Datenschutzverletzung: Vorgehen und Konsequenzen

Diebstahl oder Manipulation von Daten, das Verschlüsseln von Daten durch Ransomware sowie Datenverlust: All das gilt datenschutzrechtlich als Datenschutzverletzung. Aber was steckt konkret hinter diesem weit gefassten Begriff? Was hat es mit der Meldepflicht auf sich und mit welchen Konsequenzen muss im Falle einer Datenschutzverletzung gerechnet werden? Diese und weitere Fragen beantworten wir im heutigen Beitrag.

Was ist eine Datenschutzverletzung?

In der Datenschutzgrundverordnung (DSGVO) wird eine Datenschutzverletzung als „Verletzung des Schutzes personenbezogener Daten“ definiert. Oft hört man auch den eher saloppen Begriff „Datenpanne“. Wann aber ist der Schutz personenbezogener Daten verletzt?

Gemäß Art. 4 Nr. 12 DSGVO ist eine „Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Beispiele für Datenschutzverletzungen sind:

• Ihr mobiler Datenträger (USB-Stick, Smartphone …) ist verloren gegangen oder wurde gestohlen,
• Unterlagen sind verloren gegangen, wurden gestohlen oder lagern an einem unsicheren Platz,
• Postsendungen wurden versehentlich geöffnet oder sind verloren gegangen,
• personenbezogene Daten wurden per E-Mail versendet, jedoch ohne angemessene Sicherheitsmaßnahmen wie Verschlüsselung,
• durch Phishing, Schadsoftware oder einen Hackerangriff sind Cyberkriminelle im Besitz von Login-Daten,
• Materialien wie Akten, Ton- oder Bildträger sowie Geräte wie Festplatten sind nicht datenschutzgerecht entsorgt worden,
• E-Mails werden mit offenem Verteilerkreis versendet (an Empfänger, die nichts miteinander zu tun haben bzw. nicht an einem gemeinsamen Projekt arbeiten).

Klarheit im Datenchaos: Meldepflicht der Datenschutzverletzung

Beim Definieren der Datenschutzverletzung wird idealerweise noch keine Bewertung bezüglich der Meldepflicht gegenüber Behörden und Betroffenen vorgenommen. Es ist sinnvoll, auch nicht-meldepflichtige Datenpannen zu dokumentieren, da sie zum Bewerten des internen Datenschutzniveaus von Bedeutung sind.

Etliche Paragrafen und Erwägungsgründe in der DSGVO zeigen, dass keine Datenschutzverletzung der anderen gleicht, weshalb das Strafmaß auch sehr unterschiedlich ausfallen kann. Die Beispiele im Folgenden sollen Ihnen bei der Einschätzung von Rechtsverletzungen helfen.

Unrechtmäßiger Umgang mit personenbezogenen Daten

Es ist anzunehmen, dass dies die größte Gruppe eventueller Rechtsverletzungen im Datenschutz darstellt. Als „personenbezogene Daten“ definiert die DSGVO sämtliche Informationen, die sich eindeutig auf eine bestimmte Person beziehen lassen. Werden solche Daten – zum Beispiel Adress-, Gesundheits- oder auch religiöse Daten – unrechtmäßig, also ohne Einwilligung erhoben, gespeichert, weitergeleitet oder gar veröffentlicht, besteht eine Datenschutzverletzung, die Sanktionen nach sich ziehen kann.

Der Arbeitgeber verstößt gegen den Datenschutz

Arbeitgeber müssen datenschutzrechtlich viele Vorgaben einhalten: persönliche Informationen müssen korrekt technisch erhoben werden. Über die Handhabe von Daten bis hin zu ihrer Löschung existieren mannigfaltige Regelungen. Betroffen sind nicht nur die Daten von Kunden und Interessenten, sondern auch die von Mitarbeitern, Partnern, Dienstleistern oder Zulieferern. Eine Datenschutzverletzung am Arbeitsplatz kann verschiedene Vergehen einschließen, darunter auch das Verletzen der Meldepflicht von Datenpannen.

