Seit Mai 2018 greift in der gesamten EU die Datenschutzgrundverordnung, kurz als DSGVO bekannt. Sie hat das deutsche Bundesdatenschutzgesetz (BDSG) abgelöst und regelt seither den Umgang mit personenbezogenen Daten. Damit gehen zahlreiche Pflichten einher, die bei einem Datenschutz-Verstoß beachtliche Sanktionen nach sich ziehen können. Teils drohen bei schwerwiegenden Verstößen gegen den Datenschutz Bußgelder in Millionenhöhe und selbst Freiheitsstrafen sind in dem Fall nicht auszuschließen.

Was aber ist ein Datenschutz-Verstoß, welche Strafen drohen wirklich und wie können Sie eine Datenschutzverletzung präventiv vermeiden? Lesen Sie im Folgenden alles, was Sie darüber wissen müssen.

Wann liegt ein Verstoß gegen den Datenschutz vor?

Um zu verstehen, was ein Datenschutz-Verstoß ist, klären wir zunächst, was Datenschutz grundsätzlich bedeutet und was die Unterschiede zwischen einem Datenschutz-Verstoß, einer Datenschutzverletzung und einer Datenschutzpanne sind.

In der DSGVO sind alle Verpflichtungen für Unternehmen, Behörden und öffentliche Einrichtungen geregelt, die Daten verarbeiten. Die Vorgaben im Umgang mit jenen sogenannten personenbezogenen Daten müssen zwingend eingehalten werden, um einem Datenschutz-Verstoß vorzubeugen. Ist dies nicht der Fall, wie bei einer unrechtmäßigen Erhebung, Speicherung, Weiterleitung oder Veröffentlichung, drohen erhebliche Strafen, die neben der DSGVO im neuen BDSG oder auch in den Datenschutzgesetzen der Länder zu finden sind.

Ein Datenschutz-Verstoß ist im Grund ein Sammelbegriff für die meisten Verletzungen des Datenschutzes. Es liegt in dem Fall eine Straftat nach § 44 BDSG oder eine Ordnungswidrigkeit nach § 43 BDSG vor. Allerdings ist ein Datenschutz-Verstoß nicht immer gleichbedeutend mit einer Datenschutzverletzung. Hierbei handelt es sich im Speziellen um eine Verletzung, die den Schutz von personenbezogenen Daten berührt und im Art. 4 Nr. 12 DSGVO genauer definiert ist.

So heißt es hier:

„Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

Datenpannen hingegen beziehen sich auf eine Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen. So hat sich etwa ein Hacker illegal über ein Datenleck Zugang zu Daten verschafft oder es wurden bestimmte Daten ungewollt verändert. Ebenso können bei einer Datenpanne wichtige Informationen nicht mehr abrufbar sein.

Datenschutzverletzung: Welche Strafe droht?

Allgemeine Grundlagen rund um eine mögliche Datenschutz-Verstoß-Strafe werden im Art. 83 der DSGVO festgesetzt. Die Höhe der Sanktionen richtet sich nach dem Einzelfall. Berücksichtigt werden laut Gesetzestext bei einem Datenschutz-Verstoß zur Beurteilung der Schwere folgenden Faktoren:

• Art, Schwere und Dauer
• Vorsätzlichkeit oder Fahrlässigkeit
• Jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffene Maßnahmen zur Minderung
• Grad der Verantwortung
• Einschlägige frühere Verstöße
• Umfang der Zusammenarbeit mit der Aufsichtsbehörde
• Kategorien personenbezogener Daten
• Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde
• Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen
• Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42
• Jegliche andere erschwerende oder mildernde Umstände

Der § 83 Abs. 5 der DSGVO sieht vor, dass bei einem Datenschutz-Verstoß Geldbußen bis zu einer Höhe von 20.000.000 EUR oder bei Unternehmen bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können.

Ferner droht bei einem Datenschutz-Verstoß nach § 42 Abs. 2 BDSG-neu eine Freiheitsstrafe von bis zu drei Jahren.

Verstoß gegen den Datenschutz: einige Beispiele

Sie wissen wahrscheinlich selbst, wie komplex die DSGVO und alle damit zusammenhängenden Gesetze sind. Das macht es nicht immer einfach, zu definieren, wann nun ein Datenschutz-Verstoß vorliegt. Die nachfolgenden Beispiele helfen Ihnen, sich eine bessere Vorstellung darüber zu machen, wann der Datenschutz in Gefahr ist und wann sogar ein Verstoß gegen den Datenschutz vorliegen könnte:

