Datenpanne & Datenklau – Meldung, Bußgelder & Co.

Nov 20, 2019 | Allgemein, Datenpanne & Datenklau

Die Datenschutzgrundverordnung (DSGVO) verlangt, dass man als Unternehmen alle personenbezogenen Daten natürlicher Personen schützt. Im heutigen technologischen Zeitalter kommt es jedoch immer wieder zu Datenpannen und Datenklau. Auch für diesen Fall sind in der DSGVO Regularien enthalten. Artikel 33 DSGVO gibt Aufschluss über Fristen und Inhalte der Meldung an die zuständige Aufsichtsbehörde, wenn der Schutz personenbezogener Daten verletzt wurde. Artikel 83 legt die Höhe eventueller Bußgelder fest. Fakt ist, man darf eine Datenpanne heutzutage nicht mehr vertuschen. Das kann teuer werden.

Theoretische Grundlagen & Definition nach Art. 33 DSGVO

Um den Artikel 33 DSGVO zu verstehen, ist es notwendig den Unterschied in den Begriffen Verantwortlicher und Auftragsverarbeiter zu kennen. Die Begriffe sind in Artikel 4 DSGVO definiert. Verantwortlicher ist, wer die Daten zu einem bestimmten Zweck sammeln und verarbeiten möchte und die Mittel hierfür bestimmt. Auftragsverarbeiter ist, wer die Daten im Auftrag des Verantwortlichen verarbeitet. Artikel 55 ff. regeln zudem welche Aufsichtsbehörde zuständig ist. Dies ist meist diejenige in der Region des Verantwortlichen. Handelt es sich jedoch um eine Verarbeitung von Daten, die gesetzlich angeordnet, im öffentlichen Interesse oder im Auftrag der Ausübung öffentlicher Gewalt ist, so ist die Aufsichtsbehörde des betroffenen Landes zu informieren.

Meldung an die Aufsichtsbehörde – Ablauf & Fristen

Im Grunde ist eine Datenpanne oder Datenklau unverzüglich zu melden. Artikel 33 der DSGVO gibt eine Frist bis zu 72 Stunden nach Bekanntwerden der Schutzverletzung an. Sollte eine Meldung innerhalb dieser Frist nicht erfolgen, so muss der später abgesendeten Meldung eine Erklärung für die Verspätung beigefügt werden. Auch Informationen, die zum Zeitpunkt der Meldung noch nicht zur Verfügung stehen, müssen sobald bekannt nachgereicht werden.
Die Meldung muss folgende Informationen beinhalten:

  • Beschreibung des Vorfalls inkl. ungefähre Anzahl und Kategorie der betroffenen Personen, Art der Daten und Anzahl der Datensätze
  • die Details des Datenschutzbeauftragten im Unternehmen, Name und Kontaktdaten
  • Erläuterung der mutmaßlichen Folgen
  • welche Maßnahmen bereits durchgeführt wurden und welche noch beabsichtigt sind

Drohende Bußgelder bei Verstößen

Generell sollen Bußgelder laut DSGVO wirksam, verhältnismäßig und abschreckend sein. Bei der Festsetzung des Betrags soll zudem berücksichtigt werden, welcher Natur der Verstoß war, wie viele Personen betroffen waren und wie groß der erlittene Schaden ist. Vorsätzliches oder fahrlässiges Handeln kann zu einem höheren Datenpanne-Bußgeld führen. Maßnahmen, die zur Verhinderung von Datenpannen ergriffen wurden oder Maßnahmen zur Minderung des Schadens nach Datenklau können sich hingegen mindernd auf das Bußgeld auswirken. Weitere Faktoren bei der Festsetzung des Bußgeldes sind:

  • eventuelle frühere Verstöße
  • Kooperation mit der Aufsichtsbehörde
  • Einhaltung von Zertifizierungsverfahren
  • Einhaltung zuvor angeordneter Maßnahmen
  • ob der Vorfall vom Verantwortlichen gemeldet wurde, oder ob die Aufsichtsbehörde anderweitig davon erfahren musste

Glücklicherweise gibt es auch eine Deckelung, sollten mehrere Verstöße bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorliegen. Der Gesamtbetrag der Geldbuße darf dann den Betrag für den schwerwiegendsten Verstoß nicht überschreiten. Das Bußgeld darf je nach Art des Verstoßes 10.000.000 Euro oder 20.000.000 Euro bzw. zwei Prozent oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens nicht übersteigen.

Zusammenfassung

Was tun bei Datenklau oder Datenpanne nach DSGVO
Stellen Sie stets sicher, dass Sie alle Ihnen möglichen Maßnahmen ergriffen haben, damit keine personenbezogenen Daten ungewollt das Unternehmen verlassen. Sollten Sie trotzdem Opfer einer DSGVO Datenpanne werden, melden Sie dies schnellstmöglich der zuständigen Aufsichtsbehörde und arbeiten Sie mit dieser zusammen. Absatz 1.1 des Art. 33 DSGVO besagt allerdings auch, dass eine Meldung nicht notwendig ist, wenn die Datenpanne „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“. Um dies beurteilen zu können, ist es wichtig einen Datenschutzexperten zu Rate zu ziehen.

 

PRIOLAN als Ihr externer Datenschutzbeauftragter (jetzt anfragen!)

Datenschutz im Unternehmen ist ein komplexes Thema. Wenn Sie Unterstützung benötigen, um auf der sicheren Seite zu sein, können Sie sich vertrauensvoll an uns von PRIOLAN wenden. Wir helfen Ihnen deutschlandweit, rechtssicher zu werden und vor Abmahnungen geschützt zu sein.

Sie erreichen uns jederzeit über unser Kontaktformular oder während unserer Geschäftszeiten telefonisch unter 07131 / 26 28 0. Schützen Sie sich jetzt!

Referenzen:

Wissenswertes