Datenschutz Verstehen – So vermeiden Sie Verstöße im Datenschutz
Kurze Zusammenfassung
Spätestens seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 hat der Datenschutz in der Wahrnehmung der Öffentlichkeit und speziell bei Unternehmen immer mehr Aufmerksamkeit gewonnen. Häufig wird in diesem Zusammenhang über die datenschutzrechtlichen Pflichten berichtet und, dass für den Fall von Verstößen Bußgelder in Millionenhöhe drohen. Andere Sanktionen bei Verstößen, wie z.B. Schadensersatzansprüche von natürlichen betroffenen Personen stehen nicht im Fokus der Berichterstattung. In unserem heutigen Blogbeitrag erfahren Sie, welche Verstöße gegen den Datenschutz vorliegen können und welche Strafen und weitere Folgen bei Verstößen drohen.
Inhalt:
- Was ist ein Verstoß gegen den Datenschutz?
- Folgen bei einem Datenschutzverstoß
- Beispiele für Verstöße im Datenschutz
- Welche Strafen drohen bei einem Verstoß gegen Datenschutz?
- Wie kann man einen Verstoß gegen Datenschutz melden?
- Haftung bei einem Verstoß gegen Datenschutz
- Muss bei einem Datenschutzverstoß informiert werden?
- Verstoß gegen Datenschutz als Privatperson
- Checkliste: Datenschutzverstoß melden
Was ist ein Verstoß gegen den Datenschutz?
Wichtig ist zunächst, ein fundamentales Verständnis dafür aufzubauen, was genau überhaupt ein Verstoß gegen den Datenschutz ist. Im Prinzip regelt die DSGVO in nahezu jedem Kapitel Pflichten, die von verantwortlichen Stellen, wie z.B. Unternehmen, Vereinen, Behörden etc. einzuhalten sind. Wenn diese Pflichten bzw. Vorgaben der DSGVO nicht eingehalten werden, liegt ein Verstoß gegen die Regelungen der DSGVO vor. Nicht jeder Verstoß hat allerdings die gleichen Folgen. Die Folgen von Verstößen gegen den Datenschutz richten sich zum einen nach dem jeweiligen Gesetz und Regelwerk (DSGVO, BDSG-neu, Datenschutzgesetze der Länder etc.) und zum anderen nach den in den jeweiligen Gesetzen definierten Konsequenzen.
Folgen bei einem Datenschutzverstoß
Wenn gegen die Regelungen des Datenschutzes verstoßen wird, drohen Bußgelder. Bei einem Bußgeld allein bleibt es allerdings meist nicht. So bringt ein Verstoß gegen datenschutzrechtliche Vorschriften nicht nur arbeitsrechtliche Konsequenzen mit sich, sondern führt auch zu einem Imageverlust und zu Reputationsschäden. Daneben kann es zu Schadensersatzansprüchen und strafrechtlichen Sanktionen kommen. Auch Abmahnungen durch Wettbewerber sind nicht selten.
Beispiele für Verstöße im Datenschutz
Die gesetzliche Ausrichtung im Datenschutz und insbesondere in der DSGVO ist im Grunde klar: Personenbezogene Daten dürfen grundsätzlich nicht verarbeitet werden, es sei denn, es gibt eine Rechtsgrundlage. Es handelt sich hierbei um ein Verbot mit Erlaubnisvorbehalt. Als Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten kommt z.B. eine Einwilligung gem. Art. 6 Abs. 1 lit. a), 7 DSGVO oder eine rechtliche Verpflichtung i.S.d. Art. 6 Abs. 1 lit. c) DSGVO in Betracht.
Typische Verstöße gegen die DSGVO sind beispielsweise Verstöße gegen die Benennungspflicht eines Datenschutzbeauftragten oder die Meldung des Datenschutzbeauftragten als solche. Auch die Unterlassung der Erfüllung von Betroffenenrechten oder der Verstoß gegen die Zweckbindung der Datenverarbeitung gehören zu den klassischen Datenschutzverstößen. Die Erhebung von Daten ohne entsprechende Rechtsgrundlage oder die Verarbeitung von personenbezogenen Daten für Werbezwecke, trotz des Widerrufs einer etwaigen Einwilligung, fallen ebenfalls unter die typischen Verstöße gegen die DSGVO.
