06.02.2023

Datenpanne im Unternehmen: Welche Pflichten müssen Unternehmen erfüllen?

Eine falsch adressierte E-Mail, ein Hackerangriff oder versehentlich veröffentlichte Mitarbeiterdaten: Datenpannen im Unternehmen passieren schnell. Jetzt ist zügiges Handeln gefragt. Denn die DSGVO verpflichtet Betriebe in vielen Fällen zu einer umgehenden Meldung bei der Aufsichtsbehörde. Wann und wie diese zu erfolgen hat, welche Strafen bei einer Nichtmeldung drohen und welche Rechte Mitarbeitende im Hinblick auf ihre eigenen Daten haben, erläutert dieser Artikel.

Was ist eine Datenpanne und wie kann diese aussehen?

Bei der Verletzung des Schutzes personenbezogener Daten spricht man von einer„Datenpanne“ was  in der Datenschutz-Grundverordnung (kurz: DSGVO) in Art. 4 Nr. 12 DSGVO definiert wird:

„[...]eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Typische Beispiele für Datenpannen sind:

  • die unbewusste bzw. unbeabsichtigte Veröffentlichung von personenbezogenen Daten
  • ein Hackerangriff, eingeschleuste Schadsoftware oder Phishing
  • der Missbrauch von Zugriffsrechten
  • ein unverschlüsselter E-Mail-Versand oder E-Mail-Fehlleitungen
  • die Tatsache, dass Unbefugte Zugang zu Daten im Unternehmen bzw. einem geschlossenen System erhalten

 

Ein Datenschutzvorfall kann nicht nur Daten von Mitarbeitenden, sondern auch persönliche Daten der Kundschaft betreffen, denn die DSGVO gilt auch für Privatpersonen. Eine solche Datenpanne entsteht meist dann, wenn die Kundendaten – z.B. im Rahmen von Social Media in der Kundenkommunikation – nicht DSGVO-konform verarbeitet werden. So müssen Unternehmen ihre Kundschaft über die Speicherung personenbezogener Daten informieren und diese auf ihr Widerspruchs-, Auskunfts- oder Berichtigungsrecht hinweisen. Geschieht dies nicht, liegt unter Umständen ein DSGVO-Verstoß vor.

Lesen Sie hier weiterführende Informationen über die DSGVO und Rechte und Pflichten für Selbstständige.

Datenschutzvorfall melden: So geht's richtig

Bei einem Datenschutzvorfall gem. DSGVO müssen Unternehmen umgehend handeln. Zunächst ist der Datenschutzbeauftragte zu informieren, anschließend hat eine Risikoanalyse zu erfolgen:

  • In welcher Form liegt ein Datenschutzvorfall vor und in welchem Ausmaß?
  • Welche Schäden können durch den Datenschutzvorfall für die betroffenen Personen entstehen oder sind bereits entstanden?

 

Stellt sich anhand der Risikoanalyse heraus, dass kein Risiko der Verletzung des Schutzes von persönlichen Daten vorliegt, muss der DSGVO Verstoß nicht gemeldet werden. Dies wäre beispielsweise dann der Fall, wenn ein USB-Stick mit wirksam verschlüsselten Daten entwendet wurde.

Ergibt die Risikoanalyse jedoch ein – wenn auch geringes – Risiko, müssen Unternehmen die Datenpanne melden. Die Meldung hat gem. Art. 33 DSGVO binnen 72 Stunden bei der zuständigen Aufsichtsbehörde zu erfolgen.

Die Meldung an die Aufsichtsbehörde muss folgende Informationen enthalten:

  • Angaben zum meldenden Unternehmen (u.a. Name, Anschrift, betroffene Abteilung)
  • Name und Kontaktdaten der mit dem Datenschutz beauftragten Person
  • Beschreibung des Datenschutzvorfalls, inkl. der Anzahl der betroffenen Personen sowie der Anzahl der betroffenen Datensätze
  • Ergebnis der Risikoanalyse

Wann müssen betroffene Personen informiert werden?

Stellt die Datenpanne ein besonders hohes Risiko für die betroffenen Personen dar, müssen diese gem. Art. 34 Abs. 1 DSGVO ebenfalls über die Verstöße gegen die DSGVO informiert werden. Dies ist beispielsweise der Fall, wenn Hacker Zugriff auf Nutzernamen, Passwörter oder weitere Kundendaten erhalten haben.