• Verlust unverschlüsselter Datenträger wie USB-Sticks, Laptops, Smartphones u. Ä.
• Übermittlung von Poststücken an falsche Empfänger
• Angriff auf IT-Systeme
• Fehlerhafte Entsorgung von jeglichen Datenträgern wie Akten, USB-Sticks, Festplatten u. Ä.
• System- oder Konfigurationsfehler
• Ungewollte Löschung von Daten
• Fehlende Datenschutzerklärung auf der Webseite
• Newsletter-Versand an Personen, die vorher darin nicht eingewilligt haben
• Missbrauch von Zugriffsrechten
• Fehlender Abschluss von Auftragsverarbeitungsverträgen mit Auftragsverarbeitern

Gut zu wissen: Sollte es zu einem Datenschutz-Verstoß kommen, sind Unternehmen verpflichtet, die Aufsichtsbehörden und zumeist auch die Betroffenen darüber zu unterrichten. Dies fällt unter die Melde- und Benachrichtigungspflichten.

Wann und wie schnell ist ein Datenschutz-Verstoß meldepflichtig? Das legt der Art. 33 DSGVO fest:

„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Verstoß gegen Datenschutz bei der Datenträgervernichtung

Zu den Datenschutz-Verstößen gehört auch die unsachgemäße Datenträgervernichtung, die personenbezogene Informationen enthalten. Daher ist jedes Unternehmen dazu verpflichtet, Papiere und digitale Dateninformationsträger so zu vernichten, dass eine Wiederherstellung unmöglich ist und die Daten vollständig vernichtet sind. In der DIN 66399 finden sich dafür die Grundlagen in Form von Schutzklassen und Sicherheitsstufen. Diese regeln, wie Datenträger und wann in welcher Partikelgröße zerlegt werden müssen, um eine Aktenvernichtung nach gesetzlichen Vorgaben zu gewährleisten.

Die Sicherheitsstufen umfassen sieben Abschnitte, die sich grob unterteilen lassen:

• Sicherheitsstufe 1 bis 3: Datenträger mit sensiblen und vertraulichen Daten sowie personenbezogenen Daten, die einem erhöhten Schutzbedarf unterliegen
• Sicherheitsstufe 4 bis 7: Entsorgung geheimer Daten

Wichtig ist zudem, dass Sie eine datenschutzkonforme Aktenvernichtung oder Datenträgervernichtung mittels eines Zertifikats nachweisen können.

Drei Tipps, um bei einem Datenschutz-Verstoß Strafen zu vermeiden

Um einem Datenschutz-Verstoß bereits im Vorfeld vorzubeugen, können Sie einige wichtige Maßnahmen ergreifen.

1. Datenschutzbeauftragten bestimmen

   Unter bestimmten Voraussetzungen müssen Sie in Ihrem Unternehmen einen Datenschutzbeauftragten ernennen. Dieser ist für die Umsetzung und Einhaltung der Datenschutzgesetze und -richtlinien verantwortlich. Die Berufung und seine Rolle sind in der DSGVO festgelegt.

2. Datenschutzmanagement einführen

   Ein Datenschutzmanagement-System enthält klare Richtlinien, notwendige Verfahren und Maßnahmen zur Datenverarbeitung. Das wiederum stellt einen umfassenden Schutz personenbezogener Daten sicher und hilft dabei, eventuelle Datenschutzrisiken zu identifizieren, zu bewerten und diesen direkt entgegenzuwirken.

3. Aktenvernichtung mit einem professionellen Dienstleister

   Die Vernichtung von sensiblen und personenbezogenen Dokumenten und Dateninformationsträgern ist ein wichtiger Teil des Datenschutzes. Indem Sie sich dazu externe Unterstützung durch einen nach der DIN 66399 zertifizierten Entsorgungsbetrieb wie AKTA ins Boot holen, gewährleisten Sie eine datenschutzkonforme Vernichtung. Wir verfügen über das Know-how und die erforderlichen Geräte sowie Verfahren, um Sie vor einem Datenschutz-Verstoß zu bewahren.

Was Sie bei uns erwartet?

• Geschulte Mitarbeiter, die nach § 5 BDSG das Datengeheimnis wahren
• Abstimmung der richtigen Sicherheitsstufe
• GPS-überwachte Speziallogistik
• Modernster Vernichtungstechnik und zertifizierte Anlagen nach DIN 66399
• Überwachte Betriebs- und Lagerflächen
• Technische und organisatorische Sicherheitsmaßnahmen
• Große Behältervielfalt und Datenschutztonnen in verschiedenen Größen
• Sachgerechte Entsorgung und umweltfreundliches Recycling
• Vernichtungsnachweis durch zertifiziertes Fachunternehmen

Mit uns können Sie sich einer Datenträger- und Aktenvernichtung nach Datenschutz gewiss sein und so Datenschutz-Verstöße vermeiden!