebrauch werden diese Begriffe im Regelfall in einen Topf geworfen. Unter dem Begriff des Datenschutzverstoßes versteht man generell eine Verletzung datenschutzrechtlicher Vorschriften. Jeder Verstoß gegen die DSGVO stellt daher immer eine Datenschutzverstoß dar. Dabei kann es sich sowohl um Straftaten handeln als auch um Ordnungswidrigkeiten. Umgangssprachlich kann man hierfür auch den Begriff der Datenpanne verwenden.
Eine Datenschutzverletzung liegt hingegen vor, wenn es um eine Verletzung des Schutzes personenbezogener Daten geht. Gemäß Art. 4 Nr. 12 DSGVO ist dies immer dann der Fall, wenn es sich um
- eine Verletzung der Sicherheit handelt,
- die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt,
- die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Meldung bei der Aufsichtsbehörde…
Hier kommt dann auch Art. 33 DSGVO ins Spiel. Unter gewissen Voraussetzungen muss der oder die Verantwortliche eine Datenschutzverletzung bei der zuständigen Aufsichtsbehörde melden. Konkret heißt es in Absatz 1:
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“
Die Meldung muss also immer dann erfolgen, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Dies ist eine der vielen gummiartigen Formulierungen der DSGVO – schöne Grüße an dieser Stelle an das „berechtigte Interesse“ aus Art. 6 DSGVO! Hier ist eine Vielzahl von Umständen des Einzelfalls zu berücksichtigen, um entscheiden zu können, ob es sich um einen meldepflichtigen Vorfall handelt, so zum Beispiel:
- Welche personenbezogenen Daten sind betroffen?
- Sind besonders sensible Daten betroffen (Gesundheitsdaten, Kontoinformationen etc.)?
- Wie viele Personen sind betroffen?
- Welcher Schaden kann bei den betroffenen Personen entstehen oder ist vielleicht schon entstanden?
Hier ist natürlich auch die Frist von (maximal) 72 Stunden zu beachten. Diese ist grundsätzlich einzuhalten, eine Überschreitung ist zu begründen. Die Frist beginnt mit der Kenntnis der Datenschutzverletzung.
…und Mitteilung an die Betroffenen
Die Meldepflicht bei der Aufsichtsbehörde ist eng mit der Benachrichtigung der betroffenen Personen verbunden. Hier regelt Art. 34 Abs. 1 DSGVO, dass die Betroffenen unverzüglich zu informieren sind, wenn ein hohes Risiko für deren Rechte und Freiheiten festgestellt werden konnte. Diese Vorschrift ist bezüglich des Risikos also etwas enger gefasst als Art. 33 DSGVO. Dabei ist aber nicht nur die bloße Information über die Datenschutzverletzung ausreichend, sondern die betroffenen Personen müssen auch Informationen über mögliche Folgen sowie die Maßnahmen erhalten, welche ergriffen worden sind, um den Schaden abzuwenden bzw. zu minimieren.
Ausnahmen von dieser Informationspflicht bestehen nur dann, wenn der Verantwortliche beispielsweise in der Lage war, das hohe Risiko einzudämmen oder eine Benachrichtigung nur mit einem unverhältnismäßigen Aufwand möglich wäre. Was darunter fällt, nennt die DSGVO leider nicht konkret. Ein denkbarer Anwendungsbereich ist aber sicherlich, wenn die Zahl der Betroffenen exorbitant hoch ist. Dann kann gemäß Art. 34 Abs. 3 Buchst. c DSGVO auch eine öffentliche Bekanntmachung oder eine vergleichbare Maßnahme ausreichend sein.
Weitere Bußgelder drohen
Und was passiert, wenn ein Verantwortlicher seinen Pflichten aus Art. 33 DSGVO oder Art. 34 DSGVO nicht nachkommt? Auch dann drohen Bußgelder! Diese können dann neben dem Bußgeld für die eigentliche Datenschutzverletzung verhängt werden, da es sich bei der Nichtmeldung oder bei der Nichtbenachrichtigung um einen weiteren, eigenständigen Datenschutzverstoß handelt. Verstöße gegen die beiden oben genannten Vorschriften können gemäß Art. 83 Abs. 4 Buchst. a DSGVO mit dem sogenannten „kleinen Bußgeld“, also mit bis zu 10 Mio. EUR oder 2 % des Jahresumsatzes des Unternehmens, geahndet werden.
