Datenschutzverletzungen und wie Sie darauf reagieren können

7. Juni 2021 — Gunther Müssig

Mit ihrem immensen Rahmen für mögliche Bußgelder hat die DS-GVO europaweit – wenn nicht weltweit – die Sensibilität für Datenschutzverletzungen gestärkt. Immerhin reden wir bei einem falschen Umgang mit datenschutzrechtlichen Vorschriften von Bußgeldern in der Höhe bis zu 10 Mio. Euro (Art. 83 Abs 4 DS-GVO). Das heißt natürlich nicht, dass jede kleine Firma wegen einer Datenschutzverletzung gleich in den Ruin geschickt wird, aber die Bußgelder sind gewiss empfindlich. Wer sich mit der Höhe etwaiger Bußgelder genauer befassen möchte kann das z.B. hier tun.

Doch was überhaupt ist eine Datenschutzverletzung? Art. 4 Nr. 12 DS-GVO definiert die „Verletzung des Schutzes personenbezogener Daten“ als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Bereits an der Definition ist erkennbar, dass eine Datenschutzverletzung in vielerlei Form und vor allem auch unbeabsichtigt auftreten kann.

Wichtig ist daher der richtige Plan und Prozess für den Umgang mit einer eingetretenen Datenschutzverletzung, denn die DS-GVO schnürt ein enges Korsett von Handlungs- und Zeitvorgaben:

Art. 33 Satz 1 DS-GVO sieht im Falle einer Verletzung des Schutzes personenbezogener Daten vor, dass der Verantwortliche unverzüglich und möglichst binnen 72 Stunden nachdem ihm die Verletzung bekannt wurde diese der gemäß Art. 55 DS-GVO zuständigen Aufsichtsbehörde meldet, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. 

Die Meldepflicht innerhalb einer doch recht eng gehaltenen Frist von 72 Stunden hängt also von einem Risiko für die Rechte und Freiheiten von natürlichen Personen durch die Datenschutzverletzung ab. Anhaltspunkte welche den schwammigen Begriff des Risikos etwas greifbarer machen können sind z.B. die Art der verletzten Daten (sind die ggf. besonders schützenswert, wie beispielsweise Gesundheitsdaten?), die Anzahl der Betroffenen, die Dauer der Verletzung (ist sie überhaupt zu beenden?) und der Schaden, der den Betroffenen voraussichtlich entsteht.

Die Entscheidung, ob man also innerhalb kürzester Frist eine Meldung an die zuständige Behörde (und ggf. auch an die Betroffenen selbst) tätigen muss, hängt von einer datenschutzrechtlich komplexen Bewertung des Einzelfalls ab und sollte in den allermeisten Fällen unter Hinzuziehung von Spezialisten wie einem Datenschützer oder einem Juristen getroffen werden.

Gerade kleine und junge Unternehmen, welche oftmals wenige oder keine internen Prozessvorgaben haben, tun daher gut daran, diese Leerstelle für den Fall einer Datenschutzverletzung zu füllen und einen (ggf. zumindest schlanken) Prozess aufzustellen und einzuführen, um im Ernstfall schnell und gezielt reagieren zu können.

Gunther Müssig

Über Gunther Müssig

Gunther ist seit 2007 Rechtsanwalt und führt seit 2010 den Fachanwaltstitel für IT-Recht sowie seit 2015 den Fachanwaltstitel für Urheber- und Medienrecht. Er arbeitete 9 Jahre als Rechtsanwalt in nationalen und internationalen Kanzleien und ist seit 2016 In-House-Lawyer in einem Softwareunternehmen im Automotive-Umfeld. Gunther liebt das Mittelalter und Gaming.

Weitergehende Rechtsberatung?

Jetzt anmelden!

« zurück zur Blogübersicht