Verletzung des Datenschutzes im Unternehmen: Was ist zu tun?

Laut Artikel 33 der Datenschutz-Grundverordnung (DSGVO) muss im Fall einer Verletzung des Schutzes personenbezogener Daten die Aufsichtsbehörde – also die Landesdatenschutzbehörde – informiert werden. Dies muss der für die Daten Verantwortliche unverzüglich tun – am besten innerhalb von 72 Stunden, nachdem er von der Datenschutz-Verletzung erfahren hat.

Einzige Ausnahme: Führt die Datenschutz-Verletzung nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen, kann die Meldung unterbleiben. Dies ist jedoch oft schwer zu beurteilen. Wenn die Meldung an die Aufsichtsbehörde nicht innerhalb von 72 Stunden stattfindet, muss die Verzögerung begründet werden. Ein anerkannter Grund kann zum Beispiel sein, dass es innerhalb kurzer Zeit viele Hackerangriffe gegeben hat.

Ein Data Breach ist die anglisierte Bezeichnung für einen Datenschutz-Verstoß im Sinne von § 33 DSGVO. Die Hamburger Datenschutzbehörde hat dazu einige hilfreiche Hinweise veröffentlicht. Demnach ist ein Data Breach jede "Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt".

Es geht dabei also nicht um jegliche Verletzung der Regeln der DSGVO, sondern nur um einen Sicherheitsbruch, bei dem

- Daten unrechtmäßig Dritten offenbart wurden oder
- Daten infolge einer Sicherheitsverletzung gelöscht, verändert oder
- zeitweise unzugänglich gemacht wurden.

Es muss sich um personenbezogene Daten handeln, zum Beispiel um Kundenanschriften, Telefonnummern, E-Mail-Adressen oder Kontodaten. Auch IP-Adressen gelten datenschutzrechtlich als personenbezogene Daten.

Um eine "unrechtmäßige Offenbarung" von persönlichen Daten handelt es sich, wenn Personen, die dies nichts angeht, irgendwie Zugang zu diesen Daten erhalten.

Zum Beispiel kann dies der Fall sein, wenn

- eine E-Mail versehentlich an den falschen Empfänger geht oder
- wenn in eine Massen-E-Mail die Adressen per CC und nicht per BCC eingefügt werden, sodass jeder sie sehen kann.
- Oder auch, wenn ungeschredderte Patientenakten draußen vor dem Krankenhaus in einer offenen Papiermülltonne liegen.

Davon spricht man, wenn Daten gelöscht werden oder für längere Zeit nicht zugänglich sind. Als Gründe kommen zum Beispiel ein Stromausfall oder eine Denial-of-Service-Attacke von außen in Frage, bei der das System durch massenhafte automatische Online-Anfragen überlastet wird. Solche Angriffe führen oft dazu, dass Internetseiten nicht erreichbar sind. Es gibt durchaus Hacker, die so etwas gegen Bezahlung anbieten, um etwa einem Konkurrenzunternehmen zu schaden.

Nicht unter diesen Punkt fallen geplante Abschaltungen des Systems, etwa zu Wartungszwecken. Bei diesen handelt es sich nämlich um einen kontrollierten Vorgang.

Eine weitere Voraussetzung für eine meldepflichtige Datenpanne ist, dass die Datenschutz-Verletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen geführt hat. Es spielt für die Meldepflicht zunächst gar keine Rolle, wie hoch dieses Risiko ist. Wichtig wird dies allerdings bei einer weiteren Pflicht: Pannen mit einem hohen Risiko für Schäden müssen nämlich nicht nur der Behörde, sondern nach Art. 34 DSGVO auch den Betroffenen selbst, also den Kunden, mitgeteilt werden.

Bei der Einschätzung, wie hoch das Risiko ist, muss das betroffene Unternehmen zum Beispiel die Schwere der Panne berücksichtigen sowie die Wahrscheinlichkeit, dass ein Schaden eintritt.

Dabei lautet eine Faustregel: Je höher der mögliche Schaden, desto geringer muss die Wahrscheinlichkeit für seinen Eintritt sein.

Daneben ist auch die Art der Panne wichtig. Ein zufälliger Datenverlust ist weniger schwerwiegend als ein unautorisierter Zugriff. Entscheidend sind auch Art und Umfang der Daten und ob Unbefugte leicht eine Verbindung zwischen den Daten und echten Personen herstellen können.

Beispiele für mögliche Schäden durch eine Datenpanne sind:

- Diskriminierung,
- Identitätsdiebstahl und Online-Betrug,
- finanzielle Verluste,
- Aufhebung der Pseudonymisierung,
- Rufschädigung,
- Verletzung von Berufs- oder Geschäftsgeheimnissen.

Beispiel: Erscheint es als wahrscheinlich, dass Unbefugte durch eine Datenpanne an Postanschriften oder Onlineshop-Zugangsdaten von Kunden gekommen sind, müssen diese Kunden informiert werden. Immerhin können derartige Daten ohne Weiteres von Kriminellen benutzt werden, um auf fremde Rechnung Waren zu bestellen – heute ein vollkommen alltäglicher Vorgang.

