Verstoß gegen den Datenschutz

Datenschutz Verstehen – So vermeiden Sie Verstöße im Datenschutz

Kurze Zusammenfassung

Spätestens seit dem Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 hat der Datenschutz in der Wahrnehmung der Öffentlichkeit und speziell bei Unternehmen immer mehr an Aufmerksamkeit gewonnen. Häufig wird in diesem Zusammenhang über die datenschutzrechtlichen Pflichten berichtet und dass für den Fall von Verstößen Bußgelder in Millionenhöhe drohen. Andere Sanktionen bei Verstößen, wie z.B. Schadensersatzansprüche von privaten betroffenen Personen, stehen nicht im Fokus der Berichterstattung. In unserem heutigen Blogbeitrag erfahren Sie, welche Verstöße gegen den Datenschutz vorliegen können und welche Strafen, Bußgelder und weiteren Folgen bei Verstößen drohen.   

 

Was ist ein Verstoß gegen den Datenschutz?

Wichtig ist zunächst ein fundamentales Verständnis dafür aufzubauen, was genau überhaupt ein Verstoß gegen den Datenschutz ist. Im Prinzip regelt die DSGVO in ziemlich jedem Kapitel Pflichten, die von verantwortlichen Stellen, wie z.B. Unternehmen, Vereinen, Behörden etc. einzuhalten sind. Wenn diese Pflichten bzw. Vorgaben der DSGVO nicht eingehalten werden, liegt ein Verstoß gegen die Regelungen der DSGVO vor. Nicht jeder Verstoß hat allerdings die gleichen Folgen. Die Folgen von Verstößen gegen den Datenschutz richten sich zum einem nach dem jeweiligen Gesetz und Regelwerk (DSGVO, BDSG-neu, Datenschutzgesetze der Länder etc.) und zum anderen an die in den jeweiligen Gesetzen definierten Konsequenzen. So werden viele Verstöße gegen datenschutzrechtliche Vorgaben mit Bußgeldern an die jeweiligen verantwortlichen Unternehmen geahndet. Darüber hinaus gibt es auch Regelungen, die an einem Verstoß erhebliche Konsequenzen vorsieht, wie z.B. eine Freiheitsstrafe für natürliche Personen. Auch Schadensersatzansprüche von betroffenen natürlichen Personen gegen verantwortliche Stellen sind speziell geregelt. Sogar wettbewerbsrechtliche Folgen in Form von Abmahnungen und Schadensersatzansprüchen sind möglich und im Rahmen der aktuellen Rechtsprechung immer noch nicht gänzlich ausgeschlossen.  

 

Beispiele für Verstöße im Datenschutz

Für mögliche Verstöße gegen den Datenschutz gibt es nahezu unendlich viele Beispiele. Einige Verstöße gegen den Datenschutz treten allerdings häufig auf und sind daher besonders praxisrelevant. Hierzu gehören typischerweise Verstöße gegen Vorgaben für Datenschutzerklärungen, insbesondere auf Websites von Unternehmen. Da die Datenschutzerklärung einer Website öffentlich sichtbar ist, fallen Verstöße gegen Regelungen bezüglich der Datenschutzerklärung, die sich im Wesentlichen aus den Informationspflichten aus Art. 12 ff. DSGVO ergeben, besonders auf. Die Verpflichtung auf das Datengeheimnis, welche sich verpflichtend aus Art. 32 Abs. 1 lit. b) 2. Var. DSGVO ergibt, betrifft natürliche Personen im Beschäftigungsverhältnis. Hier geht es darum, dass personenbezogene Daten, die im Rahmen der betrieblichen Tätigkeit verarbeitet werden, nicht an unbefugte Personen weitergegeben werden dürfen. Auch gegen diese Pflicht wird häufig verstoßen. Ein weiterer Verstoß bildet beispielsweise auch der fehlende Abschluss von Auftragsverarbeitungsverträge mit Auftragsverarbeitern nach den Vorgaben des Art. 28 DSGVO oder fehlende Berechtigungs- und Löschkonzepte i.S.v. Art. 32 DSGVO für die Verarbeitung von personenbezogenen Daten. Gerade die technisch-organisatorischen Maßnahmen (TOM), die im Wesentlichen in Art. 32, 25 DSGVO definiert sind, werden in der Praxis nicht im erforderlichen Maß eingerichtet und bilden somit stets eine Angriffsfläche, insbesondere für Cyber-Angriffe durch Hacker. Weitere typische Verstöße gegen den Datenschutz liegen bei der Nichteinhaltung der Vorgaben für ein Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO, Nichtbeachtung der Grundsätze der Datenverarbeitung nach Art. 5 DSGVO und der entweder fehlenden oder nicht korrekt durchgeführten Bearbeitung von Betroffenenrechten nach Art. 15 ff. DSGVO. Insgesamt bildet insbesondere die fehlende Einhaltung der umfangreichen Dokumentationspflichten nach der DSGVO die typischen Verstöße gegen den Datenschutz.

 

Welche Strafen drohen bei einem Verstoß gegen Datenschutz?

