Datenpannen verunsichern viele Unternehmen: Was genau ist ein Datenschutzverstoß? Welche Strafen und Bußgelder sind möglich? Haftet ein interner oder externer Datenschutzbeauftragter für etwaige Fehler? Wie steht es mit der Meldepflicht gemäß DSGVO? Und wem melde ich als Verantwortlicher einen Verstoß gegen die DSGVO eigentlich?
Antworten und alles Wissenswerte zum Thema DSGVO-Verstoß finden Sie hier. Zudem geben wir Tipps, wie Sie bei einem Datenschutzvorfall schnell die richtigen Maßnahmen ergreifen.
Das Wichtigste in Kürze
- Nicht jede Datenschutzverletzung muss der Aufsichtsbehörde gemeldet werden. Trotzdem sollte jeder DSGVO Verstoß ernst genommen werden.
- Liegt ein meldepflichtiger Datenschutzverstoß vor, muss dieser innerhalb von 72 Stunden nach Bekanntwerden gemeldet werden.
- Je nach Umfang und Sensibilität der verlorenen Daten können hohe Bußgelder verhängt werden.
- Die Haftung beim Datenschutzverstoß liegt grundsätzlich beim Unternehmen als Verantwortlichen. Unter Umständen kann auch der vom Unternehmen bestellte externe Datenschutzbeauftragte haften.
- Durch sorgfältig getroffene Maßnahmen und klare Zuständigkeiten kann Datenpannen aktiv entgegengewirkt werden.
In diesem Beitrag
- Datenschutzverstoß Definition
- DSGVO-konforme Meldung
- Reaktionsplan
- Bußgelder
- Weitere mögliche Strafen
- Die Frage der Haftung
- Datenschutzverstöße von vornherein vermeiden
- Fazit
Datenschutzverstoß Definition
Ein Datenschutzverstoß im Sinne der DSGVO liegt immer dann vor, wenn der Schutz personenbezogener Daten verletzt wurde. Allerdings ist nicht jeder Datenschutzverstoß meldepflichtig. Ob ein Datenschutzvorfall der zuständigen Aufsichtsbehörde gemeldet werden muss, hängt maßgeblich vom Umfang des Vorfalls und von den Risiken ab, die daraus für die Rechte und Freiheiten der betroffenen Personen entstehen.
Meldepflichtige Datenschutzverstöße
Vor dem Inkrafttreten der DSGVO war der Verantwortliche (also das Unternehmen, das Daten erhebt bzw. speichert) nur bei bestimmten Datenarten zur Meldung von Datenschutzvorfällen verpflichtet. Diese Datenarten hatte der Gesetzgeber im Bundesdatenschutzgesetz (BDSG) und im Telemediengesetz (TMG) als besonders sensibel eingestuft. Die Pflicht zur Meldung einer Datenpanne war damit eher ein Ausnahmefall.
Mit Inkrafttreten der DSGVO wurde dieses Regel-Ausnahme-Prinzip in eine grundsätzliche Meldepflicht für sämtliche Datenschutzverletzungen umgewandelt. Mögliche Beispiele für einen meldepflichtigen DSGVO Verstoß sind:
- Hackerangriffe auf die IT-Infrastruktur eines Unternehmens, welche das Ausspähen oder Veröffentlichen von Mitarbeiter- und/oder Kundendaten zur Folge haben
- Versehentliche Weitergabe von Kundendaten an einen Anrufer im Call-Center, ohne die Identität dessen zu überprüfen
- Versand von Werbe-E-Mails an eine große Anzahl an Kunden, deren Kontaktdaten für alle Empfänger im CC-Feld offen ersichtlich sind.
Gut zu wissen: Ihre Auftragsverarbeiter (AV) sind verpflichtet, Ihnen eine Schutzverletzung zu melden. Wie dies im Einzelfall zu erfolgen hat, sollte in Ihrem Auftragsverarbeitungsvertrag geregelt sein.
Nicht meldepflichtige Datenschutzverstöße
Um das Risiko im Einzelfall richtig einzuschätzen, sollten Sie Ihren Datenschutzbeauftragten hinzuziehen. Stuft dieser das entstandene Risiko für die Betroffenen als gering ein, müssen Sie die Panne nicht zwingend melden. Bei der Einschätzung ist Genauigkeit wichtig: Überprüfen Sie, wie viele Personen von dem Datenschutzverstoß betroffen sind und welche Daten verloren gegangen sind. Je sensibler die betroffenen Daten und je größer der Personenkreis, desto höher ist das Risiko.
