- O1R11 Meldung von Datenschutzverstößen

IMS Services Datenschutz

Einen absoluten Schutz gespeicherter Daten kann es nie geben. Solange Daten aufbewahrt werden, können diese durch ein Versehen oder kriminelle Handlungen abhandenkommen und veröffentlicht werden. Sollten Daten unberechtigten Dritten zur Kenntnis gelangen, löst dies regelmäßig umfangreiche Informations- und Meldepflichten aus. Der Hintergrund für die diesbezüglichen gesetzlichen Regelungen ist unter anderem der Grundsatz der datenschutzrechtlichen Transparenz, nach dem Betroffene über den Umfang und die Zwecke der Nutzung personenbezogener Daten informiert werden müssen. Ein Bestandteil dieser Transparenz ist auch die Aussage, ob Daten gegen den Zugriff Unbefugter ausreichend geschützt sind. Nur wenn ein Betroffener diesbezüglich informiert ist, kann er einer (weiteren) Datenverarbeitung informiert zustimmen oder widersprechen.

Mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und der Anwendung ihrer Regelungen im Mai 2018 wird das Datenschutzrecht europaweit vereinheitlicht. Durch diese Vereinheitlichung ergeben sich auch einige Änderungen in Bezug auf die Pflicht zur Meldung von Datenschutzverstößen bzw. Verletzungen personenbezogener Daten.

Regelung gemäß Datenschutz-Grundverordnung

In der Datenschutz-Grundverordnung werden alle Fälle von Datenschutzverstößen zukünftig unter dem Begriff der „Verletzung des Schutzes personenbezogener Daten“ zusammengefasst. Eine solche Verletzung liegt gemäß Art. 4 Abs. 12 DSGVO vor, wenn es unberechtigt oder versehentlich zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang zu den personenbezogenen Daten kommt. Liegt eine Verletzung des Schutzes personenbezogener Daten vor, muss die verantwortliche Stelle gemäß Art. 33 Abs. 1 S. 1 DSGVO „möglichst binnen 72 Stunden“ nach Bekanntwerden der Verletzung eine diesbezügliche Meldung an die Aufsichtsbehörden abgeben. Die Meldepflicht besteht nur dann nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Im Vergleich gegenüber der bisherigen Regelung fällt zunächst auf, dass für die Meldepflicht zukünftig kein schwerwiegendes Risiko für den Betroffenen vorliegen muss, sondern bereits jegliches Risiko für eine natürliche Person ausreicht. Zukünftig löst außerdem nicht nur die unberechtigte Kenntnisnahme durch Dritte eine Meldepflicht aus, sondern auch die versehentliche Löschung oder Vernichtung von personenbezogenen Daten. Zusätzlich beschränkt sich die Pflicht zur Information der Aufsichtsbehörden nicht mehr nur auf wenige besonders sensible Daten. Vielmehr löst die Verletzung jeder Art von personenbezogenen Daten eine Meldepflicht aus, solange sich daraus ein Risiko für die Rechte und Freiheiten der Betroffenen ergibt.

Meldepflicht

Im Falle einer Meldepflicht sind der Aufsichtsbehörde gemäß Art. 33 Abs. 3 DSGVO verschiedene Informationen zu übermitteln, beispielsweise Art und Ausmaß der Datenschutzverletzung und der Name des Datenschutzbeauftragten. Kann eine Meldung an die Aufsichtsbehörde nicht innerhalb von 72 Stunden erfolgen, so ist gemäß Art. 33 Abs. 1 S. 2 DSGVO eine Begründung für die Verzögerung beizufügen.

Zusätzlich muss im Falle der Verletzung von personenbezogenen Daten eine Meldung an die Betroffenen erfolgen, wenn sich gem. Art. 34 Abs. 1 DSGVO aus der Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte der Betroffenen ergibt. Eine Meldepflicht gegenüber den Betroffenen besteht nicht, wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat, durch die die Daten unzugänglich werden. Die Verschlüsselung der Daten kann beispielsweise gem. Art. 34 Abs. 3 lit. a) DSGVO als solche Maßnahme angesehen werden. Eine Meldepflicht besteht gem. Art. 34 Abs. 3 lit. b) und c) DSGVO zudem dann nicht, wenn durch nachträgliche Maßnahmen ein hohes Risiko für die Betroffenen nicht mehr besteht oder wenn die Meldung an die Betroffenen mit unverhältnismäßigem Aufwand verbunden wäre. In letzterem Fall hat die Meldung der Verletzung des Datenschutzes dann nicht gegenüber den Betroffenen, sondern öffentlich zu erfolgen.

Dokumentation

Im Gegensatz zu der bisherigen Regelung ist ausnahmslos jeder (!) Fall einer Verletzung des Schutzes personenbezogener Daten gem. Art. 33 Abs. 5 DSGVO zu dokumentieren. Die Dokumentationspflicht besteht auch dann, wenn sich aus der Abwägung der Risiken für die Betroffenen keine Meldepflicht ergibt. Die Dokumentation muss die zugrundeliegenden Fakten, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen enthalten. Weiter muss die Dokumentation gegebenenfalls der Aufsichtsbehörde gem. Art. 33 Abs. 5 S. 2 DSGVO vorgelegt werden, damit diese die Einhaltung der Meldepflichten und die Abwägungen in den einzelnen Fällen überprüfen kann.