Bei den meisten Verstößen drohen Strafen in Form von Bußgeldern. Diese richten sich an die jeweilige verantwortliche Stelle, so z.B. an die juristische Personen im Fall eines Unternehmens. Welche Verstöße zu Bußgeldern führen, zählt Art. 83 DSGVO auf. Hierzu gehören u.a. Verstöße gegen Regelungen, die folgende Bereiche des Datenschutzes betreffen:

  • Auftragsverarbeitung
  • Betroffenenrechte
  • VVT
  • Informationspflichten (Datenschutzerklärungen)
  • Technisch-organisatorische Maßnahmen
  • Übermittlungen von personenbezogenen Daten in Drittstaaten
  • Grundsätze der Datenverarbeitung
  • Datenschutzfolgen-Abschätzungen

Bei Verstößen drohen verantwortlichen Stellen Bußgelder von bis zu bis zu 20 Mio. Euro oder im Fall eines Unternehmens bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO.

Eine Strafe, die der Bedeutung dieses Begriffs am nächsten kommt, droht dagegen natürlichen Personen, wenn Sie wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen, ohne hierzu berechtigt zu sein, einem Dritten übermittelt oder auf andere Art und Weise zugänglich macht und hierbei gewerbsmäßig handelt. Betroffenen Personen drohen in diesem Zusammenhang eine Freiheitsstrafe von bis zu zwei Jahren oder eine Geldstrafe, § 42 Abs. 1 BDSG-neu.

Wenn natürliche Personen personenbezogene Daten, die nicht allgemein zugänglich sind, ohne hierzu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht und hierbei gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, drohen Freiheitsstrafen von bis zu zwei Jahre oder eine Geldstrafe (vgl. § 42 Abs. 2 BDSG-neu).

 

Wie kann man einen Verstoß gegen Datenschutz melden?

Einen Verstoß gegen den Datenschutz kann jede betroffene Person bei einer Aufsichtsbehörde in dem Mitgliedstaat des gewöhnlichen Aufenthaltsorts, des Orts des mutmaßlichen Verstoßes oder des Arbeitsplatzes melden, wenn die betroffene Person der Auffassung ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Anderweitige verwaltungsrechtliche oder gerichtliche Rechtsbehelfe gelten unbeschadet dieses sog. Beschwerderechts gem. Art. 77 DSGVO. Die Aufsichtsbehörde hat dann die Möglichkeit, ein Bußgeldverfahren gegen die verantwortliche Stelle einzuleiten.

Verantwortliche Unternehmen haben, wenn die Vorgaben in Art. 33 DSGVO erfüllt sind, sogar die Pflicht, Verstöße gegen den Datenschutz in Form einer Datenpanne unverzüglich und möglichst binnen einer Frist von 72 Stunden der zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. 

 

Haftung bei einem Verstoß gegen Datenschutz

Wenn Unternehmen gegen den Datenschutz verstoßen, drohen nicht nur Bußgelder, sondern auch Schadensersatzansprüche von Personen, bei denen wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist. Die betroffenen Personen können diese Schadensersatzansprüche gegen den Verantwortlichen oder den Auftragsverarbeiter geltend machen, vgl. Art. 82 Abs. 1 DSGVO.

Bemerkenswert ist in diesem Zusammenhang die gesamtschuldnerische Haftung von Verantwortlichen und Auftragsverarbeitern: Die geschädigte Personen kann den Schaden wahlweise entweder beim Verantwortlichen oder Auftragsverarbeiter in vollem Umfang geltend machen. Dabei ist irrelevant, ob der Verantwortliche oder der Auftragsverarbeiter verantwortlich für den Eintritt des Schadens war. Auf diese Weise soll die wirksame Durchsetzung von Schadensersatzansprüchen ermöglicht werden, vgl. Art 82 Abs. 4 letzter Halbsatz DSGVO.

Der Ausgleich für die tatsächlichen Verantwortlichen, bezüglich des Schadenseintritts, erfolgt im Innenverhältnis, z.B. zwischen Verantwortlichem und Auftragsverarbeiter, vgl. Art. 82 Abs. 5, Abs. 2 und Abs. 3 DSGVO.

Wichtig ist in diesem Zusammenhang, dass Vorstände und Geschäftsführer verantwortlicher Unternehmen auch persönlich mit ihrem Privatvermögen haften. Dies gilt auch für die Haftung für Bußgelder.

Zu beachten ist ferner, dass auch eine Haftung nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) erfolgen kann, da derzeit noch nicht abschließend geklärt ist, ob Verstöße gegen den Datenschutz und damit gegen die DSGVO abmahnfähig sind. In letzter Zeit mehren sich allerdings nationale Urteile von Gerichten, die eine Abmahnfähigkeit von Verstößen gegen den Datenschutz bejahen, so z.B. für den Fall einer nicht datenschutzrechtlich konformen Datenschutzerklärung einer Website. Mehr zum Thema Abmahnfähigkeit von Datenschutzverstößen erfahren Sie hier.

 

Muss bei einem Datenschutzverstoß informiert werden?