Für mögliche Verstöße gegen den Datenschutz gibt es nahezu unendlich viele Beispiele. Einige Verstöße gegen den Datenschutz treten allerdings häufig auf und sind daher besonders praxisrelevant. Hierzu gehören typischerweise Verstöße gegen Vorgaben für Datenschutzerklärungen, insbesondere auf Websites von Unternehmen. Da die Datenschutzerklärung einer Website öffentlich sichtbar ist, fallen Verstöße gegen Regelungen bezüglich der Datenschutzerklärung, die sich im Wesentlichen aus den Informationspflichten aus Art. 12 ff. DSGVO ergeben, besonders auf. Die Verpflichtung auf das Datengeheimnis, welche sich verpflichtend aus Art. 32 Abs. 1 lit. b) 2. Var. DSGVO ergibt, betrifft natürliche Personen im Beschäftigungsverhältnis. Hier geht es darum, dass personenbezogene Daten, die im Rahmen der betrieblichen Tätigkeit verarbeitet werden, nicht an unbefugte Personen weitergegeben werden dürfen. Auch gegen diese Pflicht wird häufig verstoßen.
Ein weiterer Verstoß bildet beispielsweise auch der fehlende Abschluss von Auftragsverarbeitungsverträgen mit Auftragsverarbeitern nach den Vorgaben des Art. 28 DSGVO oder fehlende Berechtigungs- und Löschkonzepte i.S.v. Art. 32 DSGVO für die Verarbeitung von personenbezogenen Daten. Gerade die technisch-organisatorischen Maßnahmen (TOM), die im Wesentlichen in den Art. 32, 25 DSGVO definiert sind, werden in der Praxis nicht im erforderlichen Maß eingerichtet und bilden somit stets eine Angriffsfläche, insbesondere für Cyber-Angriffe durch Hacker.
Weitere typische Verstöße gegen den Datenschutz liegen bei der Nichteinhaltung der Vorgaben für ein Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO, Nichtbeachtung der Grundsätze der Datenverarbeitung nach Art. 5 DSGVO und der entweder fehlenden oder nicht korrekt durchgeführten Bearbeitung von Betroffenenrechten nach Art. 15 ff. DSGVO. Insgesamt bilden insbesondere die fehlende Einhaltung der umfangreichen Dokumentationspflichten nach der DSGVO die typischen Verstöße gegen den Datenschutz.
Welche Strafen drohen bei einem Verstoß gegen Datenschutz?
Bei den meisten Verstößen drohen Strafen in Form von Bußgeldern. Diese richten sich an die jeweilige verantwortliche Stelle, so z.B. an die juristischen Personen im Fall eines Unternehmens. Welche Verstöße zu Bußgeldern führen, zählt Art. 83 DSGVO auf. Hierzu gehören u.a. Verstöße gegen Regelungen, die folgende Bereiche des Datenschutzes betreffen:
- Auftragsverarbeitung
- Betroffenenrechte
- Verzeichnis der Verarbeitungstätigkeiten
- Informationspflichten (Datenschutzerklärungen)
- Technisch-organisatorische Maßnahmen
- Übermittlungen von personenbezogenen Daten in Drittstaaten
- Grundsätze der Datenverarbeitung
- Datenschutzfolgen-Abschätzungen
Bei Verstößen drohen verantwortlichen Stellen Bußgelder von bis zu 20 Mio. Euro oder im Fall eines Unternehmens bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO.
Eine Strafe, die der Bedeutung dieses Begriffs am nächsten kommt, droht dagegen natürlichen Personen, wenn sie wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, einem Dritten übermittelt oder auf andere Art und Weise zugänglich macht und hierbei gewerbsmäßig handelt. Betroffenen Personen drohen in diesem Zusammenhang eine Freiheitsstrafe von bis zu drei Jahren oder eine Geldstrafe, Art. 84 DSGVO i.V.m. § 42 Abs. 1 BDSG-neu.
Wenn natürliche Personen personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, drohen Freiheitsstrafen von bis zu zwei Jahre oder eine Geldstrafe (vgl. Art. 84 DSGVO i.V.m. § 42 Abs. 2 BDSG-neu).
