Diebstahl oder Manipulation von Daten, das Verschl\u00fcsseln von Daten durch Ransomware sowie Datenverlust: All das gilt datenschutzrechtlich als Datenschutzverletzung. Aber was steckt konkret hinter diesem weit gefassten Begriff? Was hat es mit der Meldepflicht auf sich und mit welchen Konsequenzen muss im Falle einer Datenschutzverletzung gerechnet werden? Diese und weitere Fragen beantworten wir im heutigen Beitrag.<\/p>\n
In der Datenschutzgrundverordnung (DSGVO) wird eine Datenschutzverletzung als „Verletzung des Schutzes personenbezogener Daten“ definiert. Oft h\u00f6rt man auch den eher saloppen Begriff „Datenpanne“. Wann aber ist der Schutz personenbezogener Daten verletzt?<\/p>\n
Gem\u00e4\u00df Art. 4 Nr. 12 DSGVO<\/a> ist eine „Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Ver\u00e4nderung, ob unbeabsichtigt oder unrechtm\u00e4\u00dfig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten f\u00fchrt, die \u00fcbermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Beispiele f\u00fcr Datenschutzverletzungen sind:<\/p>\n Beim Definieren der Datenschutzverletzung wird idealerweise noch keine Bewertung bez\u00fcglich der Meldepflicht gegen\u00fcber Beh\u00f6rden und Betroffenen vorgenommen. Es ist sinnvoll, auch nicht-meldepflichtige Datenpannen zu dokumentieren, da sie zum Bewerten des internen Datenschutzniveaus von Bedeutung sind.<\/p>\n Etliche Paragrafen und Erw\u00e4gungsgr\u00fcnde in der DSGVO zeigen, dass keine Datenschutzverletzung der anderen gleicht, weshalb das Strafma\u00df auch sehr unterschiedlich ausfallen kann. Die Beispiele im Folgenden sollen Ihnen bei der Einsch\u00e4tzung von Rechtsverletzungen helfen.<\/p>\n Es ist anzunehmen, dass dies die gr\u00f6\u00dfte Gruppe eventueller Rechtsverletzungen im Datenschutz darstellt. Als „personenbezogene Daten“ definiert die DSGVO s\u00e4mtliche Informationen, die sich eindeutig auf eine bestimmte Person beziehen lassen. Werden solche Daten \u2013 zum Beispiel Adress-, Gesundheits- oder auch religi\u00f6se Daten \u2013 unrechtm\u00e4\u00dfig, also ohne Einwilligung erhoben, gespeichert, weitergeleitet oder gar ver\u00f6ffentlicht, besteht eine Datenschutzverletzung, die Sanktionen nach sich ziehen kann.<\/p>\n Arbeitgeber m\u00fcssen datenschutzrechtlich viele Vorgaben einhalten: pers\u00f6nliche Informationen m\u00fcssen korrekt technisch erhoben werden. \u00dcber die Handhabe von Daten bis hin zu ihrer L\u00f6schung existieren mannigfaltige Regelungen. Betroffen sind nicht nur die Daten von Kunden und Interessenten, sondern auch die von Mitarbeitern, Partnern, Dienstleistern oder Zulieferern. Eine Datenschutzverletzung am Arbeitsplatz kann verschiedene Vergehen einschlie\u00dfen, darunter auch das Verletzen der Meldepflicht von Datenpannen.<\/p>\n Denn der Arbeitgeber ist nach einer Panne oder nach der Information \u00fcber eine Datenschutzverletzung verpflichtet, zu pr\u00fcfen, ob es sich um eine meldepflichtige Datenschutzverletzung handelt, die an die zust\u00e4ndige Aufsichtsbeh\u00f6rde zu melden ist, jedoch auch an den oder die Betroffenen. Nicht f\u00fcr alle Daten greift das Gesetz der Informationspflicht f\u00fcr nicht-\u00f6ffentliche Stellen, d. h. privatwirtschaftliche Unternehmen und Organisationen: Gem\u00e4\u00df \u00a7 42a BDSG<\/a> sind betroffen:<\/p>\n Arbeitnehmer, die eine Datenschutzverletzung melden m\u00f6chten, k\u00f6nnen sich an den Datenschutzbeauftragten des Unternehmens wenden.<\/p>\n Berufsbedingt haben Arbeitnehmer Zugang zu bestimmten Daten. Idealerweise schulen Arbeitgeber ihre Mitarbeiter im Umgang mit Daten und lassen sich den sorgsamen Umgang mit Daten per Unterschrift vom Arbeitnehmer bescheinigen. Dennoch kann diverses schiefgehen am Arbeitsplatz; eine Datenschutzverletzung durch Mitarbeiter ist schnell passiert.<\/p>\n Man w\u00fcnscht es sich als Arbeitgeber keinesfalls, jedoch gibt es neben den ungewollten Datenpannen auch gezielten Missbrauch. Daten k\u00f6nnen genutzt werden, um Dritte zu erpressen oder Informationen zu verkaufen.