Bei der Meldung an die betroffenen Personen sind folgende Angaben zu übermitteln:

  • Name und Kontaktdaten der mit dem Datenschutz beauftragten Person
  • Kontaktdaten einer Anlaufstelle für weitere Informationen
  • möglichst präzise Beschreibung der möglichen bzw. wahrscheinlichen Folgen des Datenschutzvorfalls

Was kann passieren, wenn ein Unternehmen eine Datenpanne nicht meldet?

Meldet ein Unternehmen eine Datenpanne nicht, droht ein Bußgeld. Nach Art. 83 Nr. 4 DSGVO sind Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Vorjahresumsatzes möglich. Die Höhe des Bußgeldes hängt unter anderem von Art, Schwere und Dauer des Verstoßes sowie dem Grad an Vorsatz bzw. Fahrlässigkeit ab. Darüber hinaus haften Unternehmen für materielle und immaterielle Schäden, die der betroffenen Person aufgrund der Datenpanne entstehen.

Was droht, wenn Beschäftigte eine Datenpanne verheimlichen?

Auch für angestellte Personen kann ein Datenschutzvorfall Konsequenzen haben. Verstoßen Mitarbeitende wissentlich oder fahrlässig gegen bestehende Datenschutzvorschriften, können sie ermahnt oder abgemahnt werden. Besonders gravierende Datenpannen können neben einer außerordentlichen Kündigung auch Schadensersatzansprüche zur Folge haben.

Welche Rechte haben Angestellte im Hinblick auf den Schutz ihrer personenbezogener Daten im Unternehmen?

Arbeitgebende dürfen personenbezogene Daten im Unternehmen auch ohne Einwilligung des Arbeitnehmenden verarbeiten, sofern dies für die Aufnahme, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist (§ 26 Bundesdatenschutzgesetz). Dazu zählen die Stammdaten der arbeitnehmenden Person sowie Angaben zu ihrer Ausbildung und beruflichen Qualifikation. Die Verarbeitung anderer Daten – wie beispielsweise eines Fotos – ist jedoch an die Zustimmung des jeweiligen Arbeitnehmenden gebunden.

Besonderen Schutz genießen Gesundheitsdaten von Mitarbeitenden. Sie dürfen grundsätzlich zwar verarbeitet werden, jedoch nur von der jeweiligen vorgesetzten Person bzw. der personalverantwortlichen Person.

Unternehmen veröffentlicht Mitarbeiterdaten – was tun?

Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen einer Datenpanne ein Schaden entstanden ist, Anspruch auf Schadenersatz gegen die dafür verantwortliche Person.

Beschäftigte, deren Daten von ihrem Betrieb unrechtmäßig veröffentlicht wurden, sollten sich zunächst an die mit dem Datenschutz beauftragte Stelle wenden. Etwaige Schadenersatzansprüche müssen anschließend gerichtlich geltend gemacht werden. Die ALLRECHT Berufs-Rechtsschutzversicherung stellt Betroffenen einen kompetenten Rechtsbeistand zur Seite.

Rechtsschutztipp 

  • Die Berufs-Rechtsschutzversicherung von ALLRECHT gibt Ihnen die notwendige finanzielle Sicherheit, damit Sie Ihr gutes Recht in Streitigkeiten rund um Ihre berufliche Tätigkeit durchsetzen können. Jetzt informieren! 
  • Dringende Rechtsfragen können ALLRECHT Kunden bequem und direkt mit Hilfe einer telefonischen Erstberatung durch die Vermittlung von kompetenten Anwälten klären lassen.

Alles was Recht ist

DSGVO Datenschutz: Grundverordnung für Privatpersonen

14.11.2018 – zuletzt aktualisiert am: 10.09.2021

DSGVO – Welche Rechte und Pflichten für Privatpersonen gibt es?

Die neue DSGVO legt seit 2018 mehr Wert auf Datenschutz von Privatpersonen ✓ Für welche Daten gilt die DSGVO? ➤ Das Wichtigste in Kürze.

MEHR
Personen informieren sich über neue DSGVO am Arbeitsplatz

10.10.2018 – zuletzt aktualisiert am: 24.02.2023

Die neue DSGVO – Rechte und Pflichten für Selbstständige und Unternehmen

Die DSGVO hat Einzug in die EU gehalten. Wie wenden Unternehmen und Selbstständige die Datenschutzgrundverordnung richtig an, damit keine Bußgelder drohen?

MEHR

Unsere Partnerkanzlei

Der eingestellte Blog-Beitrag wurde von unserer Partnerkanzlei ALEGOS Rechtsanwälte juristisch überprüft.

Jetzt optimalen Tarif konfigurieren

Selbstbeteiligung 250€
Vertragslaufzeit 3 Jahre
Ich bin und möchte absichern.

Gesamtsumme mtl.-,--Tarif zusammenstellen