Der Ausgleich für die tatsächlichen Verantwortlichen, bezüglich des Schadenseintritts, erfolgt im Innenverhältnis, z.B. zwischen Verantwortlichem und Auftragsverarbeiter, vgl. Art. 82 Abs. 5, Abs. 2 und Abs. 3 DSGVO. Hierbei muss sich der in die Haftung Genommene, den Ausgleich selbstständig von dem anderen Verantwortlichen wiederholen.
Wie kann man einen Verstoß gegen Datenschutz melden?
Einen Verstoß gegen den Datenschutz kann jede betroffene Person bei einer Aufsichtsbehörde in dem Mitgliedstaat des gewöhnlichen Aufenthaltsorts, des Orts des mutmaßlichen Verstoßes oder des Arbeitsplatzes melden, wenn die betroffene Person der Auffassung ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Anderweitige verwaltungsrechtliche oder gerichtliche Rechtsbehelfe gelten unbeschadet dieses sog. Beschwerderechts gem. Art. 77 DSGVO. Die Aufsichtsbehörde hat dann die Möglichkeit, ein Bußgeldverfahren gegen die verantwortliche Stelle einzuleiten.
Verantwortliche Unternehmen haben, wenn die Vorgaben in Art. 33 DSGVO erfüllt sind, sogar die Pflicht, Verstöße gegen den Datenschutz in Form einer Datenpanne unverzüglich und möglichst binnen einer Frist von 72 Stunden der zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Haftung bei einem Verstoß gegen Datenschutz
Wenn Unternehmen gegen den Datenschutz verstoßen, drohen nicht nur Bußgelder, sondern auch Schadensersatzansprüche von Personen, bei denen wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Die betroffenen Personen können diese Schadensersatzansprüche gegen den Verantwortlichen oder den Auftragsverarbeiter geltend machen, vgl. Art. 82 Abs. 1 DSGVO.
Bemerkenswert ist in diesem Zusammenhang die gesamtschuldnerische Haftung von Verantwortlichen und Auftragsverarbeitern: Die geschädigte Personen kann den Schaden wahlweise entweder beim Verantwortlichen oder Auftragsverarbeiter in vollem Umfang geltend machen. Dabei ist irrelevant, ob der Verantwortliche oder der Auftragsverarbeiter verantwortlich für den Eintritt des Schadens war. Auf diese Weise soll die wirksame Durchsetzung von Schadensersatzansprüchen ermöglicht werden, vgl. Art 82 Abs. 4 letzter Halbsatz DSGVO.
Der Ausgleich für die tatsächlichen Verantwortlichen, bezüglich des Schadenseintritts, erfolgt im Innenverhältnis, z.B. zwischen Verantwortlichem und Auftragsverarbeiter, vgl. Art. 82 Abs. 5, Abs. 2 und Abs. 3 DSGVO.
Wichtig ist in diesem Zusammenhang, dass Vorstände und Geschäftsführer verantwortlicher Unternehmen auch persönlich mit ihrem Privatvermögen haften. Dies gilt auch für die Haftung für Bußgelder.
Zu beachten ist ferner, dass auch eine Haftung nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) erfolgen kann, da derzeit noch nicht abschließend geklärt ist, ob Verstöße gegen den Datenschutz und damit gegen die DSGVO abmahnfähig sind. In letzter Zeit mehren sich allerdings nationale Urteile von Gerichten, die eine Abmahnfähigkeit von Verstößen gegen den Datenschutz bejahen, so z.B. für den Fall einer nicht datenschutzrechtlich konformen Datenschutzerklärung einer Website. Mehr zum Thema Abmahnfähigkeit von Datenschutzverstößen erfahren Sie hier.
Aktuelle Bußgelder durch Verstöße gegen den Datenschutz
Die jüngsten Bußgelder auf Grundlage der DSGVO geben einen teuren Ausblick für das Jahr 2021. 10,4 Millionen Euro gegen notebooksbilliger, über 12 Millionen Euro gegen Vodafone Italien und 35,3 Millionen Euro gegen Modekette H&M, lassen zukünftig immer weniger Spielraum für Datenschutzverstöße. So langsam wird immer deutlicher, dass die Schonfristen der Aufsichtsbehörden sich dem Ende neigen.
