Die erste Ausgabe unserer Datenschutzinformation hat die Problematik der Datenschutzverletzungen („Datenpannen“) zum Gegenstand. Das sind Verletzungen des Schutzes personenbezogener Daten, die nach Art. 33, 34 DSGVO gegenüber der zuständigen Aufsichtsbehörde sowie gegenüber den von der Datenpanne Betroffenen meldepflichtig sein können.
Die DSGVO definiert diese Datenschutzverletzungen in Art. 4 Nr. 12 als:
„Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“
Praktische Beispiele für solche Datenschutzverletzungen sind etwa der unbeabsichtigte E-Mail-Versand an falsche Empfänger, die (potentielle) Offenlegung von Daten an Unberechtigte aufgrund von Sicherheitslücken (z.B. bei Cloud-Diensten) sowie der Verlust von Laptops oder Smartphones.
Solche Datenschutzverletzungen lassen sich in der Praxis auch bei bester Intention und gut implementierten Gegenmaßnahmen nicht immer vermeiden. Wichtig ist es daher, dass Beschäftigte Datenschutzverletzungen als solche erkennen – und uns als Datenschutzbeauftragte so schnell wie möglich darüber informieren. Wir prüfen dann für Sie, ob die Datenschutzverletzung an die Aufsichtsbehörde und/oder die Betroffenen gemeldet werden muss. In aller Regel lassen sich durch eine sorgfältige Dokumentation etwaiger Vorfälle und eine schnelle und gute Kommunikation mit der Behörde Bußgelder vermeiden bzw. vermindern.
Dies zeigt auch ein aktuelles Bußgeld der italienischen Datenschutzaufsichtsbehörde. Für die Versendung von Gesundheitsdaten an den falschen Adressaten wurde gegen eine Religionsgemeinschaft ein Bußgeld in Höhe von 5.000€ verhängt. Bußgeldmindernd berücksichtigte die Behörde allerdings u.a., dass dieser Vorfall ihr vom Verantwortlichen selbst gemeldet wurde und dieser auch bereits eine Verbesserung der Prozesse vorgenommen hatte, um solche Vorfälle in Zukunft zu vermeiden.
Weitere Informationen: https://www.dsgvo-portal.de/dsgvo-bussgeld-gegen-casa-sollievo-2021-03-30-IT-1157.php
Welche Datenschutzverletzungen in der Praxis besonders häufig vorkommen, zeigt eine aktuelle Umfrage der Gesellschaft für Datenschutz und Datensicherheit (GDD). In diese Umfrage wurden 94 Beispiele einbezogen. Am häufigsten kam dabei eine Übermittlung von personenbezogenen Daten an falsche Empfänger vor (47%), daneben führten aber auch Cyberangriffe (14%), System- oder Konfigurationsfehler (10%) und Diebstahl (9%) bzw. der Verlust von Datenträgern oder Akten (7%) zu einer Datenschutzverletzung. 57% dieser Sachverhalte wurden an die zuständige Aufsichtsbehörde gemeldet.
Weitere Informationen: https://www.gdd.de/downloads/praxishilfen/gdd-praxisreport-2021-datenschutzverletzungen
Neben organisatorischen Maßnahmen, wie der regelmäßigen Schulung und Sensibilisierung von Beschäftigten, lassen sich Datenschutzverletzungen auch mit technischen Maßnahmen (z.B. sichere Verschlüsselung von Datenträgern, regelmäßige Überprüfung der IT-Sicherheitsmaßnahmen) minimieren.
Dass diese Risikominimierung auch wirtschaftlich sinnvoll ist, zeigen nicht nur Bußgelder von Datenschutzaufsichtsbehörden. Nach Art. 82 DSGVO kann Betroffenen wegen Verstößen gegen die DSGVO auch ein Schadensersatzanspruch zustehen. Inzwischen haben sich bereits mehrere Unternehmen auf die massenhafte Durchsetzung solcher Schadensersatzansprüche spezialisiert, insbesondere im Fall von größeren Datenlecks. Aber auch einzelne Betroffene können auf diesem Weg erfolgreich sein.
Zu einem aktuellen Verfahren finden Sie hier weitere Informationen: https://www.faz.net/aktuell/wirtschaft/unternehmen/mastercard-wegen-datenleck-angeklagt-schadensersatz-nach-dsgvo-17299842.html