Melden von Datenschutzverletzungen

Nicht Bußgelder, sondern Datenpannen vermeiden

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Unternehmen haben es auch beim Eintritt von Datenschutzpannen selbst in der Hand, ob gegen sie ein Bußgeld verhängt wird und wie hoch es ausfällt.
Unternehmen haben es auch beim Eintritt von Datenschutzpannen selbst in der Hand, ob gegen sie ein Bußgeld verhängt wird und wie hoch es ausfällt. (© sgintas23 - stock.adobe.com)

In den letzten Wochen wurde viel über das Bußgeld-Konzept der deutschen Aufsichtsbehörden für den Datenschutz berichtet. Das Interesse daran ist hoch, denn man will wissen, was im Fall einer Datenschutz­verletzung drohen kann. Dabei sollte nicht aber vergessen werden, wie sich das Risiko für Bußgelder senken lässt, zum Beispiel durch die richtige Meldung von Datenpannen.

Die Datenschutz-Grundverordnung (DSGVO / GDPR) hat zweifellos eine hohe Aufmerksamkeit erlangt. Bereits Monate vor Beginn der Anwendbarkeit der DSGVO wurde darüber berichtet und diskutiert, und auch über ein Jahr danach ist GDPR ein Thema für Umfragen, Berichte und Diskussionen.

Die hohe Sichtbarkeit der DSGVO in den Medien ist gut, um die Aufmerksamkeit für den Datenschutz wach zu halten. Ein wesentlicher Grund aber für das hohe Interesse ist nicht immer der Datenschutz an sich, sondern die Sorge, eine Datenschutzverletzung könne zu einem Bußgeld führen.

Datenschützer verhängen Millionen-Bußgeld

Für die Deutsche Wohnen könnte es teuer werden

Datenschützer verhängen Millionen-Bußgeld

07.11.19 - Der Immobilienkonzern Deutsche Wohnen muss mit einer empfindlichen Strafe rechnen. Das Unternehmen hatte Daten auf einem Archivsystem gespeichert, auf dem nicht mehr erforderliche Daten nicht gelöscht werden konnten. An diesem Zustand hatte sich auch nach Aufforderung durch die Behörde nichts geändert. lesen

Davon abgesehen, dass es noch andere Sanktionen durch die Aufsichtsbehörden gibt, sollte man sich eher sorgen, dass es zu einer Datenschutzverletzung kommt und sich dafür interessieren, wie man eine Datenpanne vermeidet. Kommt es zu einer Datenschutzverletzung, sollte man genau wissen, wie man diese richtig meldet. Dann auch die richtige Meldung hat Einfluss auf die mögliche Höhe eines Bußgeldes.

Bußgeld-Konzept der Aufsichtsbehörden

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat vor einigen Wochen ihr Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DSGVO durch Unternehmen vorgelegt, mit entsprechender Resonanz in den Medien.

Mit der Veröffentlichung der vorliegenden Fassung des Konzeptes zur Bemessung von Geldbußen (https://www.datenschutzkonferenz-online.de/media/ah/20191016_bu%C3%9Fgeldkonzept.pdf) soll ein Beitrag zur Transparenz im Hinblick auf die Durchsetzung des Datenschutzrechts geleistet werden, so die Aufsichtsbehörden.

Das Konzept gestaltet im Wesentlichen die Vorgaben des Artikels 83 der Datenschutz-Grundverordnung aus. Dort findet man auch Aussagen dazu, wie sich die richtige Meldung einer Datenschutzverletzung auf ein Bußgeld auswirken wird:

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall unter anderem gebührend berücksichtigt:

  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat

Wer also besorgt ist wegen der möglichen Bußgelder, sollte genau solche Punkte angehen, was deutlich wichtiger ist, als zu versuchen, die mögliche Höhe eines Bußgeldes zu ermitteln.

Was eine Datenschutzverletzung wirklich kostet

Sanktionen nach DSGVO

Was eine Datenschutzverletzung wirklich kostet

27.09.19 - British Airways, Google und Marriott wurden hohe Geldbußen nach DSGVO angekündigt. Doch eine Datenpanne hat nicht nur ein Bußgeld als mögliche Folge. Die verantwortliche Stelle kann auch in die Haftung kommen, auch für Vergehen der Mitarbeiterinnen und Mitarbeiter. Datenschutzbeauftragte sollten alle möglichen Folgen von Datenpannen als Argumente für mehr Datenschutz nutzen. lesen

Bußgeld bei Meldung einer Datenpanne?

Nun könnte man befürchten, dass die korrekte Meldung einer Datenschutzverletzung genau dazu führt, dass man ein Bußgeld bekommt. Die Furcht vor Bußgeldern würde dann dazu führen, dass man lieber keine Datenpanne meldet anstatt die Datenschutzverletzung richtig zu melden.

Auch hierzu hat bereits eine Aufsichtsbehörde Stellung bezogen. „Es stellt sich natürlich die Frage, ob die Meldung einer Datenschutzverletzung zu einem Bußgeldverfahren führt; also quasi die Verpflichtung besteht, sich selbst zu belasten. Das ist nicht der Fall!“, erklärte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit.

