Datenschutz spielt eine überragende Rolle. Dies gilt nicht erst seitdem die Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist.
Beim Broker & Robo-Adviser Scalable Capital ist es erst kürzlich zu einer größeren Datenschutzpanne gekommen. Infolgedessen sind sensible Daten von mehr als 30.000 aktiven und ehemaligen Kunden abhandengekommen. Der gute Ruf des Unternehmens wurde erheblich geschädigt.
Datenschutzlecks stellen kein Einzelfall dar. Selbst Internetriesen wie Google und Amazon müssen bei Datenschutzverstößen mit erheblichen Bußgeldern rechnen. Für den Schädiger geht es in derartigen Konstellationen vor allem um Schadensbegrenzung. Für Geschädigte stellt sich die Frage, wie sie sich am besten schützen können und welche Rechte ihnen im Einzelfall zustehen.
Auf der folgenden Themenseite erfahren Sie die wichtigsten Informationen rund um das Thema „Datenschutzleck“.
Übersicht
- Wie können Datenschutzlecks verhindert werden?
- Wann liegt eine Verletzung personenbezogener Daten vor?
- Welche Mitteilungspflichten treffen den Verantwortlichen nach Bekanntwerden des Datenschutzlecks?
- Welche Sanktionen drohen bei Datenschutzverstößen?
- Welche Auswirkungen haben Datenschutzlecks für Geschädigte?
- Welche Rechte haben Betroffene?
Wie können Datenschutzlecks verhindert werden?
Auch bei größter Sorgfalt lassen sich Datenschutzpannen nicht immer vermeiden. Unternehmen können das Risiko eines Datenschutzlecks und dessen Auswirkungen minimieren, wenn sie bestimmte Sicherheitsvorkehrungen einhalten. Die Vorschriften der DSGVO sollten stets respektiert werden.
Seien Sie sich darüber im Klaren, dass Datenschutzverletzungen durch eine Vielzahl verschiedener Ereignisse eintreten können. Neben Hackerangriffen kann auch das Fehlverhalten der eigenen Mitarbeiter eine Rolle spielen. Schulen Sie letztere regelmäßig, damit diese wissen, worauf sie bei der Verarbeitung personenbezogener Daten achten müssen. Für den Ernstfall sollte ein Reaktionsplan aufgestellt werden. Darüber hinaus sollten Sie sich frühzeitig informieren, bei welcher Stelle ein möglicher Datenschutzvorfall gemeldet werden muss.
Wann liegt eine Verletzung personenbezogener Daten vor?
Art. 4 Nr. 12 DSGVO definiert den Begriff der „Verletzung des Schutzes personenbezogener Daten“. Eine solche liegt vor, wenn die Datensicherheit verletzt wird. Entscheidend ist, ob eine Vernichtung, ein Verlust, eine Veränderung, eine unbefugte Offenlegung oder ein unbefugter Zugang zu personenbezogenen Daten erfolgten. Irrelevant ist, ob der Schutz personenbezogener Daten unbeabsichtigt oder unrechtmäßig verletzt wurde.
Welche Mitteilungspflichten treffen den Verantwortlichen nach Bekanntwerden des Datenschutzlecks?
Werden persönliche Daten verletzt, muss der Verantwortliche unverzüglich und möglichst innerhalb 72 Stunden die zuständigen Aufsichtsbehörden informieren, Art. 33 Abs. 1 i. V. m. Art. 55 DSGVO. Dies gilt dann, wenn die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, muss die Verzögerung begründet werden. Auftragsverarbeiter müssen eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen melden, Art. 33 Abs. 2 DSGVO. Darüber hinaus müssen sie dem Verantwortlichen bei seinen Meldepflichten unterstützen, indem sie ihm die zur Verfügung stehenden Informationen bereitstellen, Art. 28 Abs. 3 f) DSGVO.
Unter Umständen müssen auch unverzüglich die von der Verletzung des Schutzes personenbezogener Daten betroffenen Personen informiert werden. Dies ist gemäß Art. 34 Abs. 1 DSGVO erforderlich, wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Ausnahmen von der Informationspflicht sind in Art. 34 Abs. 3 DSGVO geregelt. Danach entfällt der Pflicht zur Benachrichtigung der betroffenen Person, wenn eine der folgenden Bedingungen erfüllt ist:
Gemäß Art. 34 Abs. 3 a) DSGVO muss der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen treffen und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten anwenden. Dies kann beispielsweise durch eine Verschlüsselung geschehen, durch die die personenbezogenen Daten für Dritte unkenntlich gemacht werden.
