Produkt Branchen Sicherheit Ressourcen Über uns Einloggen

Ihr Leitfaden für interne Kommunikation und Mitarbeiterengagement

Zehn Monate Datenschutz-Grundverordnung – Was tun bei DSGVO Verstoß?

General data protection regulation german mutation: Datenschutz Grundverordnung (DSGVO)
Amir Ameri
Amir Ameri, CRCO / Group DPO
8 min read
Im Mai des vergangenen Jahres ist die neue Datenschutz-Grundverordnung (DSGVO oder GDPR von General Data Protection Regulation) in Kraft getreten. Die Datenschutz-Grundverordnung (DSGVO) der EU vereinheitlicht die Regeln für die Verarbeitung personenbezogener Daten durch private und öffentliche Unternehmen. Die Verordnung zielt darauf ab, den Schutz von personenbezogenen Daten innerhalb der Europäischen Union sicherzustellen. Das zugrundeliegende Gesetz wurde am 14. April 2016 angenommen und trat per 25. Mai 2018 in Kraft. Seit diesem Datum kann die EU denjenigen Unternehmen, die sich nicht an die Bestimmungen halten, Bußgelder in Höhe von entweder 4% des jährlichen Umsatzes oder bis zu 20 Millionen Euro verhängen. Auch können weitere Sanktionen auferlegt werden. Hiervon betroffen sind nicht nur Unternehmen innerhalb der EU, sondern auch nicht EU-Staaten, die Dienstleistungen oder Services für den EU-Markt bereitstellen.

Gesetzesgrundlagen in Datenschutzfragen

Während die Datenschutz-Grundverordnung die wichtigste Quelle für die Klärung datenschutzrechtlicher Fragen ist, gibt es eine Vielzahl von Öffnungsklauseln, die den EU-Mitgliedstaaten Rechtsetzungsbefugnisse einräumen. Für den DACH Raum gilt folgendes: Was passiert nun wenn sich ein Unternehmen nicht an die Vorschriften der DSGVO hält oder auch unbewusst gegen das Gesetz verstößt?

Bußgelder und Strafen

Die nationalen Aufsichtsbehörden sind nach der DSGVO angehalten für bestimmte Datenschutzverstöße Abmahnungen oder Bußgelder zu verhängen. Zusätzlich hat auch eine jede Person, die glaubt, dass die Verarbeitung der sie betreffenden personenbezogenen Daten nicht rechtmäßig geschieht, das Recht eine Beschwerde bei der Datenschutzbehörde einzubringen. Einen Überblick über die Aufsichtsbehörden finden Sie hier: Deutschland, Österreich. Eine europaweite Liste kann hier abgerufen werden. Um besser zu verstehen, was im Fall eines DSGVO Verstoßes passiert, ziehen wir nun ein Fallbeispiel heran.

Der Fall Knuddels

In Baden-Württemberg ist es im vergangenen Jahr zu einem DSGVO Verstoß gekommen. Die Internetplattform „Knuddels“, eine Chatplattform für Jugendliche, wurde im Juli 2018 Opfer eines Hackerangriffes. Folglich wurden 800.000 E-Mail Adressen sowie zwei Millionen Nutzernamen und Passwörter auf einer Filesharing-Plattform veröffentlicht. Die Hacker hatten die Daten erbeutet, weil das Unternehmen Passwörter seiner Kunden im Klartext auf dem Unternehmensserver gespeichert hatte. Nach Art. 33 DSGVO haben Unternehmen eine Meldepflicht und sind angehalten im Falle einer Verletzung des Schutzes personenbezogener Daten, dies unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde zu melden. Das Unternehmen „Knuddels”, welches den Datenklau bemerkte, wendete sich im September mit einer Datenpannenmeldung an den Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg. Art. 34 DSGVO besagt darüber hinaus, dass von einem DSGVO Verstoß betroffene Nutzer über die Verletzung des Schutzes ihrer personenbezogenen Daten benachrichtigt werden müssen. Knuddles informierte seine Nutzer, den Vorgaben von Art. 34 DSGVO entsprechend, unverzüglich und umfassend über den Hackerangriff. Im weiteren Verlauf legte das Unternehmen gegenüber dem LfDI sowohl Datenverarbeitungs- als auch Unternehmensstrukturen sowie Versäumnisse offen und kooperierte auf allen Ebenen mit der Behörde. Auch setzte das Unternehmen innerhalb weniger Wochen umfassende Maßnahmen zur Verbesserung der IT-Sicherheitsarchitektur und stellte sicher, dass die Speicherung von Nutzerdaten überarbeitet und verbessert wurde.

Rechtliche Grundlage

Mit der Speicherung von Passwörtern im Klartext verstieß das Unternehmen wissentlich gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß DSGVO Art. 32 Sicherheit der Verarbeitung.

Was können Sie für Ihr Unternehmen von diesem Verstoß gegen die DSGVO lernen?

Gemäß Art 83 DSGVO hätte der LfDi bis zu 20 Millionen Euro oder vier Prozent des Umsatzes des vorangegangen Geschäftsjahres gegen das Internetunternehmen „Knuddels“ verhängen können. Der LfDI verhängte gegen das Chatportal jedoch „nur“ ein Bußgeld in der Höhe von 20.000 Euro. Der Datenschutzverstoß hätte um ein Vielfaches teurer sein können, aber das Unternehmen konnte davon profitierte, dass es seinen Meldepflichten vorbildlich nachkam und mit der Behörde kooperierte. Wichtig ist auch zu bedenken, dass mit einem DSGVO Verstoß ein Rufverlust einhergeht. Das Bekanntwerden eines Datenskandales kann zu einer weitreichenden Rufschädigung Ihres Unternehmens führen was wiederum Umsatzeinbrüche mit sich bringen kann und Ihr Unternehmen weiter schädigt.

