Zur Navigation springen Zum Inhalt springen Zum Footer springen

Was passiert nach der DSGVO, wenn der Schutz personenbezogener Daten verletzt wird?

(1)

Verletzung des Schutzes personenbezogener Daten

Unter dem Stichwort Verletzung des Schutzes personenbezogener Daten wird die Vernichtung, der Verlust, die Veränderung oder die unbefugte Offenlegung bzw. unbefugter Zugang zu solchen Daten verstanden. Hierbei spielt es keine Rolle, ob die Verletzungshandlung vorsätzlich oder fahrlässig bzw. sogar unbeabsichtigt erfolgt ist. Es kommt auch nicht darauf an, ob ein konkreter Schaden eingetreten ist. Wichtig ist, dass die Verletzungshandlung bzw. die Verletzung der Sicherheit in Bezug auf die personenbezogenen Daten, zu einer negativen Konsequenz hinsichtlich dieser Daten führen kann. Denkbar ist beispielsweise die komplette Vernichtung der Daten oder deren Verlust. Bei einem Verlust sind die Daten zwar existent, jedoch nicht mehr für die Verantwortlichen auffindbar. Auch die Veränderung, die unbefugte Offenlegung oder der unbefugte Zugang sind solche beispielhafte Verletzungshandlungen. Ein Beispiel für solche Verletzungshandlungen ist, wenn nicht autorisierte Mitarbeiterdaten Zugang zu Daten haben, für die sie nach interner Aufgabenverteilung keinen Zugriff haben dürfen. Die Sekretariatsmitarbeiterin hat Zugriff auf die Lohnabrechnungen der übrigen Angestellten.

Meldepflicht

Die Frage, die sich in einer solchen Konstellationen stellt, ist welche Konsequenzen sich aus einer solchen Verletzung ergeben können. Nach Art. 33 Datenschutz-Grundverordnung DS-GVO besteht eine unverzügliche Meldepflicht an die Aufsichtsbehörden. Werden beispielsweise Daten von einem Einbrecher geklaut, so muss dieser Vorgang der Aufsichtsbehörde zur Kenntnis gebracht werden. Hierbei hat der Unternehmer die Pflicht seinem Betrieb so zu organisieren, dass er Kenntnis von solchen Verletzungshandlungen haben kann. Folge eines Verstoßes gegen diese Meldepflicht ist ein Bußgeld.

Die Meldepflicht ist so ausgestaltet, dass die Meldung unverzüglich erfolgen soll. Unverzüglich bedeutet dabei, dass der Unternehmer den Sachverhalt sofort untersuchen muss. Naturgemäß kann dies erst erfolgen, wenn der Unternehmer Kenntnis von der Verletzung hat. Nach dem Gesetz muss dann die Meldung möglichst binnen 72 Stunden erfolgen, nach dem die Verletzung bekannt wurde. Der Unternehmer kann sich also mit der Aufklärung des Sachverhalts nicht unendlich viel Zeit lassen. Er muss sämtliche Fakten so zusammenstellen, dass er die Verletzung dokumentieren kann. Verstöße gegen die Dokumentationspflicht führen auch zu einem Bußgeld.

Eine Pflicht zur Meldung entfällt allerdings dann, wenn die Verletzungshandlung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürliche Personen führt.

Benachrichtigung der betroffenen Personen

Der Betroffene muss dann informiert werden, wenn die Schutzverletzung voraussichtlich ein „hohes Risiko“ für die persönlichen Rechte und Freiheiten dieser Person zur Folge hat. Das bedeutet im Umkehrschluss, dass nicht jede betroffene Person informiert werden muss. Es kommt auf die Schwere der Verletzungshandlung an. In praktischer Hinsicht wird die Schwierigkeit aufkommen zu bewerten, wann ein Verstoß ein hohes Risiko darstellt und wann nicht. Hierbei ist anzuraten, dass professioneller Rat eingeholt wird.

Eine Pflicht zur Benachrichtigung entfällt nach Art. 34 Abs. 2 Satz 1a DS GVO aber, wenn geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden. Bricht beispielsweise ein Einbrecher in das Büro ein, besteht dann kein gewichtiges Datenschutzproblem, wenn der Zugriff auf dem Computer nur möglich ist, wenn man ein Passwort eingeben muss und die Daten auf der Festplatte verschlüsselt sind.

Für weitere Fragen im Hinblick auf die Verletzung des Schutzes von personenbezogenen Daten stehe ich Ihnen jederzeit telefonisch oder per E-Mail zur Verfügung.


Rechtstipp vom 08.05.2018
aus der Themenwelt Datenschutz und DSGVO und dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Tsanko Kalchev (T.K. Legal)

Damit Sie wissen, wann Sie im Recht sind

Informationen über aktuelle Gesetzesänderungen, neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter

Ihre E-Mail-Adresse wird nur für den anwalt.de-Newsletter verwendet und nicht an Dritte weitergegeben. Sie können den anwalt.de-Newsletter jederzeit wieder abbestellen.