Datenpanne im Unternehmen: Welche Pflichten müssen Unternehmen erfüllen?

Eine falsch adressierte E-Mail, ein Hackerangriff oder versehentlich veröffentlichte Mitarbeiterdaten: Datenpannen im Unternehmen passieren schnell. Jetzt ist zügiges Handeln gefragt. Denn die DSGVO verpflichtet Betriebe in vielen Fällen zu einer umgehenden Meldung bei der Aufsichtsbehörde. Wann und wie diese zu erfolgen hat, welche Strafen bei einer Nichtmeldung drohen und welche Rechte Mitarbeitende im Hinblick auf ihre eigenen Daten haben, erläutert dieser Artikel.

Was ist eine Datenpanne und wie kann diese aussehen?

Bei der Verletzung des Schutzes personenbezogener Daten spricht man von einer„Datenpanne“ was  in der Datenschutz-Grundverordnung (kurz: DSGVO) in Art. 4 Nr. 12 DSGVO definiert wird:

„[...]eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Typische Beispiele für Datenpannen sind:

• die unbewusste bzw. unbeabsichtigte Veröffentlichung von personenbezogenen Daten
• ein Hackerangriff, eingeschleuste Schadsoftware oder Phishing
• der Missbrauch von Zugriffsrechten
• ein unverschlüsselter E-Mail-Versand oder E-Mail-Fehlleitungen
• die Tatsache, dass Unbefugte Zugang zu Daten im Unternehmen bzw. einem geschlossenen System erhalten

Ein Datenschutzvorfall kann nicht nur Daten von Mitarbeitenden, sondern auch persönliche Daten der Kundschaft betreffen, denn die DSGVO gilt auch für Privatpersonen. Eine solche Datenpanne entsteht meist dann, wenn die Kundendaten – z.B. im Rahmen von Social Media in der Kundenkommunikation – nicht DSGVO-konform verarbeitet werden. So müssen Unternehmen ihre Kundschaft über die Speicherung personenbezogener Daten informieren und diese auf ihr Widerspruchs-, Auskunfts- oder Berichtigungsrecht hinweisen. Geschieht dies nicht, liegt unter Umständen ein DSGVO-Verstoß vor.

Lesen Sie hier weiterführende Informationen über die DSGVO und Rechte und Pflichten für Selbstständige.

Datenschutzvorfall melden: So geht's richtig

Bei einem Datenschutzvorfall gem. DSGVO müssen Unternehmen umgehend handeln. Zunächst ist der Datenschutzbeauftragte zu informieren, anschließend hat eine Risikoanalyse zu erfolgen:

• In welcher Form liegt ein Datenschutzvorfall vor und in welchem Ausmaß?
• Welche Schäden können durch den Datenschutzvorfall für die betroffenen Personen entstehen oder sind bereits entstanden?

Stellt sich anhand der Risikoanalyse heraus, dass kein Risiko der Verletzung des Schutzes von persönlichen Daten vorliegt, muss der DSGVO Verstoß nicht gemeldet werden. Dies wäre beispielsweise dann der Fall, wenn ein USB-Stick mit wirksam verschlüsselten Daten entwendet wurde.

Wann müssen betroffene Personen informiert werden?

Stellt die Datenpanne ein besonders hohes Risiko für die betroffenen Personen dar, müssen diese gem. Art. 34 Abs. 1 DSGVO ebenfalls über die Verstöße gegen die DSGVO informiert werden. Dies ist beispielsweise der Fall, wenn Hacker Zugriff auf Nutzernamen, Passwörter oder weitere Kundendaten erhalten haben.

Was kann passieren, wenn ein Unternehmen eine Datenpanne nicht meldet?

Meldet ein Unternehmen eine Datenpanne nicht, droht ein Bußgeld. Nach Art. 83 Nr. 4 DSGVO sind Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Vorjahresumsatzes möglich. Die Höhe des Bußgeldes hängt unter anderem von Art, Schwere und Dauer des Verstoßes sowie dem Grad an Vorsatz bzw. Fahrlässigkeit ab. Darüber hinaus haften Unternehmen für materielle und immaterielle Schäden, die der betroffenen Person aufgrund der Datenpanne entstehen.

Was droht, wenn Beschäftigte eine Datenpanne verheimlichen?

Auch für angestellte Personen kann ein Datenschutzvorfall Konsequenzen haben. Verstoßen Mitarbeitende wissentlich oder fahrlässig gegen bestehende Datenschutzvorschriften, können sie ermahnt oder abgemahnt werden. Besonders gravierende Datenpannen können neben einer außerordentlichen Kündigung auch Schadensersatzansprüche zur Folge haben.

Welche Rechte haben Angestellte im Hinblick auf den Schutz ihrer personenbezogener Daten im Unternehmen?

Arbeitgebende dürfen personenbezogene Daten im Unternehmen auch ohne Einwilligung des Arbeitnehmenden verarbeiten, sofern dies für die Aufnahme, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist (§ 26 Bundesdatenschutzgesetz). Dazu zählen die Stammdaten der arbeitnehmenden Person sowie Angaben zu ihrer Ausbildung und beruflichen Qualifikation. Die Verarbeitung anderer Daten – wie beispielsweise eines Fotos – ist jedoch an die Zustimmung des jeweiligen Arbeitnehmenden gebunden.

Besonderen Schutz genießen Gesundheitsdaten von Mitarbeitenden. Sie dürfen grundsätzlich zwar verarbeitet werden, jedoch nur von der jeweiligen vorgesetzten Person bzw. der personalverantwortlichen Person.

Unternehmen veröffentlicht Mitarbeiterdaten – was tun?

Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen einer Datenpanne ein Schaden entstanden ist, Anspruch auf Schadenersatz gegen die dafür verantwortliche Person.

Beschäftigte, deren Daten von ihrem Betrieb unrechtmäßig veröffentlicht wurden, sollten sich zunächst an die mit dem Datenschutz beauftragte Stelle wenden. Etwaige Schadenersatzansprüche müssen anschließend gerichtlich geltend gemacht werden. Die ALLRECHT Berufs-Rechtsschutzversicherung stellt Betroffenen einen kompetenten Rechtsbeistand zur Seite.