Denn der Arbeitgeber ist nach einer Panne oder nach der Information über eine Datenschutzverletzung verpflichtet, zu prüfen, ob es sich um eine meldepflichtige Datenschutzverletzung handelt, die an die zuständige Aufsichtsbehörde zu melden ist, jedoch auch an den oder die Betroffenen. Nicht für alle Daten greift das Gesetz der Informationspflicht für nicht-öffentliche Stellen, d. h. privatwirtschaftliche Unternehmen und Organisationen: Gemäß § 42a BDSG sind betroffen:

• besondere Arten von personenbezogenen Daten (§ 3 Abs. 9),
• jene personenbezogenen Daten, die einem Berufsgeheimnis unterliegen,
• personenbezogene Daten, die sich auf strafbare Handlungen, Ordnungswidrigkeiten, den Verdacht auf strafbare Handlungen oder Ordnungswidrigkeiten beziehen, sowie
• personenbezogene Daten, die sich auf Bank- oder Kreditkartenkonten beziehen.

Arbeitnehmer, die eine Datenschutzverletzung melden möchten, können sich an den Datenschutzbeauftragten des Unternehmens wenden.

Der Arbeitnehmer verstößt gegen den Datenschutz

Berufsbedingt haben Arbeitnehmer Zugang zu bestimmten Daten. Idealerweise schulen Arbeitgeber ihre Mitarbeiter im Umgang mit Daten und lassen sich den sorgsamen Umgang mit Daten per Unterschrift vom Arbeitnehmer bescheinigen. Dennoch kann diverses schiefgehen am Arbeitsplatz; eine Datenschutzverletzung durch Mitarbeiter ist schnell passiert.

Man wünscht es sich als Arbeitgeber keinesfalls, jedoch gibt es neben den ungewollten Datenpannen auch gezielten Missbrauch. Daten können genutzt werden, um Dritte zu erpressen oder Informationen zu verkaufen.

Risiken für die Rechte und Freiheiten von Betroffenen

Die DSGVO hebt eine Begrifflichkeit besonders hervor: Das „Risiko für die Rechte und Freiheiten der betroffenen Person“. In verschiedenen Kontexten ist dieses Risiko relevant:

• Kontrollermessen des Datenschutzbeauftragten (DSB) (Art. 39 Abs. 2 DSGVO),
• technische und organisatorische Maßnahmen (TOMs) (Art. 32 DSGVO),
• Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 5 DSGVO),
• die Datenschutz-Folgenabschätzung (DSFA) (Art. 35 DSGVO) sowie
• die Melde- und Benachrichtigungspflicht bei Datenschutzvorfällen (Art. 34 sowie 35 DSGVO).

Unter „Risiko“ versteht der Gesetzgeber die Wahrscheinlichkeit von Nachteilen für natürliche Personen hinsichtlich ihrer Rechte und Freiheiten im Zusammenhang mit dem Datenschutzgrundrecht (Art. 8 GRCh). Dazu zählen neben Diskriminierung, finanziellen Verlusten oder Rufschädigungen unter anderem:

• Identitätsdiebstahl oder -betrug
• Kontrollverlust über personenbezogene Daten
• Vertraulichkeitsverlust von dem Berufsgeheimnis unterliegenden personenbezogenen Daten
• unbefugte Aufhebungen von Pseudonymisierungen oder
• dass Betroffene daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren.

Gibt es „Risikodaten“ wie im BDSG?

Nach Bundesdatenschutzgesetz mussten Datenschutzverletzungen gemeldet werden, wenn zwei Voraussetzungen erfüllt waren: Zum einen mussten sogenannte „Risikodaten“ betroffen sein, zum anderen mussten infolge der Datenpanne schwerwiegende Beeinträchtigungen für die Rechte oder für die schutzwürdigen Interessen von Betroffenen drohen. Das hielt die Anzahl an gemeldeten Datenpannen eher gering.

Mit der DSGVO ist das anders: Grundsätzlich muss jede Verletzung des Schutzes von personenbezogenen Daten gemeldet werden. Art. 33 DSGVO regelt die Meldepflicht an Aufsichtsbehörden, Art. 34 DSGVO die an die Betroffenen. Die Beschränkung auf Risikodaten, wie sie im BDSG Gang und Gäbe war, kennt die DSGVO nicht. Nur eine Ausnahme besteht gemäß Art. 33 Abs. 1 DSGVO: nämlich dann, wenn die Datenpanne zu keinem Risiko führt. In der Praxis prüfen die Aufsichtsbehörden bei der Online-Meldung von Datenschutzverletzungen, ob eine Datenschutzverletzung meldepflichtig ist. Wenn Sie alle Daten in solch ein Online-Meldeformular eingegeben haben, kann es dazu kommen, dass die Aufsichtsbehörde Ihnen mitteilt, dass Sie diese Datenschutzverletzung nicht melden müssen. Fertigen Sie dann einen Screenshot als Nachweis für sich an.

Daraus ergibt sich die Pflicht, eine Risikoabwägung durchzuführen. Berücksichtigen Sie den Risikokatalog von Erwägungsgrund 75 DSGVO und dokumentieren Sie die Abwägung.

Der Meldepflicht nachkommen: Bis wann bei wem und wie?

Verletzungen des Schutzes von personenbezogenen Daten müssen gegenüber der zuständigen Datenschutzbehörde binnen 72 Stunden gemeldet werden. Enthalten sind idealerweise diese Informationen:

• Art des Verstoßes
• Kategorie der betroffenen personenbezogenen Daten
• ungefähre Anzahl der betroffenen Personen und der betroffenen Datensätze
• Kontaktdaten des Verantwortlichen bzw. des zuständigen DSB
• Beschreibung möglicher Folgen der Datenschutzverletzung
• Beschreibung ergriffener und vorgeschlagener Maßnahmen, um die Panne zu beheben, ihre Folgen abzumildern und personenbezogene Daten zu schützen.

Geht die Datenschutzverletzung mit einem besonders hohen Risiko für die Rechte und Freiheiten des Betroffenen einher, so muss eine Meldung gegenüber dem Betroffenen unverzüglich erfolgen. Gemäß Art. 34 DSGVO muss nicht nur über die Datenpanne informiert werden, sondern es werden auch die Folgen für den Betroffenen dargelegt.

Der Reaktionsplan: planvoll vorgehen, Kontrolle zurückgewinnen

Es ist sinnvoll, sich mit einem Reaktionsplan auf den Fall der Fälle vorzubereiten, um mit klarem Kopf zu handeln. Es gilt, Meldefristen einzuhalten und die gesetzlichen Vorgaben einzuhalten. Folgende Schritte gehören in den Reaktionsplan:

• Zügige Kenntnis: Klar – im Falle einer Datenpanne wird diese idealerweise zügig erkannt und an den DSB weitergeleitet. Kommunizieren Sie Mitarbeitern, die fürs Verarbeiten personenbezogener Daten verantwortlich sind, das zügige Weiterleiten des Falls an den DSB. Kommunizieren Sie zudem, dass zügiges Handeln Schaden abwenden kann, um Zögerlichkeiten bei betroffenen Mitarbeitern zu verhindern.
• Bewertung: Der DSB bewertet die Datenpanne. Im Reaktionsplan befindliche Leitlinien bzw. Kriterienkataloge ermöglichen die zügige Bewertung und Risikoanalyse.
• Gegenmaßnahmen einleiten: Integrieren Sie für die unterschiedlichen Arten von Datenpannen verschiedene Gegenmaßnahmen und beschreiben Sie deren Durchführung ausführlich. Greifen Sie ggf. auf vergangene Datenschutzpannen zurück – Ihre Erfahrung kann Ihnen für die Zukunft dienlich sein.
• Meldung: Ist die Datenschutzverletzung bewertet worden, schließt sich die Entscheidung für oder gegen eine Meldung an. Die Geschäftsleitung muss in diese Entscheidung einbezogen werden. Datenpannen, die keine Meldung erfordern, sind etwa das Verlieren eines verschlüsselten Datenträgers oder der kurze Stromausfall, der im Call-Center dazu führt, dass bestimmte Daten kurzfristig nicht abrufbar sind.

Ihr Reaktionsplan kann noch so toll sein – er nützt wenig, wenn Sie den Ernstfall nicht proben. Tauchen im Reaktionsplan Schwächen auf, ist es ungünstig, wenn diese erst bei einem tatsächlichen Datenschutzvorfall entdeckt werden. Dokumentieren Sie Erkenntnisse, die Sie in den Probeläufen gesammelt haben, um die Stärken und Schwächen Ihres Reaktionsplans aufzudecken.

Weitere Folgen von Datenschutzpannen

Eines zeigt unser Ratgeber bislang deutlich: Es gibt sehr unterschiedliche Formen von Verletzungen des geltenden Datenschutzes. So verschieden die Verstöße selbst, so unterschiedlich können auch die Sanktionen ausfallen. Einheitliche Sanktionsmaßnahmen existieren nicht – tatsächlich muss immer der Einzelfall begutachtet werden. Maßgeblich ist neben der DSGVO auch das BDSG (neu) als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU). Art. 84 Abs. 1 DSGVO ermächtigt die EU-Mitgliedstaaten zusätzlich zu „anderen Sanktionen“: „Die Mitgliedstaaten legen die Vorschriften über andere Sanktionen für Verstöße gegen diese Verordnung – insbesondere für Verstöße, die keiner Geldbuße gemäß Artikel 83 unterliegen – fest und treffen alle zu deren Anwendung erforderlichen Maßnahmen. Diese Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein.“

Neben Bußgeldern in schwindelerregenden Höhen (bis zu 20 Millionen Euro oder vier Prozent des letzten Jahresgesamtumsatzes) kann auch mit Freiheitsstrafen von bis zu drei Jahren gerechnet werden – je nach Schwere der Datenschutzverletzung. Im Einzelfall kann dem Geschädigten sogar ein Schmerzensgeld zugesprochen werden – falls hinreichend begründet werden kann, inwieweit die Datenschutzverletzung immaterielle Schäden mit sich gebracht hat.

Übrigens: Auch das Unterlassen der Benachrichtigung des Betroffenen, eine unvollständige Meldung, unterlassene Teilmeldungen sowie fehlende oder auch unvollständige Dokumentationen von Datenschutzverletzungen werden ebenfalls als Verstoß gemeldet und können eben erwähnte Sanktionen nach sich ziehen!

Nicht zu beziffern sind die Imageschäden, die mit Datenpannen einhergehen. Kunden und Interessenten, vielleicht sogar Partner und Zulieferer können sich abwenden, wenn der Ruf geschädigt ist. Dieser Imageschaden kann tatsächlich mehr kosten als die Sanktionen durch die Aufsichtsbehörden.

Datenschutzverletzung: Einige Beispiele

Es war im Jahre 2008, als die Landesbank Berlin (LBB) eine Datenpanne mit bislang unbekannter Ursache gemeldet hatte. Diese Ursache konnte aufgeklärt werden: Zwei Kurierfahrer wurden beauftragt, Kreditkartendaten von zehntausenden Kunden ins Archiv zu bringen. Gegenüber der Staatsanwaltschaft Frankfurt gaben die beiden Fahrer dann zu, ein Paket geöffnet zu haben. Darin befanden sich Weihnachtsstollen – und die beiden Fahrer aßen ihn auf. Der Stollen sollte vermutlich als Weihnachtsgruß der Redaktion von der „Frankfurter Rundschau“ zugestellt werden. Die beiden Fahrer wollten ihren Diebstahl vertuschen und lösten den Adressaufkleber der Stollensendung. Dieser kam auf eine der sechs LBB-Pakete, die sich ebenfalls im Wagen befanden. So landeten die Kreditkartenabrechnungen nicht im Archiv, sondern in der Redaktion. Eindeutig eine Datenpanne, jedoch mit glimpflichem Ausgang.

Im Dezember 2019 geschah eine Datenschutzverletzung, die nicht etwa von einem privatwirtschaftlichen Unternehmen ausging, sondern von der britischen Regierung. Diese hatte im Rahmen der Neujahrsehrungen rund 1.000 private Adressen von Promis, Politikern, aber auch Privatpersonen veröffentlicht. Darunter befanden sich Adressen von Personen, die wegen ihrer Anti-Terror-Beiträge geehrt werden sollten – Personen, die auch anonym bleiben sollten, um Gefahren abzuwenden. Rasch waren die Adressen glücklicherweise wieder offline. Die britische Regierung entschuldigte sich, interne Untersuchungen laufen noch. Mit dem Information Commissioner’s Office (ICO) wurde auch die unabhängige Datenschutzbehörde eingeschaltet.

Datenschutzverletzung: Zügig, aber klar handeln

Sie sehen: So verschieden die Datenschutzverletzungen selbst sein können, so unterschiedlich ist auch der Umgang mit ihnen. Verlieren Sie Ihr Smartphone, haben den Inhalt jedoch verschlüsselt, dann ist das zwar ärgerlich, aber keine Meldung wert. Werden jedoch Adresslisten im Papiermüll entsorgt anstatt sie durch den Reißwolf zu schicken und speziell zu entsorgen, zieht das Konsequenzen nach sich. Welche konkret, hängt immer vom Einzelfall ab.

Eines ist klar: Sie benötigen einen Reaktionsplan, der auch getestet werden muss, damit er im Ernstfall funktioniert. Mit dem Reaktionsplan werden Sie und Ihre gesamte Organisation in die Lage versetzt, zügig, aber mit Bedacht zu handeln und Schlimmeres zu vermeiden.

Wenn Sie Fragen zu Datenschutzverletzungen haben, kontaktieren Sie gerne unsere Datenschutz-Berater bei der PSW GROUP Consulting.