Wenn der Verstoß gegen den Datenschutz in der Form der Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, müssen Unternehmen die betroffenen Personen unverzüglich von der Verletzung informieren, vgl. Art. 34 DSGVO. Das bedeutet, dass bei gewissen Datenschutzverstößen es nicht ausreicht, lediglich die zuständige Aufsichtsbehörde, wie in Art. 33 DSGVO vorgesehen, zu informieren. Mehr zum Thema Melde- und Benachrichtigungspflichten bei Verstößen gegen den Datenschutz bzw. Datenschutzverstößen erfahren Sie hier

 

Verstoß gegen Datenschutz als Privatperson

Im ausschließlich privaten Bereich findet die DSGVO keine Anwendung, weshalb Privatpersonen grundsätzlich für Verstöße gegen den Datenschutz im privaten bzw. familiären Bereich nicht haften können, vgl. Art. 2 Abs. 2 lit. c) DSGVO. Privatpersonen in Form von Mitarbeitern haften für Verstöße gegen den Datenschutz im Rahmen ihres Beschäftigungsverhältnisses lediglich nach den im Arbeitsrecht geltenden Grundsätzen der Arbeitnehmerhaftung begrenzt bzw. beschränkt. Nach diesen von der Rechtsprechung entwickelten Grundsätzen haften Arbeitnehmer für leichte Fahrlässigkeit bei Datenschutzverstößen gar nicht, bei mittlerer Fahrlässigkeit findet eine Quotelung statt und der Arbeitgeber und Arbeitnehmer teilen sich ggfs. die Haftung. Bei grober Fahrlässigkeit haftet der Arbeitnehmer unbegrenzt, wenn gleichzeitig nicht seine wirtschaftliche Existenz bedroht ist. Bei Vorsatz haftet der Arbeitnehmer unbeschränkt.

 

Checkliste: Datenschutzverstoß melden 

Für den Fall eines Datenschutzverstoßes bzw. einer Datenpanne sollten Unternehmen zwingend die geltenden Meldefristen beachten und einhalten. Darüber haben die Aufsichtsbehörden der Bundesländer eigene Formular und teilweise auch Webportale für die Meldung von Datenschutzverstößen gem. Art. 33 DSGVO, die Unternehmen in Absprache mit dem Datenschutzbeauftragten ausfüllen sollten. Insgesamt sollten Unternehmen bei Datenschutzverstößen stets den Datenschutzbeauftragten unverzüglich einbinden, um die nächsten Schritte zu planen und alle Formalitäten rund um die Meldung des Datenschutzverstoßes an die zuständige Aufsichtsbehörde vorzubereiten und darüber hinaus, falls gesetzlich erforderlich, die Benachrichtigung der betroffenen Personen gem. Art. 34 DSGVO einzuleiten.

  • Konsultieren Sie Ihren Datenschutzbeauftragten und melden Sie den Datenschutzverstoß, falls nach Art. 33 DSGVO erforderlich, der Aufsichtsbehörde
  • Prüfen Sie, in welchem Ausmaß ein Datenschutzverstoß vorliegt 
  • Überprüfen Sie gemeinsam mit Ihrem IT-Leiter die Ursache für die Datenpanne und leiten Sie Maßnahmen ein, um eine weitere Datenpanne bzw. einen weiteren Datenverlust zu vermeiden
  • Prüfen Sie, wie viele Personen von dem Datenschutzverstoß betroffen sind und besprechen Sie dann mit Ihrem Datenschutzbeauftragten, ob eine Benachrichtigung der betroffenen Personen nach Art. 32 DSGVO erforderlich ist
  • Ihr Datenschutzbeauftragter sollte von Beginn an in die Situation eingebunden werden, damit alle Pflichten im Rahmen eines Datenschutzverstoßes Ihrerseits erfüllt werden 

Wie Sie Ihren Datenschutzbeauftragten nach den Vorgaben des Art. 37 Abs. 7 DSGVO  im Rahmen der Meldepflicht bei der zuständigen Aufsichtsbehörde melden, erfahren Sie in diesem Blogbeitrag.

Autor

Herr Dipl.-Jur. Serkan Taskin hat an der Westfälischen-Wilhelms-Universität (WWU) in Münster Rechtswissenschaften studiert und ist seit seinem Abschluss als externer Datenschutzbeauftragter und Consultant für Datenschutz tätig. Gleichzeitig besitzt Herr Taskin eine Zertifizierung als Datenschutzbeauftragter (TÜV Rheinland). Als externer Datenschutzbeauftragter und Consultant für Datenschutz unterstützt er Unternehmen aus verschiedenen Branchen in der Umsetzung datenschutzrechtlicher Vorgaben. Darüber hinaus ist Herr Taskin als Auditor für Konzerne, kleine und mittelgroße Unternehmen (KMU) sowie Startups tätig. Herr Taskin zeichnet sich durch seine juristische Expertise im Datenschutzrecht aus und konfiguriert die Umsetzung und Einhaltung des Datenschutzes derart, dass auch wirtschaftliche Interessen der Unternehmen dennoch berücksichtigt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN