Datenpanne – Meldung, Strafen und Beispiele

Nachfolgend möchten wir Ihnen einen Einblick in unsere Erfahrungen zum Thema Datenpanne – Meldung, Strafen und Beispiele geben – insbesondere zur Meldung von Datenschutzverstößen bei den Aufsichtsbehörden und inwieweit bzw. in welchen Konstellationen nach unserer Erfahrung Strafen drohen können.

Häufig werden im Zusammenhang mit einer „Verletzung“ des Schutzes personenbezogener Daten von betroffenen Person die Begriffe „Datenpanne“ und „Datenschutzverstoß“ genutzt. Während eine Datenpanne vom Wort her nicht zwangsläufig einen Konflikt mit dem Datenschutzrecht vermuten lässt, klingt ein Datenschutzverstoß bereits nach einer klaren Verletzung. Die Begriffe sollen im Folgenden jedoch synonym verwendet werden.

Wann liegt ein Datenschutzverstoß vor?

In der Praxis kann es auf vielfältigste Weise zu einer Datenpanne kommen, z.B. durch einen Hacker-Angriff oder durch den Diebstahl eines Laptops bei einem Einbruch in die Geschäftsräume. Aber auch ein Datenverlust, z.B. durch den Befall mit Ransomware, kann als Datenpanne zu werten sein, wenn das Backup fehlt oder nicht eingespielt werden kann und den betroffenen Personen durch den Verlust ihrer Daten Nachteile drohen. Eine Datenpanne kann auch durch Fehlversendung stattfinden, hierzu haben wir bereits zu dem Thema Datenschutzverstoß im Bewerbungsprozess berichtet.

Meldepflicht gegenüber der Aufsichtsbehörde:

Nach Art. 33 DSGVO sind Datenpannen der Aufsichtsbehörde zu melden, „es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Nach Erwägungsgrund 85 der DSGVO ist unter „Risiko“ die erhöhte Eintrittswahrscheinlichkeit eines drohenden Schadensereignisses zu verstehen. Ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, wenn ihnen „Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile“ drohen. Je höher der anzunehmende Schaden desto geringere Anforderungen sind an die Wahrscheinlichkeit des Schadenseintritts zu stellen.

Meldepflicht gegenüber dem Betroffenen:

Bei einem geringen Risiko ist auch der Betroffene nicht zu informieren, da nach Art. 34 DSGVO eine Benachrichtigungspflicht erst besteht, wenn die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Art. 34 DSGVO verlangt also ein „hohes“ Risiko, während für Art. 33 DSGVO ein „normales“ Risiko reicht. Daher liegt die Messlatte für eine Benachrichtigungspflicht nach Art. 34 DSGVO gegenüber den Betroffenen höher als nach Art. 33 DSGVO gegenüber den Aufsichtsbehörden.

Was ist mit vermeintlichen Bagatellfällen wie z.B. einer falsch versendeten E-Mail oder einem falschen Anhang?

Wie oben angesprochen sind die Sensibilität der Daten und die Wahrscheinlichkeit einer Gefährdung der Maßstab. Eine E-Mail, die an einen falschen Adressaten gesendet wurde, oder der ein Anhang beigefügt wurde, der für eine andere Person gedacht war, kann je nach Inhalt völlig unterschiedliche Folgen für die betroffene Person haben.

Handelt es sich z.B. lediglich um einen Terminvorschlag für ein Probetraining im Sportverein oder für einen Beratungstermin in einem Möbelhaus, so ist dies kein Fall für eine Meldung bei der Aufsichtsbehörde, weil die falsch versandte E-Mail keine ernsthaften/folgeschweren Auswirkungen auf den Betroffenen haben wird.

Wir hatten aber z.B. auch schon einen Fall, in dem eine Praxis eine Rechnung über die Behandlung eines Rückleidens versehentlich nicht an die Patienten, sondern an den Arbeitgeber versandt hatte (Hintergrund war, dass der Arbeitsbeber zuvor einen Präventionskurs bezahlt hatte und aus diesem Grund diese Rechnungsadresse im System war). Hier bestand durchaus die Gefahr, dass der Arbeitgeber versucht sein könnte, den aufgrund des konkreten Rückenleidens abzusehenden Ausfallszeiten mit einer anderweitig begründeten Kündigung vorzubeugen (ohne jetzt stets an das Schlechte im Menschen glauben zu wollen, es geht hier vielmehr um eine Risikoeinschätzung).

Als reine Bagatelle zu werten hingegen war der Fall, in dem ein Unternehmen Einladungen an Geschäftspartner zu einem Firmenjubiläum versandt hatte. In die Faxnummer auf dem Antwortformular hatte sich ein Zahlendreher eingeschlichen, so dass alle Antworten zu einer benachbarten Versicherungsagentur statt zum Unternehmen gingen. Hier lag kein meldepflichtiger Verstoß vor, weil lediglich die Versicherungsagentur von den bestehenden Geschäftsbeziehungen (B2B) Kenntnis erlangte und alle eingehenden Faxe freundlicherweise weiterleitete mit der Zusicherung (auch wenn man hierauf nicht immer vertrauen darf), dass man die eingehenden Faxe nach der Weiterleitung löscht.

Beispiele für Strafen in Deutschland

Wohl bekannteste Beispiele nach Inkrafttreten der DSGVO sind die gleichzeitig am höchsten angesetzten Bußgelder gegenüber „H&M“, „notebooksbilliger“ und „AOK“. In diesen Fällen wurden Bußgelder in Millionenhöhe angesetzt. Dabei waren vor allem unrechtmäßige Verarbeitungen Bestandteil der Beanstandungen. Hier kam es teils über einen langen Zeitraum zu einer umfangreichen Erhebung von Mitarbeiterdaten, die sich nach Umfang und Zweck schwierig begründen lassen. In einem solchen Fall stehen Vorwürfe struktureller Probleme im Raum. Solche werden meist durch betroffene Personen oder Mitarbeiter gemeldet.

Problematisch kann bereits die fehlende Meldung einer Datenschutzpanne sein. In einem aktuellen Fall überprüft die irische Datenschutzbehörde rechtliche Schritte gegenüber Facebook. Der Konzern habe nach dem „Leak“ von Kundendaten die Behörde nicht von sich aus informiert. Gegenüber Booking.com hat die niederländische Datenschutzbehörde ein Bußgeld in Höhe von 475.000 Euro angesetzt, da die Meldung nicht nach 72h sondern erst nach 22 Tagen erfolgte.

Unser Tipp: Im Zweifel bei der Aufsichtsbehörde melden

Aus Sicht der Aufsichtsbehörden macht es einen riesigen Unterschied, ob ein Datenschutzverstoß von dem Unternehmen oder der betroffene Personen gemeldet wird.

Meldet das Unternehmen, so ist die Aufsichtsbehörde tendenziell gnädig. Beschwert sich die betroffene Person allerdings, ohne dass zuvor/rechtzeitig (72 Stunden nach Kenntnis) eine Meldung durch das Unternehmen erfolgt ist, wird der Sachverhalt und das etwaige Fehlverhalten des Unternehmens deutlich kritischer bewertet.

Vorgehensweise bei Meldungen

Jede Meldung sollte zwei Punkte enthalten: einerseits die gewissenhafte und selbstkritische Aufbereitung des Sachverhalts und andererseits Angaben dazu, wie eine ähnliche Datenpanne in Zukunft durch technische (z.B. Verbesserungen der IT) und/oder organisatorische (z.B. Schulungen von Mitarbeitern) Maßnahmen verhindert werden kann. Fehler können durchaus passieren, sollten sich jedoch nicht wiederholen, wenn es vermeidbar ist.

Datenschutzpannen können grundsätzlich nicht komplett ausgeschlossen werden. Sowohl technische wie auch menschliche Fehler sind immer möglich. Entscheidend ist der richtige Umgang mit diesen Datenschutzpannen. Daher sollten Datenschutzvorfälle bei denen sich gegen eine Meldung entschieden wird dokumentiert werden, so kann anschließend dargelegt werden, dass der Vorfall überprüft wurde und weshalb im Ergebnis eine Meldung nicht erfolgte.

Entscheidend ist bei einer festgestellten Datenpanne daher zunächst die strukturierte Feststellung des Umfangs und Risikos sowie die anschließend fristgerechte Meldung bei einem relevanten Datenschutzverstoß. Hier macht es Sinn sich umgehend an einen Datenschutzbeauftragten zu wenden. Dieser sollte aufgrund seiner Erfahrung, bei der Einordnung des Risikos und Einschätzung des Umfangs, an einer schnellen und zielorientierten Lösung mitwirken können. Im Idealfall wird bereits ein Meldeprozess eingeführt, in dem der Datenschutzbeauftragte bei Unsicherheiten direkt einbezogen wird, damit eine Meldung innerhalb von 72h erfolgen kann.

Sie möchten mehr über dieses Thema erfahren?