Mit der Vorschrift des § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG) wird klargestellt, dass die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder seine Angehörigen nur mit Zustimmung des Meldepflichtigen verwendet werden darf. Gleiches gilt bei der Einleitung eines Strafverfahrens nach § 42 BDSG. Verantwortliche müssen daher bei einer Meldung nicht fürchten, dass auf dieser Grundlage ein Bußgeldverfahren eingeleitet wird.

Allerdings, so die Aufsichtsbehörde: Versäumte oder verspätete Meldungen stellen einen Verstoß dar und können mit Bußgeld geahndet werden. Daher raten die Aufsichtsbehörden dringend, bei Verletzungen des Schutzes personenbezogener Daten eine Meldung zu machen. Sofern von einer Meldung abgesehen wird, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen bestand, ist dies sorgfältig zu dokumentieren und zu begründen.

Wenn hingegen Dritte die Datenpanne melden, dann steht die Frage im Raum, warum die Verantwortlichen diese Panne nicht selbst gemeldet haben. Es lohnt sich also, auch ein weiteres Konzept der Aufsichtsbehörden anzusehen, zur Meldung einer Datenschutzverletzung.

Was bei Betroffenenrechten nach DSGVO zu beachten ist

Wichtige Hinweise der Aufsichtsbehörden

Was bei Betroffenenrechten nach DSGVO zu beachten ist

22.11.19 - Die Missachtung der Betroffenenrechte hat bei einem Lieferdienst in Berlin zu einem empfindlichen Bußgeld nach DSGVO geführt. Betroffenenrechte müssen noch ernster genommen werden, doch auch diese Rechte haben ihre Grenzen. Aufsichtsbehörden haben Hinweise gegeben, wann zum Beispiel ein Antrag auf Auskunft als offenkundig unbegründet oder exzessiv eingestuft werden kann. lesen

Leitlinien zur Meldung von Datenschutzverletzungen

Die frühere Artikel 29 Datenschutzgruppe als Vorläufer des Europäischen Datenschutzausschusses (EDPB) hatte sich bereits mit der Meldung von Datenschutzverletzungen befasst (Guidelines on Personal data breach notification under Regulation 2016/679 (wp250rev.01)). Der EDPB hatte diese Leitlinie übernommen.

Man findet darin viele wichtige Antworten auf Fragen, die sich Unternehmen stellen und die mangels weiterer Informationen dann dazu führen können, dass keine oder eine nicht konforme Meldung durchgeführt wird. So wissen viele Unternehmen nicht, ab wann die bekannte 72-Stunden-Frist läuft, was dazu führen kann, dass eine Meldung zu spät erfolgt, was wiederum zu einem Bußgeld führen könnte.

So verlangt die DSGVO, dass der Verantwortliche eine Datenschutzverletzung unverzüglich und, falls möglich, binnen höchstens 72 Stunden meldet, nachdem ihm die Verletzung bekannt wurde. Hier könnte sich die Frage stellen, wann davon auszugehen ist, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde, so die Aufsichtsbehörden.

Nach Auffassung der Artikel-29-Datenschutzgruppe ist anzunehmen, dass einem Verantwortlichen eine Datenschutzverletzung „bekannt“ wurde, wenn der Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat.

Die DSGVO sieht jedoch vor, dass die Verantwortlichen alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen treffen, um sofort feststellen zu können, ob eine Datenschutzverletzung aufgetreten ist, und um die Aufsichtsbehörde und die betroffenen Personen umgehend unterrichten zu können. Ferner wird erklärt, dass bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, die Art und Schwere der Datenschutzverletzung sowie deren Folgen und nachteiligen Auswirkungen für die betroffene Person berücksichtigt werden sollten. Daher obliegt es den Verantwortlichen sicherzustellen, dass ihnen etwaige Datenschutzverletzungen rechtzeitig „bekannt“ werden, um angemessene Maßnahmen ergreifen zu können.

Wann genau davon auszugehen ist, dass einem Verantwortlichen eine bestimmte Datenschutzverletzung „bekannt“ wurde, hängt von den konkreten Umständen der Datenschutzverletzung ab. In einigen Fällen dürfte von Anfang an klar sein, dass eine Datenschutzverletzung vorliegt, in anderen hingegen kann womöglich erst nach einer gewissen Zeit festgestellt werden, ob personenbezogene Daten beeinträchtigt wurden.

Der Schwerpunkt sollte jedoch auf sofortigen Maßnahmen zur Untersuchung des Vorfalls liegen, damit festgestellt wird, ob der Schutz personenbezogener Daten tatsächlich verletzt wurde, und um Abhilfemaßnahmen zu ergreifen und die Datenschutzverletzung gegebenenfalls zu melden, falls sich diese bestätigt.

Keine Frage: Diese Erläuterungen der Aufsichtsbehörden sind hilfreich für das weitere Verständnis. Deshalb sollte man auch nicht nur dann Konzepte und Leitlinien der Aufsichtsbehörden besonders wahrnehmen, wenn das Wort „Bußgeld“ auftaucht, sondern grundsätzlich. Es geht immer darum, eine Datenpanne zu vermeiden, also gegen die DSGVO zu verstoßen, und nicht nur um die Vermeidung von Bußgeldern.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46275184 / Compliance und Datenschutz )