Sollten Sie nach Absprache mit Ihrem Datenschutzbeauftragten von der Meldung absehen, ist diese Entscheidung immer zu dokumentieren. Beschreiben Sie die Umstände des Vorfalls und halten Sie die Gründe für die unterbliebene Meldung schriftlich fest. Diese interne Dokumentation ist zwingend erforderlich. Hier lassen die Bestimmungen der DSGVO keinen Spielraum. Im Fall einer Kontrolle durch die Aufsichtsbehörde schafft die Dokumentation Klarheit.
Sie sind sich immer noch unsicher, wann ein Datenschutzverstoß gemeldet werden muss? Hier finden Sie eine noch detaillierte Aufschlüsslung der Kriterien.
Einen Datenschutzverstoß DSGVO-konform melden
Kommen der Datenschutzbeauftragte und die Geschäftsführung zu dem Schluss, dass sich ein Risiko für die Rechte und Freiheiten der Betroffenen ergeben könnte, muss die zuständige Aufsichtsbehörde benachrichtigt werden – bis spätestens 72 Stunden nach Bekanntwerden des Datenschutzverstoßes.
Feiertage und Wochenenden unterbrechen diese Frist nicht. Zudem heißt es in Artikel 33 Absatz 1 DSGVO:
„Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“
Als Begründung zulässig wäre etwa das Ergreifen sofortiger Gegenmaßnahmen, um den Schaden so gering wie möglich zu halten.
Tipp: Sollten Sie innerhalb der 72 Stunden nicht sämtliche Informationen bereitstellen können, informieren Sie die zuständige Stelle schrittweise. Viele Aufsichtsbehörden stellen Online-Formulare zur Verfügung, mit denen eine Meldung schnell und einfach vorgenommen werden kann.
Bei Bedarf können Sie eine Zweitmeldung „nachschieben“, sobald Ihnen neue Informationen vorliegen. Dokumentieren Sie außerdem, welche Folgen durch den Verstoß potenziell zu erwarten sind. Geben Sie abschließend einen Ansprechpartner mit Kontaktadresse an. Meist ist dies Ihr Datenschutzbeauftragter.
Geht mit der Datenpanne ein hohes Risiko für die Betroffenen einher – zum Beispiel, weil besonders schützenswerte personenbezogene Daten wie die Religionszugehörigkeit oder Gesundheitsdaten offengelegt wurden –, müssen auch die betroffenen Personen über den Vorfall und seinen Umfang informiert werden. So sind die unterschiedlichen Risikostufen beispielhaft einzuordnen:
Geringes Risiko | z. B. der Verlust eines Speichermediums mit personenbezogenen Daten, die aber im Vorfeld nach aktuellem Stand der Technik verschlüsselt wurden, sodass ein Datenleck unwahrscheinlich ist. |
Normales bis mittleres Risiko | z. B. der Versand eines Newsletters, bei dem alle Adressaten für jeden Empfänger des Newsletters einsehbar sind. Der Fall ist dies etwa, wenn die Adressen in das „CC“-Feld und nicht in das „BCC“-Feld eingetragen wurden. |
Hohes Risiko | z. B., wenn besonders sensible Daten wie medizinische Diagnosen oder Bankverbindungen veröffentlicht werden oder nachweislich von Dritten eingesehen werden können. |
Weitere Beispiele für meldepflichtige und nicht meldepflichtige Datenschutzverstöße finden Sie hier.
Reaktionsplan bei einem Datenschutzverstoß
Da es bei einer Datenpanne schnell gehen muss, folgen Sie am besten einem strukturierten Reaktionsplan. Haben Sie für Ihr Unternehmen keinen Datenschutzbeauftragten benannt, weil dies gemäß DSGVO nicht erforderlich ist, sollten Sie bei einem Datenschutzverstoß den zuständigen Landesbeauftragten für Datenschutz kontaktieren.
Definieren Sie Verhaltensmaßnahmen für den Fall einer Datenschutzverletzung gemeinsam mit Ihrem Datenschutzbeauftragten (DSB). Dann sind Sie im Ernstfall handlungsfähig, können eine Risikoanalyse durchführen und geeignete Schutzmaßnahmen in die Wege leiten.
