Was bei Datenschutzverletzung zu tun ist

Was droht Ihnen bei einem Verstoß gegen das Datenschutzrecht?

Für viele Unternehmen ist der datenschutzorientierte Tagesablauf längst normal geworden. Doch was genau geschieht überhaupt bei einem Verstoß und wie hat man sich zu verhalten? Seit dem Inkrafttreten der Europäischen Datenschutzgrundverordnung im Jahre 2018, gibt es Strafen, die einheitlich für die gesamte EU gelten. Dabei verhängt die Union Bußgelder, die entweder maximal 20 Millionen Euro oder 4 Prozent des Jahresumsatzes umfassen. In Deutschland richten sich Sanktionen auch nach dem Bundesdatenschutzgesetz (BDSG). Nach dem BDSG können Verstöße des Datenschutzes sogar zu einer Freiheitsstrafe in Höhe von bis zu zwei Jahren führen. Zentraler Punkt sind aber natürlich die Bußgeldvorschriften, denn meist droht bei einem Verstoß eine Geldstrafe, die eben nicht so allzu gering ausfällt. Die DSGVO zählt alle Verstöße als Datenschutzverstöße und Datenschutzverletzungen sind Verletzungen des Schutzes „personenbezogener Daten“.

Strafen nach der DSGVO

Die DSGVO gliedert nach Art. 83 die Bußgeldtatbestände in zwei Gruppen:

In Gruppe eins werden Datenschutzverstöße behandelt, die mit einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes geahndet werden. Davon sind Verletzungen der Pflichten der Verantwortlichen und Auftragsverarbeiter, der Zertifizierungsstelle und der Überwachungsstelle betroffen. Doch was ist damit genau gemeint?

Nun ein Verstoß gegen die Pflichten des Verantwortlichen und Auftragsverarbeiter betrifft beispielsweise Art. 39 der DSGVO. Dieser beinhaltet Pflichten, die der Datenschutzbeauftragte zu erfüllen hat, wobei dieser nach Abs. 2 auch Verantwortung übernehmen muss. Eine solche Pflicht wäre die Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften in der betroffenen Firma. Verstößt der Datenschutzbeauftragte dagegen, so drohen Sanktionen, die jedoch nicht 2 % des Jahresumsatzes des Unternehmens, oder 10 Millionen Euro überschreiten dürfen.

In Art.83 Abs. 5 werden die schwersten und am härtesten zu bestrafenden Datenschutzverletzungen aufgelistet, die wie bereits erwähnt mit bis zu 4 % des Jahresumsatzes oder 20 Millionen Euro gestraft werden, je nachdem welcher der Beträge höher ist. Wobei die Geldbußen nach Abs. 2 des Artikels den Umständen nach bemessen werden. Das bedeutet, dass Art und Schwere oder Dauer des Verstoßes oder auch Vorsatz und Fahrlässigkeit beim Verstoß berücksichtigt werden.

Mit inbegriffen sind unter anderem Verletzungen der Rechte der betroffenen Person gemäß Art. 12 bis 22 DSGVO, wie beispielsweise die Informationspflicht bei Erhebung personenbezogener Daten bei der betroffenen Person, nach Art. 13. Dabei muss ein Unternehmen bei Erhebung, also zum Beispiel bei einem Experiment, personenbezogener Daten, die betroffene Person umfangreich informieren. Damit sind Namen und Kontaktdaten des Verantwortlichen, die Kontaktdaten des Datenschutzbeauftragten und auch die Zwecke und Rechtsgrundlage der Verarbeitung etc. gemeint.

Was ist bei einem Verstoß zu tun?

Um zur Kernfrage zu gelangen, was bei einem, beispielsweise der genannten, Verstöße zu tun ist, sollte erst einmal gesagt werden, dass es zur präventiven Vermeidung von Verletzungen des Datenschutzes Experten gibt, die ein Unternehmen extern beraten. Ein solcher externer Datenschutzbeauftragter sollte auf jeden Fall herangezogen werden, um Ihr Unternehmen vor Schäden zu bewahren. Dies hat einerseits den Vorteil, dass Sie sich nicht selbst mit der komplexen Materie des Datenschutzrechtes befassen müssen, und andererseits liegt die Vermeidung dann in fähigen und dafür ausgebildeten Händen.