Alternativ kann der Verantwortliche gemäß Art. 34 Abs. 3 b) DSGVO durch nachfolgende Maßnahmen sicherstellen, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht.
Die Mitteilungspflicht an die Geschädigten entfällt gemäß Art. 34 Abs. 3 c) DSGVO auch dann, wenn sie mit unverhältnismäßigem Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
Welche Sanktionen drohen bei Datenschutzverstößen?
Schädiger müssen mit empfindlichen Bußgeldern rechnen.
Dies bekamen kürzlich der Internetdienstanbieter 1&1 und das Textilunternehmen H&M zu spüren. Die DSGVO sieht Bußgelder von bis zu 20 Millionen oder 4 % des weltweiten Jahresumsatzes vor, Art. 83 Abs. 5 DSGVO. Maßgeblich ist der höhere Wert.
Kriterien für die Bestimmung der Höhe des Bußgelds sind in Art. 83 Abs. 2 DSGVO enthalten. Danach kommt es unter anderem auf die Art, Dauer und Schwere des Verstoßes an. Auch ob der Verstoß vorsätzlich oder fahrlässig erfolgte, ist von Bedeutung.
Abmahnungen und Unterlassungsklagen von Verbraucherverbänden und Mitbewerbern sind ebenfalls denkbar.
Welche Auswirkungen haben Datenschutzlecks für Geschädigte?
Für Geschädigte kann die Offenbarung der eigenen Daten massive Auswirkungen haben. Die konkreten Folgen hängen stets davon ab, welche Daten im Einzelfall betroffen sind. Bereits das abhandenkommen der eigenen E-Mail-Adresse kann dazu führen, dass Betroffene vermehrt Spam-E-Mails erhalten. Dies mag harmlos klingen. Phishing-Mails und Trojaner-Mails können jedoch erheblichen Schaden anrichten.
Große finanzielle Einbußen können entstehen, wenn Kreditkartendaten in falsche Hände geraten. Betroffenen ist zu raten, bereits bei einer bloßen Missbrauchsgefahr die eigene Kreditkarte vorübergehend sperren zu lassen. Auch der Missbrauch von Passwörtern kann empfindliche finanzielle Auswirkungen haben. Passwörter sollten daher in regelmäßigen Abständen geändert werden. Hinweise über die Anforderungen an ein sicheres Passwort erhalten Sie auf der Website der Verbraucherzentrale.
Auch die Erstellung von Bewegungsprofilen wird durch den Diebstahl bestimmter Daten ermöglicht. Betroffene müssen darüber hinaus mit Bedrohungen und Erpressungen rechnen.
Welche Rechte haben Betroffene?
Geschädigte können vom Schädiger zum Zwecke der Sachverhaltsaufklärung Auskunft verlangen, Art. 15 DSGVO. Ebenso kommt ein Unterlassungsanspruch in Betracht.
Betroffene haben darüber hinaus bei Verstößen gegen die DSGVO einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Anspruchsgrundlage ist Art. 82 DSGVO. Ersetzt werden sowohl materielle (bezifferbare) Schäden als auch immaterielle (nicht bezifferbare) Schäden („Schmerzensgeld“). Materielle Schäden können beispielsweise dadurch entstehen, dass die E-Mail-Adresse erneuert werden muss oder Ausweisdokumente geändert werden müssen. Für einen Schmerzensgeldanspruch reicht die Befürchtung, dass die eigenen Daten unbefugt durch Dritte benutzt werden könnten, in der Regel nicht aus. Betroffene müssen beweisen, dass sie erhebliche, spürbare gesellschaftliche oder persönliche Nachteile erlitten haben.
Der Auftragsverarbeiter haftet nur dann, wenn er seinen speziell auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder die rechtmäßig erteilten Anweisungen des Verantwortlichen nicht beachtet oder gegen diese Anweisungen gehandelt hat, Art. 82 Abs. 2 Satz 2 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter werden von der Haftung befreit, wenn sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind, Art. 83 Abs. 3 DSGVO.
Für die Bestimmung der Höhe des Schadensersatzanspruches orientiert sich die Rechtsprechung zum Teil an den Kriterien, die für die Bestimmung der Höhe von Bußgeldern gelten, vgl. Art. 82 Abs. 2 DSGVO.
Weitere wichtige Informationen über die DSGVO können Sie unserem umfangreichen Ratgeber entnehmen.