Orientieren Sie sich an diesem Musterplan:
- Kontakt zu Ihrem Datenschutzbeauftragten aufnehmen: Der DSB hilft Ihnen bei der Risikoeinschätzung sowie beim Einleiten der nächsten Schritte.
- Den DSGVO Verstoß überprüfen: Da nicht jeder Vorfall meldepflichtig ist, sollten Sie gemeinsam mit dem DSB das Risiko für die betroffenen Personen überprüfen und einstufen. Dabei sind folgende Aspekte zu berücksichtigen:
- Wer ist von der Datenpanne betroffen?
- Welche personenbezogenen Daten sind betroffen?
- Was ist das mögliche Ausmaß des Ereignisses und welche Risiken könnten für die betroffenen Personen entstehen?
- Sofortige Gegenmaßnahmen ergreifen: Werden Datenlecks oder Fehler in den Verarbeitungsprozessen festgestellt, sind diese umgehend zu beheben. Leiten Sie darüber hinaus sofortige Schritte zur Risikominimierung ein: etwa durch unternehmensweite Passwortänderungen.
- Betroffene Personen informieren: Bestehen durch die Datenpanne hohe Risiken für die persönlichen Rechte oder die individuelle Freiheit der betroffenen Personen, müssen diese benachrichtigt werden.
- DSGVO Verstoß melden: Besteht ein mehr als geringes Risiko für betroffene Personen, müssen Sie den Datenschutzverstoß der zuständigen Aufsichtsbehörde Ihres Bundeslandes melden. Um der Meldepflicht nach DSGVO nachzukommen, haben Sie dazu 72 Stunden Zeit.
- Präventivmaßnahmen gegen DSGVO-Verstöße ergreifen: Haben strukturelle Fehler oder Sicherheitslücken zur Datenschutzverletzung beigetragen, sollten diese behoben und optimiert werden. Das Vorgehen und ergänzende Maßnahmen besprechen Sie am besten mit Ihrem Datenschutzbeauftragten.
Gibt es in Ihrem Unternehmen keinen DSB, weil Sie hierzu gesetzlich nicht verpflichtet sind, benennen Sie nach Möglichkeit dennoch einen festen Ansprechpartner für Datenschutzfragen. Oder ziehen Sie einen externen Dienstleiser heran.
Bußgelder bei einer Datenpanne
Wenn Sie einen DSGVO-Verstoß melden, folgen Untersuchungen durch die zuständige Aufsichtsbehörde. Diese sind jedoch nicht einheitlich geregelt. Das liegt schon allein an der großen Bandbreite möglicher Verstöße und ihrer datenschutzrechtlichen Bewertung.
Wichtig: Die Zusammenarbeit mit der Aufsichtsbehörde gehört zu den Aufgaben Ihres Datenschutzbeauftragten. Sollte gerade ein Datenschutzverstoß in Ihrem Unternehmen bekannt geworden sein, melden Sie sich gerne direkt bei uns. Wir können auch kurzfristig als Ihr externer DSB einspringen und beim richtigen Umgang unterstützen.
Ob bewusst oder fahrlässig gehandelt wurde, spielt für das Bußgeld ebenso eine Rolle wie die Folgen des Verstoßes. Bei Verletzungen des Schutzes personenbezogener Daten können gemäß Artikel 83 Absatz 5 DSGVO Bußgelder bis 20 Millionen Euro oder von bis zu vier Prozent des weltweiten Jahresumsatzes Ihres Unternehmens verhängt werden – je nachdem, welche Zahl größer ist. In der Regel können Sie mit einem Bußgeld im vier- oder fünfstelligen Bereich rechnen. Beispielsweise wurde am 30.09.2024 in Deutschland das bisher höchste Bußgeld von 14,5 Millionen Euro aufgrund eines DSGVO-Verstoßes gegen die Immobiliengesellschaft Deutsche Wohnen verhängt.
Hinzu kommen eventuelle Schadenersatzansprüche. Denn gemäß Artikel 82 Absatz 1 DSGVO hat jede Person, der durch den Datenschutzverstoß ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz.
Weitere mögliche Strafen bei Datenschutzverstößen
Wenn Sie die Meldepflicht bei einem Datenschutzverstoß missachten, drohen empfindliche Strafen. Diese können von sechsstelligen Summen bis hin zu Millionenbeträgen reichen – das Risiko lohnt sich also nicht. Die Höchststrafe liegt laut Artikel 83 Absatz 4 DSGVO bei 10 Millionen oder wahlweise zwei Prozent des globalen Jahresumsatzes.
