open search
close
Datenschutz Neueste Beiträge

Datenschutzverstoß – was ist jetzt zu tun?

Print Friendly, PDF & Email

Längst sind in zahlreichen Unternehmen Datenschutzbeauftragte tätig und erleichtern vielen Unternehmen das (datenschutzkonforme) Leben. Aber wie gestalten sich interne Ermittlungen, wenn es dann doch einmal zu einem Verstoß gegen Datenschutzvorschriften kommt? Ein Überblick zur möglichst zügigen und effizienten Aufklärung von Datenschutzverstößen.

Unabhängig von der Informationsquelle, eines steht fest: Bekommt man als Arbeitgeber Wind von einem Datenschutzverstoß im eigenen Unternehmen, besteht unbedingt Handlungsbedarf. Derzeit nehmen Schadensersatzklagen nach Art. 82 DSGVO vor deutschen Gerichten wegen DSGVO-Verstößen zu. Die Unternehmen werden dabei regelmäßig verurteilt, immaterielle Schäden bis zu einer Höhe von 5.000 EUR je Verstoß zu ersetzen.

Melde- und Benachrichtigungspflichten

Erlangt man Kenntnis von einem möglichen Verstoß gegen datenschutzrechtliche Vorgaben, sind im Rahmen der internen Sachverhaltsaufklärung die Melde- und Benachrichtigungspflichten der Art. 33 und 34 DSGVO zu beachten. Grundsätzlich muss das verantwortliche Unternehmen die Aufsichtsbehörde möglichst innerhalb von 72 Stunden nach ihrem Bekanntwerden über eine Datenschutzverletzung informieren. Dies gilt jedenfalls, wenn sich durch den Verstoß ein Risiko für die persönlichen Rechte der von dem Verstoß betroffenen Person abzeichnet. Neben dieser für Arbeitgeber schwer zu treffenden Einschätzung obliegt es ihnen auch, zu prüfen, ob eine Benachrichtigung der betroffenen Person erforderlich ist. Daher sollte in vielen Fällen auch in Betracht gezogen werden, die Presse- bzw. Kommunikationsabteilung frühzeitig einzubinden, da „Datenpannen“ Magneten medialer Aufmerksamkeit sind. Die Datenpanne sollte nicht nur juristisch aufgearbeitet werden, sondern auch die interne und externe Kommunikation kann entscheidend sein.

Notwendigkeit interner Untersuchungen

Nicht jeder Verstoß gegen Datenschutzvorschriften ist jedoch auch gleich ein Fall für interne Untersuchungen. Grundsätzlich ist es Aufgabe des Datenschutzbeauftragten oder der für die datenschutzrechtliche Beratung zuständigen Abteilung, datenschutzrechtlich bedenkliche Vorgänge zu erkennen und zu beheben, auch unter Hinzuziehung externer Expertise. Sofern folgende Kriterien erfüllt sind, empfiehlt es sich in der Regel, interne Untersuchungen einzuleiten:

  • Vorliegen von abstrakt wiederkehrenden Verletzungen der Grundsätze der DSGVO im Sinne des Art. 5 Abs. 1 DSGVO
  • Vorsätzliche Datenschutzverstöße (z. B. wissentlich unbefugte Weitergabe von personenbezogenen Daten an Dritte etwa mit Schädigungsabsicht)
  • Vehement mangelnde Bereitschaft zur Kooperation mit Datenschutzbehörden oder wiederholte Verweigerung der Abstimmung mit dem Datenschutzbeauftragen oder verantwortlichen Abteilungen
  • Interessenkonflikt des Datenschutzbeauftragten (z.B. wegen Verschwiegenheitspflichten)
  • Wiederholte Verstöße gegen intern geltende Vorschriften oder Vereinbarungen

Eine interne Untersuchung muss also nicht wegen jeder versehentlich versäumten Einwilligung in die Veröffentlichung von Fotos des letzten Betriebsausflugs erfolgen, obwohl auch hier Achtsamkeit geboten ist. Damit wird nicht gleich der Zero-Tolerance-Grundsatz umgangen, der bei Datenschutzverstößen aber durchaus groß geschrieben werden sollte. Im Sinne der Effizienz sollte zwischen dem Bereich Optimierung von Vorgängen durch die Datenschutzabteilung selbst, weil etwa die Einwilligung zum Bild auf der Homepage fehlt, und internen Ermittlungen wegen Datenschutzverstößen, die Auswirkungen auf die Unternehmensstruktur haben, differenziert werden. Nicht jeder Verstoß muss mithin umfassende Ermittlungen auslösen, es sollte vielmehr jeweils eine Abwägung anhand der Schwere des Verstoßes und seiner Auswirkungen für das Unternehmen erfolgen.