Hier einige von der Hamburger Datenschutzbehörde veröffentlichte Beispiele:

- Gestohlener USB-Stick: Meldepflicht besteht, wenn darauf unverschlüsselte Daten sind, jedoch nicht bei gut verschlüsselten Daten.
- Datenzugriff durch Cyber-Angriff: Meldepflicht besteht, Kunden müssen abhängig von Art der Daten informiert werden.
- Stromausfall von mehreren Minuten, System nicht zugänglich: Keine Meldepflicht, nur intern dokumentieren.
- Ransomware-Angriff (Erpressungs-Trojaner verschlüsselt Kundendaten): meldepflichtig, Kunden müssen informiert werden (Ausnahme beides: Daten können durch Backup schnell wiederhergestellt werden).
- Kontoauszug wurde an falschen Kunden verschickt: Meldepflicht, Information an Kunden in der Regel nur bei gehäuftem Auftreten.
- Hacker stehlen Namen, Zugangsdaten, Kaufhistorie der Kunden eines Onlineshops: Meldepflicht und Informationspflicht an Kunden.
- Programmierfehler führt dazu, dass Kunden fremde Kundendaten im Onlineportal sehen können: Meldepflicht, wenn Daten tatsächlich abgerufen wurden. Info an Kunden abhängig vom Einzelfall.
- Cyberattacke gegen Krankenhaus, Patientendaten 30 Minuten lang nicht abrufbar: meldepflichtig, Patienten informieren.
- Schülerdaten werden versehentlich an Mailingliste verschickt: Meldepflichtig, Betroffene sind in der Regel zu informieren.
- Werbe-E-Mail mit lesbarem Mailverteiler (CC statt BCC): meldepflichtig bei größerer Empfängeranzahl oder sensiblem Inhalt, ebenso Informationspflicht der Kunden.

Betroffene – etwa Kunden oder Arbeitnehmer – können Schadensersatzansprüche gegen ein Unternehmen haben, wenn sie durch Datenpannen und Datenlecks einen Schaden erleiden. Ob und in welcher Höhe Bußgelder durch die Datenschutzbehörde verhängt werden, hängt vom Einzelfall ab. Ein Beispiel: Im September 2018 stahlen Hacker die Daten von 330.000 Nutzern eines deutschen sozialen Netzwerkes. Die Datenschutzbehörde verhängte ein Bußgeld von 20.000 Euro, da die Passwörter unverschlüsselt gespeichert worden waren. Der Behörde zufolge fiel das Bußgeld nur wegen der sofortigen Meldung und der Kooperation mit der Behörde so gering aus.

Beispielsweise kann auch das Versenden von Gesundheitsdaten an eine falsche E-Mail-Adresse durch eine Krankenkasse einen Schadensersatzanspruch auslösen. So gestand das OLG Düsseldorf einer gesetzlich Versicherten einen Schadensersatz von 2.000 Euro zu, nachdem ihre Kasse die Daten unverschlüsselt und ohne Pseudonymisierung an eine falsche E-Mail-Adresse verschickt hatte.

Im Jahr 2021 wurden im Rahmen von sogenanntem "Daten-Scraping" bei Facebook Millionen Nutzerdaten von Hackern gestohlen und online weiterverkauft. Der Bundesgerichtshof hält beim bloßen Kontrollverlust über persönliche Daten 100 Euro Schadensersatz für angemessen (Urteil vom 18.11.2024, Az. VI ZR 10/24). Der Verbraucherzentrale Bundesverband (vzbv) versucht derzeit, im Rahmen einer Sammelklage 100 Euro für jede unterschiedliche Art von Daten einzuklagen, also zum Beispiel jeweils für Anschrift, Telefonnummer und Geburtsdatum. Je nach Schaden können jedoch auch höhere Beträge möglich sein.

Weitere Fälle finden Sie hier:
DSGVO: Urteile und News zum Datenschutzrecht

Als besonders schwerwiegend gelten Verstöße, die Daten betreffen, welche unter Artikel 9 der DSGVO fallen. Dies sind Daten, die nur im Ausnahmefall überhaupt verarbeitet und gespeichert werden dürfen, nämlich:

- ethnische Herkunft,
- politische Meinungen,
- religiöse oder weltanschauliche Überzeugungen,
- Gewerkschaftszugehörigkeit,
- genetische Daten,
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Gesundheitsdaten,
- Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person.

Auch bei Meldung einer Datenpanne kann ein nicht unerhebliches Bußgeld verhängt werden. Wird die Meldepflicht missachtet, kann dieses jedoch deutlich höher ausfallen. Selbstständige und Unternehmer können sich durch einen Fachanwalt für Informationstechnologierecht (IT-Recht) beraten lassen, der auch die Risiken eines Schadenseintritts für Betroffene realistisch abschätzen kann. Von diesen wiederum hängen die konkreten Pflichten des Unternehmens ab.