Wer jetzt Panik bekommt, sollte am besten erst einmal tief durchatmen. Auch in der Datenschutzwelt wird nichts so heiß gegessen, wie es gekocht wird! Zum einen sind sowohl die deutschen als auch die anderen europäischen Aufsichtsbehörden bislang nicht gerade durch Schnelligkeit aufgefallen und zum anderen lassen sich Datenschutzvorfälle und Datenschutzverletzungen im Grunde relativ leicht vermeiden.
Fragen Sie Ihren Datenschutzbeauftragten!
Datenschutzverletzungen in Unternehmen geschehen oft aus Unachtsamkeit der Mitarbeiter, also aus reiner Fahrlässigkeit. Natürlich kann man Fehler niemals zu 100 Prozent vermeiden, Fehler sind nur allzu menschlich. Das Risiko kann man allerdings deutlich minimieren, indem man im Unternehmen ein Bewusstsein für Datenschutz schafft, beispielsweise durch gezielte Sensibilisierungsmaßnahmen oder Schulungen der Belegschaft. Vorsätzliche Datenschutzverletzungen durch Mitarbeiter mit krimineller Energie oder Angriffe von außen sind naturgemäß deutlich schwerer zu verhindern bzw. vorauszusehen. Erst kürzlich sorgte der großflächige Angriff auf Microsoft-Exchange-Mailserver durch die Hafnium-Gruppe für Aufsehen.
Hier ist grundsätzlich zu empfehlen, funktionierende Prozesse im Falle solcher Datenschutzverstöße zu entwickeln und zu implementieren. Dazu gehören unter anderem ein effektives Notfallmanagement sowie eine gute und sichere IT-Infrastruktur. Hierzu sollten Sie – wie immer eigentlich – stets frühzeitig Ihren Datenschutzbeauftragten hinzuziehen, um mögliche Schäden bereits im Vorfeld bestmöglich zu minimieren. Das entscheidende Wort ist hier „frühzeitig“. Denn wenn der Datenschutzvorfall erst einmal eingetreten ist, bleibt meist nur noch die Schadensbegrenzung.
Datenschutzvorfällen richtig begegnen
Statistisch gesehen ist jedes Unternehmen früher oder später von einem Datenschutzvorfall betroffen – mit den richtigen Maßnahmen kann aber proaktiv gegengesteuert werden. Die Auswirkungen im Ernstfall können dabei von einer Lappalie bis hin zur Katastrophe reichen. Wo genau sich ein Vorfall einordnen lässt, hängt meist mit der geleisteten Vor- aber auch der Nachbereitung zusammen.
Wenn Sie mehr zu diesem Thema erfahren oder noch tiefer einsteigen wollen, informieren Sie sich über unsere interaktiven und praxisnahen Webinare und erweitern Sie Ihr Praxiswissen. Hier finden Sie unser Webinar zum Thema Datenschutzvorfälle.
Sehr geehrter Herr Schewior, vielen Dank für diesen interessanten Beitrag. Sie schreiben im letzten Absatz „Statistisch gesehen ist jedes Unternehmen früher oder später von einem Datenschutzvorfall betroffen“. Aufgrund eigener Arbeiten zu diesem Thema wäre für mich sehr interessant zu wissen, ob Sie sich in diesem Zusammenhang auf eine konkrete Statistik beziehen und falls ja auf welche. Vielen Dank im Voraus!
Da ein IT-Sicherheitsvorfall immer auch ein Datenschutzvorfall ist, ist der BSI Lagebericht eine gute Quelle für die Situation in Deutschland:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2020.pdf?__blob=publicationFile&v=1
Auch der Bitkom veröffentlicht dazu Studien:
https://www.bitkom.org/Presse/Presseinformation/Angriffsziel-deutsche-Wirtschaft-mehr-als-100-Milliarden-Euro-Schaden-pro-Jahr
Allgemeinere Info findet man z.B. hier:
https://content.fireeye.com/m-trends
Es gibt noch unzählige weitere Quellen bei KPMG, Deloitte etc. Sie unterscheiden sich zwar alle bei den konkreten Zahlen. Der Trend ist aber eindeutig.