Muss bei einem Datenschutzverstoß informiert werden?
Wenn der Verstoß gegen den Datenschutz voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, müssen Unternehmen die betroffenen Personen unverzüglich von der Verletzung informieren, vgl. Art. 34 DSGVO. Das bedeutet, dass es bei gewissen Datenschutzverstößen nicht ausreicht, lediglich die zuständige Aufsichtsbehörde, wie in Art. 33 DSGVO vorgesehen, zu informieren. Mehr zum Thema Melde- und Benachrichtigungspflichten bei Datenschutzverstößen erfahren Sie hier.
Verstoß gegen Datenschutz als Privatperson
Im ausschließlich privaten Bereich findet die DSGVO keine Anwendung, weshalb Privatpersonen grundsätzlich für Verstöße gegen den Datenschutz im privaten bzw. familiären Bereich nicht haften können, vgl. Art. 2 Abs. 2 lit. c) DSGVO. Privatpersonen in Form von Mitarbeitern haften für Verstöße gegen den Datenschutz im Rahmen ihres Beschäftigungsverhältnisses lediglich nach den im Arbeitsrecht geltenden Grundsätzen der Arbeitnehmerhaftung begrenzt bzw. beschränkt. Nach diesen von der Rechtsprechung entwickelten Grundsätzen haften Arbeitnehmer für leichte Fahrlässigkeit bei Datenschutzverstößen gar nicht, bei mittlerer Fahrlässigkeit findet eine Quotelung statt und der Arbeitgeber und Arbeitnehmer teilen sich ggfs. die Haftung. Bei grober Fahrlässigkeit haftet der Arbeitnehmer unbegrenzt, wenn gleichzeitig nicht seine wirtschaftliche Existenz bedroht ist. Bei Vorsatz haftet der Arbeitnehmer unbeschränkt.
Checkliste: Datenschutzverstoß melden
Für den Fall eines Datenschutzverstoßes bzw. einer Datenpanne sollten Unternehmen zwingend die geltenden Meldefristen beachten und einhalten. Darüber hinaus haben die Aufsichtsbehörden der Bundesländer eigene Formulare und teilweise auch Webportale für die Meldung von Datenschutzverstößen gem. Art. 33 DSGVO, die Unternehmen in Absprache mit dem Datenschutzbeauftragten ausfüllen sollten. Insgesamt sollten Unternehmen bei Datenschutzverstößen stets den Datenschutzbeauftragten unverzüglich einbinden, um die nächsten Schritte zu planen und alle Formalitäten rund um die Meldung des Datenschutzverstoßes an die zuständige Aufsichtsbehörde vorzubereiten. Außerdem sollte, falls gesetzlich erforderlich, die Benachrichtigung der betroffenen Personen gem. Art. 34 DSGVO eingeleitet werden.
- Konsultieren Sie Ihren Datenschutzbeauftragten und melden Sie den Datenschutzverstoß, falls nach Art. 33 DSGVO erforderlich, der Aufsichtsbehörde
- Prüfen Sie, in welchem Ausmaß ein Datenschutzverstoß vorliegt
- Überprüfen Sie gemeinsam mit Ihrem IT-Leiter die Ursache für die Datenpanne und leiten Sie Maßnahmen ein, um eine weitere Datenpanne bzw. einen weiteren Datenverlust zu vermeiden
- Prüfen Sie, wie viele Personen von dem Datenschutzverstoß betroffen sind und besprechen Sie dann mit Ihrem Datenschutzbeauftragten, ob eine Benachrichtigung der betroffenen Personen nach Art. 32 DSGVO erforderlich ist
- Ihr Datenschutzbeauftragter sollte von Beginn an in die Situation eingebunden werden, damit alle Pflichten im Rahmen eines Datenschutzverstoßes Ihrerseits erfüllt werden
Wie Sie Ihren Datenschutzbeauftragten nach den Vorgaben des Art. 37 Abs. 7 DSGVO im Rahmen der Meldepflicht bei der zuständigen Aufsichtsbehörde melden, erfahren Sie in diesem Blogbeitrag.
Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.