Verwertungsverbot

Unverändert besteht bei einer Mitteilung an die Aufsichtsbehörden und die Betroffenen weiterhin ein strafrechtliches Verwertungsverbot. Dies hat der deutsche Gesetzgeber in § 42 Abs. 4 BDSG-neu klargestellt.

Betriebliche Planung

Alle Unternehmen sollten ihren Eskalations- und Reaktionsplan für Datenschutzverstöße an die neuen gesetzlichen Regelungen anpassen. Dies betrifft insbesondere die neue gesetzliche Pflicht, sich innerhalb von 72 Stunden bei der Aufsichtsbehörden zu melden. Zugleich ist zukünftig nicht nur die Verletzung von Gesundheits- und Bankdaten, sondern die Verletzung jeglicher personenbezogener Daten geeignet, eine Meldepflicht auszulösen. Allen Unternehmen kann nur empfohlen werden, ihre Mitarbeiter diesbezüglich zu sensibilisieren.

Da zukünftig auch die versehentliche Löschung und der versehentliche Verlust von personenbezogenen Daten zu einer Meldepflicht führen, sollten Unternehmen zusätzlich ihr Archivierungs- und Backup-Konzept auf einen möglichen Anpassungsbedarf überprüfen. Eine aktuelle und vollständige Sicherung des Datenbestands kann verhindern, dass es bei Fehlverhalten der Mitarbeiter im Produktivsystem direkt zu einem Datenverlust kommt, der eine Meldepflicht auslöst. In der Anlage haben wir Ihnen die notwendigen Umsetzungshilfen zur Verfügung gestellt.

Mögliche Strafen

Nach zukünftigem Recht kann in derartigen Fällen gem. Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld verhängt werden, dessen Höhe bis zu 10 Mio. Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes betragen kann. Zusätzlich drohen im Falle von Datenverlusten Schadenersatzansprüche der Betroffenen gem. Art. 82 DSGVO.

Schadensersatzansprüche bei Datenschutzverstößen

Nach Art. 82 Abs. 1 DSGVO hat jede Person bei einem Verstoß gegen die DSGVO, durch die sie einen materiellen oder immateriellen Schaden erleidet, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter.

Der Anspruch setzt Folgendes voraus:

· ein Verstoß gegen die DSGVO,

· einen materiellen oder immateriellen Schaden,

· ein Verschulden des Verantwortlichen oder des Auftragverarbeiters.

Der Verstoß muss bei der Verarbeitung von personenbezogenen Daten geschehen. Ein Beispiel hierfür ist die Verarbeitung von personenbezogenen Daten ohne eine Rechtsgrundlage. Bei einem Schaden handelt es sich zunächst um eine negative Abweichung vom Status quo, der durch einen Verstoß gegen die DSGVO hervorgerufen wird. Bei einem materiellen Schaden spricht man von einem Vermögensschaden.

Nach Art. 82 Abs. 1 DSGVO können nun auch immaterielle Schäden geltend gemacht werden, wenn z.B. personenbezogene Daten einem Dritten zugänglich gemacht werden, hierdurch aber kein Vermögensschaden entstanden ist. In diesem Fall hat der Geschädigte das Recht Schmerzensgeld zu verlangen. Des Weiteren muss ein Verschulden des Verantwortlichen oder Auftragsverarbeiters vorliegen. Ein Verschulden liegt vor, wenn der Verantwortliche oder der Auftragsverarbeiter den Datenschutzverstoß vorsätzlich oder fahrlässig herbeiführt.

Nachweispflicht des Verantwortlichen und des Auftragsverarbeiters

Art. 82 Abs. 3 DSGVO nimmt den Verantwortlichen und den Auftragsverarbeiter in die Pflicht, den Nachweis zu erbringen, dass sie für den Umstand durch den der Schaden entstanden ist nicht verantwortlich sind. Von dieser Warte aus gesehen, können die geforderten Dokumentationspflichten der DSGVO sehr hilfreich dabei sein, diesen Nachweis zu erbringen.

Höhe des Schadensersatzes

Die Norm begrenzt den Schadensersatz nicht in seiner Höhe. Erwägungsgrund 146 zur DSGVO gibt den Hinweis, dass bei der Bestimmung des materiellen Schadens eine weite Auslegung unter Berücksichtigung der EuGH-Rechtsprechung angewendet werden soll und die Ziele der DSGVO zu beachten sind. Die Höhe des Schmerzensgeldes für immaterielle Schäden soll sich an der Genugtuungs- und der Abschreckungsfunktion des Schmerzensgeldes orientieren.

Hohes Schadensersatzrisiko für Auftragsverarbeiter

Mit der DSGVO wird der Auftragsverarbeiter stärker in die Pflicht genommen, als es beim BDSG der Fall war. Unangenehm für Auftragsverarbeiter ist, dass sie nach Art. 82 Abs. 4 DSGVO gesamtschuldnerisch mit dem Verantwortlichen haften, wenn sie an derselben Verarbeitung beteiligt sind. Das bedeutet, dass eine geschädigte Person den gesamten Schadensersatz vom Verantwortlichen oder dem Auftragsverarbeiter verlangen kann

Anlagen:

Kontaktformular

Suche

Externe Inhalte