Vorgehen bei Datenschutzverletzungen

Als Datenschutzbeauftragte erreichen mich oft Anfragen, in denen Datenschutzverstöße behauptet und Schadensersatzforderungen geltend gemacht werden.

Liest man Entscheidungen über Datenschutzverstößen und die verhängten Bußgelder, so erwecken diese auch leicht den Eindruck, dass mit der Anzeige von Datenpannen das schnelle Geld zu machen ist.

Aber Vorsicht. Sinn und Zweck der DSGVO und des BDSG-neu ist nicht, einzelne Personen oder Unternehmen an den Pranger zu stellen und sich daran zu bereichern, sondern vielmehr dem Verbraucher Transparenz zu gewähren, wo Daten verarbeitet werden und was damit passiert.

Dementsprechend wird sowohl im Rahmen einer Bestandsaufnahme zum Datenschutz als auch bei Untersuchung einer Datenpanne genau geguckt, ob diese vermeidbar war oder nicht, worauf der Datenschutzverstoß beruht und wie groß der tatsächliche Schaden war.

Dabei muss auch unterschieden werden zwischen ärgerlichen aber doch menschlichen Fehlern, wie vertrauliche Mails an einen offenen Verteiler zu senden, Akten offen liegen zu lassen oder an Dritte weiterzugeben, und der bewusst rechtswidrigen Datenverletzung wie der Sammlung und Auswertung oder gar dem Verkauf von Daten zu geschäftlichen Zwecken, der nicht erforderlichen oder kenntlich gemachten Aufzeichnung von Bildaufnahmen oder Videoüberwachungen.

Bislang wurde dabei insbesondere bei kleineren Verstößen bzw. Datenvereltzungen gegenüber Einzelpersonen der verantwortlichen Stelle eine Frist zur Stellungnahme und Nachbesserung gegeben und nur selten überhaupt ein Bußgeld verhängt.

Aber auch bei Datenpannen größerer Unternehmen malen die Mühlen sehr langsam: Etwa die irische Datenschutzbehörde, die etwa für Google und Apple zuständig ist, leidet unter Personalmangel und Aufschieberitis, so ziehen sich einige Verfahren schon mehrere Jahre und werden durch immer neue Fristen und Bearbeiterwechsel in die Länge gezogen.

Die Anzeige und Überprüfung von Datenverstößen ist daher oft mit Aufwand und verhältnismäßig wenig finanziellem Erfolg verbunden, was den ein oder anderen enttäuschen mag. 

Nichts desto trotz ist es lohnenswert, die Sensibilisierung zum Thema Datenschutz und Datenschutzverstöße voranzutreiben. So hat WhatsApp etwa wegen der öffentlichen Bedenken zu den neuen Datenschutzbedingungen die Frist zur Annahme auf den 15.05.2021 verschoben und die Inhalte noch einmal versucht zu erklären. Ob dies inhaltlich etwas bringt, ist ein anderes Thema.

Wenn sich aber ein gewisses Bewusstsein im Umgang mit Daten durchsetzt, ist zu hoffen, dass Unternehmen Datenschutz letztendlich nicht nur aus Angst vor Bußgeldern umsetzen, sondern primär um den Ansprüchen Ihrer Kunden gerecht zu werden.