Meldepflicht von Verstößen

Die DSGVO beinhaltet auch eine Meldepflicht nach Art. 33 I DSGVO. Wird diese nicht eingehalten, so ist dies ebenfalls ein Verstoß. Jedoch greift diese Meldepflicht nur bei Verletzungen personenbezogener Daten, also bei Datenschutzverletzungen. Eine andere Voraussetzung ist, dass der Verstoß gegen die Rechte und Freiheiten einer betroffenen Person wirken muss. Diese Verletzung ist, seit Bekanntwerden, innerhalb einer Frist von 72 Stunden bei der zuständigen Behörde zu melden. Wenn sich die Meldung verzögert, so ist eine Begründung für die Verzögerung beizufügen.

Dies ist zumindest die Meldung an die zuständige Aufsichtsbehörde, wobei es auch eine interne Meldung gibt. Diese betrifft lediglich Bereiche innerhalb der eigenen Organisation.

Risiken und was es zu beachten gibt

Wichtig, um nicht gegen die Meldepflicht zu verstoßen, ist die eigenen Mitarbeiter zu briefen, also für mögliche Verstöße zu sensibilisieren und ihnen beizubringen solche zu erkennen. Ein reibungsloser Ablauf innerhalb des Unternehmens ist auch eine relevante Voraussetzung, denn nur wer weiß, wofür er zuständig ist, kann auf Verletzungen reagieren. Es sollte also auch intern ein Meldeprozess für den Fall eines Verstoßens geklärt werden. Denn es gibt Risiken und dies auch in Zusammenhang mit einem Verstoß gegen die Meldepflicht. Dazu gehört natürlich eine verspätete Meldung des Verstoßes. Außerdem kann in vielen Fällen der Verstoß noch größer werde, wenn nicht umgehend intern darauf reagiert wird. Auch ein fahrlässiger Umgang mit Verstößen kann erschwerend in die Sanktion einfließen, denn eine zeitnahe fachliche Bewertung ist wichtig für den Schutz der betroffenen Person.

Fazit

Dies war ein kurzer Einblick in mögliche Verstöße gegen das Datenschutzrecht. Greifen Sie zur Vermeidung dieser am besten auf die Unterstützung durch einen externen Datenschutzbeauftragten zurück. Dieser kennt die typischen Risiken, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten in Unternehmen stehen. Die Europäische Union bestraft solche Verstöße hart, was für viele Firmen eine enorm schädigende Konsequenz mit sich bringen kann. Informieren Sie Ihre Mitarbeiter umfangreich und sorgen Sie dafür, dass, falls doch gegen eine Vorschrift verstoßen wird, intern richtig und schnell gehandelt wird, denn dies fließt in die Strafe mit ein. Besonders in Sachen Datenschutzverletzung sollte sich an die Vorgaben der Meldepflicht aus Art. 33 DSGVO gehalten werden, um den Schaden zu minimieren.

Die Thematik des Datenschutzes ist umfangreich und kompliziert und sollte, wie Sie sehen, nicht auf die leichte Schulter genommen werden. Über all diesen, häufig als übertrieben dargestellten, Vorschriften steht der Schutz der Rechtsgüter der Bürger, denn Daten sind in unserer heutigen Welt der Schlüssel zur Macht.

Die Immerce GmbH erstellt und vertreibt seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für ihre Kunden Suchmaschinenoptimierung. Seit 2018 ist mit der Einführung der DSGVO der Geschäftsbereich Datenschutz & IT-Sicherheit dazugekommen.

Kontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
08323-209 99 43
muens@immerce.de
https://www.immerce.de

Die Bildrechte liegen bei dem Verfasser der Mitteilung.