Dass es aus unternehmerischer Sicht sinnvoll ist, Datenschutzvorfälle zu vermeiden, wird niemanden erstaunen. Doch, warum Datenschutzbehörden auch Bußgelder dafür verhängen können, dass es im Unternehmen keine Datenschutzvorfälle gegeben hat, wird erst auf den zweiten Blick klar.

Was haben das Marriott Hotel, British Airways, Knuddels, und die Uniklinik Mainz gemeinsam? Alle vier mussten bereits schmerzlich feststellen, dass Datenschutzvorfälle teuer werden können.

Unternehmen schützen sich gegen Datenschutzvorfälle, weil sie ihre Unternehmensgeheimnisse, ihre Arbeitsfähigkeit, ihre Reputation und ihre IT schützen möchten. Seit Geltung der DSGVO im Mai 2018 steht nicht mehr an letzter Stelle, die Vermeidung von Bußgeldern. Datenschutzvorfälle können empfindliche Bußgelder von Datenschutzbehörden nach sich ziehen.

Doch auch zu behaupten, es habe in den letzten zweieinhalb Jahren im eigenen Unternehmen keine Datenschutzvorfälle gegeben, kann zur Verhängung von Bußgelder führen. Die Behauptung beweist in der Regel mangelndes Verständnis dafür, wann ein Datenschutzvorfall überhaupt vorliegt oder dass keine ausreichenden Prozesse etabliert sind, um Datenschutzvorfälle aufzudecken. Beides sind Zeichen von unzureichendem Datenschutz-Management.

Datenschutzvorfälle passieren jedem.

Unternehmen trifft gemäß Art. 33 DSGVO die Pflicht, Verletzungen des Schutzes personenbezogener Daten – also Datenschutzvorfälle – den zuständigen Aufsichtsbehörden zu melden und zu dokumentieren. Ein Verstoß gegen die Melde- oder Dokumentationspflicht ist selbst ein Verstoß gegen den Datenschutz und kann gemäß Art. 83 DSGVO hohe Bußgelder nach sich ziehen.

Es ist also wichtig zu wissen, was ein Datenschutzvorfall eigentlich ist und was zu tun ist, wenn er eintritt.

Ein Datenschutzvorfall ist eine Verletzung der Sicherheit die zu mindestens einer von fünf negativen Konsequenzen für personenbezogene Daten führt. Die ersten drei Fälle liegen vor, wenn die Daten unbeabsichtigt oder unrechtmäßig vernichtet werden, verloren gehen oder verändert werden. Die letzten beiden Fälle erfordern die unbefugte Offenlegung oder den unbefugten Zugang zu den Daten.

Beispiele für die Vernichtung ist das versehentliche Shreddern einer Akte oder das versehentliche Löschen einer Datei die personenbezogene Daten enthalten. Verlust liegt beispielsweise vor, wenn ein USB-Stick mit personenbezogenen Daten verloren geht. Ein Beispiel für eine Veränderung ist, wenn die falsche Personalakte oder der falsche Eintrag im CRM bearbeitet wird. Eine häufig vorkommende unbefugte Offenlegung ist, dass E-Mails an einen falschen Adressaten oder in Cc, anstelle von Bcc versendet werden. Unbefugter Zugang kann vorliegen, wenn Mitarbeiter ihre persönlichen Passwörter weitergeben oder die Computersysteme des Unternehmens gehackt wurden.

Aus den Beispielen wird deutlich: Datenschutzvorfälle kommen viel häufiger vor, als nur bei Hackerangriffen. Ab einer gewissen Unternehmensgröße ist es schlicht nicht vorstellbar, dass innerhalb eines mehrmonatigen Zeitraums kein Datenschutzvorfall stattgefunden hat.

Was muss geschehen, wenn ein Datenschutzvorfall im Unternehmen entdeckt wird?

In der Regel wird der Mitarbeiter des Unternehmens, dem das Missgeschick passiert ist, dies relativ schnell bemerken. Ab dann läuft die Zeit: innerhalb von 72 Stunden nach der Entdeckung durch einen Mitarbeiter muss die zuständige Datenschutzbehörde informiert werden.

Das setzt voraus, dass alle Mitarbeiter geschult sind, Datenschutzvorfälle zu erkennen und zu wissen, was zu tun ist, wenn sie eintreten. Der Datenschutzbeauftragte muss so schnell wie möglich informiert werden und am Ende muss die Geschäftsführung eine Entscheidung darüber treffen, ob eine Meldung an die Behörde erfolgt oder ob sie darauf hofft, dass der Datenschutzvorfall unbemerkt bleiben wird.

Denn es ist unter Juristen und unter den Datenschutzbehörden umstritten, ob eine Meldung Immunität gegen Bußgelder mit sich bringt. Das Unternehmen muss abwägen zwischen der Gefahr sich selbst ans Messer zu liefern und der Gefahr, dass ein Vertuschungsversuch erfolglos bleibt und dann ein weitaus höheres Bußgeld droht.

Jedenfalls birgt eine verspätete Meldung die Gefahr eines Bußgelds allein für die Verspätung.

Nicht meldepflichtig ist ein Datenschutzverstoß, wenn die Datenschutzverletzung im konkreten Fall gar keinen Schaden zur Folge haben kann oder wenn ein möglicher Schaden wahrscheinlich nicht eintreten wird.

Ein Beispiel hierfür ist, dass eine Datei mit personenbezogenen Daten nach dem Stand der Technik sicher verschlüsselt und mit einem sicheren Passwort versehen wird und anschließend auf einen USB-Stick kopiert und per Post versendet wird. Wenn der Stick auf dem Postweg verloren geht, kann ein Finder die Daten nicht entschlüsseln, so dass ein Schaden nicht entsteht. Ein Finder oder Dieb des USB-Sticks kann die Datei nicht entschlüsseln und die Daten sind nicht für immer verloren, weil es sich lediglich um eine Kopie handelte.

Achtung: Obwohl der Datenschutzvorfall in diesem Fall nicht gemeldet werden muss, muss er trotzdem dokumentiert werden.

Das ist wichtig, denn bei einer Prüfung durch die Datenschutzbehörden können diese Einblick in Ihre Dokumentation der Datenschutzvorfälle verlangen. Wenn dann dort nichts zu finden ist, muss der Verantwortliche beweisen, dass das nicht auf mangelndes Datenschutz-Management zurückzuführen ist.

In Fällen, in denen der Datenschutzvorfall ein hohes Risiko für den Betroffenen (also die Person dessen personenbezogene Daten betroffen sind) hat, muss gemäß Art. 34 DSGVO dieser ebenfalls informiert werden.

Die Beschäftigung mit Datenschutzvorfällen ist ein Muss für alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten. Hier zahlt sich ein gutes Datenschutz-Management durch Etablierung von Prozessen und Schulung der Mitarbeiter aus.

Für Ihre Fragen und Anmerkungen zu diesem Thema kontaktieren Sie uns! Wir beraten Sie gerne zu allen Fragen zu Datenschutzvorfällen und dem Datenschutz.

+49 (0) 25 06 / 93 20 600 • info@katlex.de • https://katlex.de