Weitere DSGVO Verstöße

DSGVO Verstöße sind keine Seltenheit und treffen unterschiedlichste Unternehmen. Dem Handelsblatt zufolge sind seit Inkrafttreten der DSGVO deutschlandweit die meisten Bußgelder in Nordrhein-Westfalen verhängt worden, nämlich 33 (Stand 21. Januar 2019), gefolgt von Hamburg mit drei Fällen, Baden-Württemberg und Berlin mit je zwei Fällen sowie dem Saarland, indem bisher ein Fall bekannt geworden ist. Da das Inkrafttreten der DSGVO erst acht Monate zurückliegt, sind im Moment viele Bußgeldverfahren noch nicht abgeschlossen. In Bayern beispielsweise laufen derzeit 85 Bußgeldverfahren nach DSGVO. Nachdem ein DSGVO Verstoß ein jedes Unternehmen treffen kann, ist es wichtig, über die Schritte und Vorgehensweisen im Falle eines Verstoßes bescheid zu wissen sowie über relevante Krisenkommunikationsstrategien zu verfügen.

Was müssen Sie tun, falls es doch mal zu einem DSGVO Verstoß kommt?

Im Fall eines DSGVO Verstoßes, stellen Sie sicher, dass Sie Ihr Vorgehen auf Artikel 33 und 34 der DSGVO stützen. Für Unternehmen jeglicher Größe und Handelsstufe kann bei einer Datenschutzpanne, geraten werden, nicht zu verzweifeln oder in Panik zu geraten, sondern mit der jeweiligen Ordnungsbehörde zusammen zu arbeiten. Wichtig ist es auch Transparenz und Aufklärungsbemühungen zu signalisieren und klar zu kommunizieren, dass Sie nicht nur zur Schadenswiedergutmachung bereit sind, sondern auch gewillt sind, die dem Verstoß zugrunde liegende Technik, auf den neuesten Stand zu bringen.

Wie melden Sie eine DSGVO Verstoß?

Ob durch einen Cyberangriff, Softwarefehler, Hardwareausfall oder durch menschliches Versehen verursacht, Unternehmen sind nach Art. 33 Abs. 5 DSGVO verpflichtet sogenannte Verletzungen des Schutzes personenbezogener Daten bei der zuständigen Datenschutz-Aufsichtsbehörde zu melden. Theoretisch klingt das einleuchtend aber wie sieht dieser Vorgang in der Praxis aus? Während hinsichtlich der Form der Meldung keine gesetzlichen Vorgaben existieren, macht es aus Beweisgründen Sinn, die Meldung in Textform einzubringen. Die verantwortlichen Aufsichtsbehörden haben hierfür Meldeformulare erstellt, welche online abrufbar sind. Hier finden Sie eine Liste der Behörden, mit den jeweiligen Formularen, gelistet für alle deutschen Bundesländer. Für Österreich bietet die Website des Bundeskanzleramts ein Formular der Datenschutzbehörde. Generell besagt Artikel 33 der DSGVO, dass die Meldung einer Verletzung des Schutzes personenbezogener Daten durch den Verantwortlichen, unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerdung, bei der zuständigen Aufsichtsbehörde zu einzugehen hat. Im Falle einer Verzögerung der Meldepflicht muss eine Begründung für die Verzögerung beigelegt werden. Die Meldung hat folgende Informationen zu enthalten: Wichtig ist auch, dass nach Art. 33 Abs. 5 DSGVO eine Dokumentationspflicht besteht daher muss der Verantwortliche sicherstellen, dass alle Faktoren, die zum DSGVO Verstoß geführt haben, klar aufbereitet und dokumentiert werden. Nachdem rasches Handeln, nach Bekanntwerden einer DSGVO Verletzung, höchste Priorität hat, lohnt es sich einen Krisenkommunikationsplan für den Fall eines DSGVO Verstoßes zu haben. Je besser Ihr Unternehmen auf die Eventualität eines DSGVO Verstoßes vorbereitet ist, desto höher sind Ihre Chancen mit einem geringen Bußgeld oder gar “nur” einer Abmahnung davon zu kommen.

Prävention

Während unserer Recherche haben wir gelernt, dass ein DSGVO Verstoß einem jedem Unternehmen passieren kann. Um das Risiko einer DSGVO Verletzung und den damit einhergehenden Folgen zu minimieren, macht es Sinn, Präventionsmaßnahmen zu ergreifen. Neben einer soliden Krisenkommunikationstrategie, macht es Sinn, einen Datenschutzbeauftragten zu ernennen. Um Datensicherheit in allen Bereichen Ihres Unternehmens sicherzustellen, und einem DSGVO Verstoß aktiv entgegenzuwirken, sollten Sie alle von Ihrem Unternehmen verwendeten Applikationen und Softwareprodukte auf DSGVO Konformität zu überprüfen.

Um mehr über Datensicherheit bei Beekeeper zu erfahren, laden Sie das White Paper “Datensicherheit” herunter.