Wichtig: Die Strafe kommt auf das entsprechende Bußgeld für die Datenpanne obendrauf.
Und selbst mit diesen Kosten ist es nicht unbedingt getan: Ihrem Unternehmen entsteht zudem ein Imageschaden, denn Kunden und Partner nehmen Datenpannen selten auf die leichte Schulter. Wenn herauskommt, dass Sie dann auch noch die Meldepflicht umgangen haben, verlieren Geschäftspartner das Vertrauen in Ihr Unternehmen und Ihre Produkte. Besser ist es also, den DSGVO-Verstoß sofort zu melden und Gegenmaßnahmen zu ergreifen.
Was ein Datenschutzverstoß insgesamt kostet?
Das lässt sich seriös nicht beziffern. Allein der Vertrauensverlust bei Kunden kann ein Unternehmen in die Insolvenz führen. Investitionen in den Datenschutz sind daher ein Muss und lohnen sich mit Sicherheit.
Die Frage der Haftung
Prinzipiell haftet der Verantwortliche für Datenschutzverstöße. Bei bestimmten Konstellationen kann der Datenschutzbeauftragte jedoch in Regresshaftung genommen werden: zum Beispiel bei Schäden, die auf mangelnde Pflichterfüllung durch den DSB zurückzuführen sind.
Allerdings unterliegt ein interner DSB der beschränkten Arbeitnehmerhaftung. Anders sieht es bei einem externen Datenschutzbeauftragten aus, dieser kann für Beratungsfehler und mangelnde Pflichterfüllung voll haftbar gemacht werden und muss entsprechend versichert sein.
Haftung interner DSB | Haftung externer DSB |
|
|
Datenschutzverstöße von vornherein vermeiden
Sie vermeiden Datenverstöße und Bußgelder vor allem durch eins: einen stetigen Überblick über Ihre Datenverarbeitungsprozesse, Vorsicht und Verantwortung. Dabei unterstützt Sie ein qualifizierter Datenschutzbeauftragter – egal, ob intern oder extern. Die Zusammenarbeit mit einem Experten ist die beste Prävention gegen Datenschutzverstöße!
Fühlen Sie sich noch nicht sicher genug? Dann wäre zusätzliche Unterstützung durch einen externen DSB vielleicht eine Hilfe für Sie: Zu Beginn seiner Arbeit führt der externe DSB eine Datenschutzprüfung (Datenschutzaudit) durch und verschafft sich so einen Überblick über alle Prozesse im Unternehmen, in denen personenbezogene Daten verarbeitet werden.
Auf dieser Grundlage wird ein externer DSB alle nötigen Maßnahmen ergreifen, um die Gefahr von Datenschutzverstößen so weit wie möglich zu minimieren. Welche Maßnahmen dies konkret sind, hängt von Ihrem Geschäftsmodell und der Komplexität Ihrer Prozesse ab.
Da externe Datenschutzbeauftragte tagtäglich mit branchenspezifischen datenschutzrechtlichen Fragen konfrontiert sind, verfügen sie über breite Expertise. Darüber hinaus stehen bei einem Partner wie DataGuard hinter jedem externen DSB ganze Expertenteams aus Juristen und Spezialisten in der IT-Sicherheit. Der externe DSB kann auf das Know-how dieser Experten bei Bedarf schnell zugreifen und Sie so bestmöglich unterstützen.
Fazit
Der Schutz personenbezogener Daten erfordert ein verantwortliches und stets professionelles Management. Wird in Ihrem Unternehmen ein Verstoß gegen die DSGVO aufgedeckt, sollten zunächst dringende Gegenmaßnahmen getroffen und die möglichen Folgen für die betroffene Personengruppe eingeschätzt werden – gemeinsam mit einem DSB.
Um Datenschutzverletzungen vorzubeugen, sollten Sie Ihre vorhandenen Prozesse und Sicherheitsmaßnahmen analysieren und anschließend entsprechend verbessern. Ein qualifizierter externer Datenschutzbeauftragter unterstützt Sie dabei effektiv und leistet wertvolle Hilfe im Dialog mit der Aufsichtsbehörde.
Wer kümmert sich eigentlich um Ihren Datenschutz?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten, lernen Sie uns persönlich kennen und beugen Sie Datenschutzverletzungen vor.