<\/p>\n Die DSGVO hebt eine Begrifflichkeit besonders hervor: Das „Risiko f\u00fcr die Rechte und Freiheiten der betroffenen Person“. In verschiedenen Kontexten ist dieses Risiko relevant:<\/p>\n Unter „Risiko“ versteht der Gesetzgeber die Wahrscheinlichkeit von Nachteilen f\u00fcr nat\u00fcrliche Personen hinsichtlich ihrer Rechte und Freiheiten im Zusammenhang mit dem Datenschutzgrundrecht (Art. 8 GRCh<\/a>). Dazu z\u00e4hlen neben Diskriminierung, finanziellen Verlusten oder Rufsch\u00e4digungen unter anderem:<\/p>\n Nach Bundesdatenschutzgesetz mussten Datenschutzverletzungen gemeldet werden, wenn zwei Voraussetzungen erf\u00fcllt waren: Zum einen mussten sogenannte „Risikodaten“ betroffen sein, zum anderen mussten infolge der Datenpanne schwerwiegende Beeintr\u00e4chtigungen f\u00fcr die Rechte oder f\u00fcr die schutzw\u00fcrdigen Interessen von Betroffenen drohen. Das hielt die Anzahl an gemeldeten Datenpannen eher gering.<\/p>\n Mit der DSGVO ist das anders: Grunds\u00e4tzlich muss jede Verletzung des Schutzes von personenbezogenen Daten gemeldet werden. Art. 33 DSGVO<\/a> regelt die Meldepflicht an Aufsichtsbeh\u00f6rden, Art. 34 DSGVO<\/a> die an die Betroffenen. Die Beschr\u00e4nkung auf Risikodaten, wie sie im BDSG Gang und G\u00e4be war, kennt die DSGVO nicht. Nur eine Ausnahme besteht gem\u00e4\u00df Art. 33 Abs. 1 DSGVO: n\u00e4mlich dann, wenn die Datenpanne zu keinem Risiko f\u00fchrt. In der Praxis pr\u00fcfen die Aufsichtsbeh\u00f6rden bei der Online-Meldung von Datenschutzverletzungen, ob eine Datenschutzverletzung meldepflichtig ist. Wenn Sie alle Daten in solch ein Online-Meldeformular eingegeben haben, kann es dazu kommen, dass die Aufsichtsbeh\u00f6rde Ihnen mitteilt, dass Sie diese Datenschutzverletzung nicht melden m\u00fcssen. Fertigen Sie dann einen Screenshot als Nachweis f\u00fcr sich an.<\/p>\n Daraus ergibt sich die Pflicht, eine Risikoabw\u00e4gung durchzuf\u00fchren. Ber\u00fccksichtigen Sie den Risikokatalog von Erw\u00e4gungsgrund 75 DSGVO<\/a> und dokumentieren Sie die Abw\u00e4gung.<\/p>\n Verletzungen des Schutzes von personenbezogenen Daten m\u00fcssen gegen\u00fcber der zust\u00e4ndigen Datenschutzbeh\u00f6rde binnen 72 Stunden gemeldet werden. Enthalten sind idealerweise diese Informationen:<\/p>\n Geht die Datenschutzverletzung mit einem besonders hohen Risiko f\u00fcr die Rechte und Freiheiten des Betroffenen einher, so muss eine Meldung gegen\u00fcber dem Betroffenen unverz\u00fcglich erfolgen. Gem\u00e4\u00df Art. 34 DSGVO muss nicht nur \u00fcber die Datenpanne informiert werden, sondern es werden auch die Folgen f\u00fcr den Betroffenen dargelegt.<\/p>\n Es ist sinnvoll, sich mit einem Reaktionsplan auf den Fall der F\u00e4lle vorzubereiten, um mit klarem Kopf zu handeln. Es gilt, Meldefristen einzuhalten und die gesetzlichen Vorgaben einzuhalten. Folgende Schritte geh\u00f6ren in den Reaktionsplan:<\/p>\n Ihr Reaktionsplan kann noch so toll sein \u2013 er n\u00fctzt wenig, wenn Sie den Ernstfall nicht proben. Tauchen im Reaktionsplan Schw\u00e4chen auf, ist es ung\u00fcnstig, wenn diese erst bei einem tats\u00e4chlichen Datenschutzvorfall entdeckt werden. Dokumentieren Sie Erkenntnisse, die Sie in den Probel\u00e4ufen gesammelt haben, um die St\u00e4rken und Schw\u00e4chen Ihres Reaktionsplans aufzudecken.<\/p>\n\n
Klarheit im Datenchaos: Meldepflicht der Datenschutzverletzung<\/h2>\n
Unrechtm\u00e4\u00dfiger Umgang mit personenbezogenen Daten<\/h3>\n
Der Arbeitgeber verst\u00f6\u00dft gegen den Datenschutz<\/h3>\n
\n
Der Arbeitnehmer verst\u00f6\u00dft gegen den Datenschutz<\/h3>\n
Risiken f\u00fcr die Rechte und Freiheiten von Betroffenen<\/h3>\n
\n
\n
Gibt es „Risikodaten“ wie im BDSG?<\/h3>\n
Der Meldepflicht nachkommen: Bis wann bei wem und wie?<\/h2>\n
\n
Der Reaktionsplan: planvoll vorgehen, Kontrolle zur\u00fcckgewinnen<\/h2>\n
\n
Weitere Folgen von Datenschutzpannen<\/h2>\n