Expertise im eigenen Unternehmen nutzen

Müssen interne Ermittlungen durchgeführt werden, sind zunächst die bedenklichen Sachverhalte zu ermitteln und zu analysieren. Dabei ist in Fällen von Datendiebstahl, Datenmanipulation oder Datenverlust meist die IT-Abteilung gefragt, um Mängel in Vertraulichkeit, Speicherung, Verarbeitung und Übermittlung von Daten zu erkennen, zu bewerten und Vorschläge zu Gegenmaßnahmen zu erarbeiten. Das Know-how der IT-Abteilung kann die internen Ermittlungen oftmals in technischer Hinsicht bereichern. Unter Umständen kann es auch geboten sein, den Datenschutzbeauftragten hinzuziehen. Es ist jedoch die besondere Stellung des Datenschutzbeauftragten im Unternehmen zu beachten sowie der Umstand, dass er häufig im Vorfeld die Abläufe selbst eingeführt hat. Hilfestellung bei den internen Ermittlungen kann unter Umständen auch die interne Revision und die Compliance-Abteilung geben. Stets sind die Grenze des Könnens und des Dürfens zu beachten.

Umgang mit Untersuchungsergebnissen

Die juristische Einordnung und Analyse der Untersuchungsergebnisse obliegt dem internen Ermittlerteam in Form eines Abschlussberichts. Im Anschluss ist es ratsam, die nötigen Maßnahmen umzusetzen und zu überwachen. Konsequenz erkannter Datenschutzverstöße ist regelmäßig eine technische Überarbeitung von organisatorischen Abläufen gem. Art. 32 DSGVO, z. B. Löschkonzepte, Zugriffskonzepte und Protokolloptimierung. Nicht selten folgen aber auch individualarbeitsrechtliche Schritte: Je nach Maß der Verantwortlichkeit und Ausmaß des Verstoßes kann es für einzelne Arbeitnehmer zu Abmahnungen, Kündigungen oder Schadensersatzforderungen kommen.

Praxishinweise

Datenschutzverstöße im Unternehmen sollten keinesfalls „links liegen gelassen“ werden. Es drohen Schadensersatzklagen und negative mediale Aufmerksamkeit. Ratsam ist daher, das mit der DSGVO verbundene Reputations- und Haftungsrisiko bereits durch ein im Vorhinein durchdachtes Konzept im Umgang mit Datenschutz(-verstößen) zu minimieren. Denn das Thema Datenschutz rückt immer weiter in das Blickfeld der Gesellschaft.

In Zusammenarbeit mit Jana Schön, Wiss. Mit. im Berliner Büro.

Jakob Friedrich Krüger

Rechtsanwalt

Counsel
Jakob F. Krüger berät nationale und internationale Unternehmen. Ein Schwerpunkt seiner Tätigkeit liegt in der Vorbereitung von Kündigungen und anschließender Prozessführung. Zudem berät er Mandanten in der Gestaltung von Anstellungs-, Aufhebungs- und Abwicklungsverträgen sowie zu Fragen des Betriebsverfassungsrechts. Jakob F. Krüger ist ein aktives Mitglied der International Practice Group für Data Privacy bei Ius Laboris, dem Zusammenschluss der international führenden Arbeitsrechtskanzleien, und berät häufig an der Schnittstelle zwischen Arbeitsrecht und Datenschutz, z.B. bei der Einführung von IT-Systemen. Aufgrund dieser Expertise ist er Mitglied der Fokusgruppe „Digitalisierung von Unternehmen“. Ferner unterstützt er die Entwicklung von Legal Tech Anwendungen als Mitglied des Innovation Teams.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Schadensersatz nach der DSGVO – wer beweist was?

Schadensersatzforderungen des Arbeitnehmers wegen eines angeblichen Datenschutzverstoßes des Arbeitgebers sind ein beliebtes Instrument, um im Arbeitsgerichtsprozess Druck auf den Arbeitgeber auszuüben. Häufig wird jedoch übersehen, dass der Arbeitnehmer nicht nur den Datenschutzverstoß darlegen, sondern auch beweisen muss, hierdurch einen konkreten Schaden erlitten zu haben. Demgegenüber muss der Arbeitgeber beweisen, dass ihn kein Verschulden trifft, um der Schadensersatzforderung entgegenzutreten. Nach allgemeinen prozessualen Grundsätzen obliegt es demjenigen,…
Individualarbeitsrecht Neueste Beiträge

Wenn Arbeitgeber Bewerber googeln: Informationspflicht und Datenschutz im digitalen Zeitalter

Internetrecherchen spielen für Arbeitgeber im Bewerbungsprozess eine immer größere Rolle. Im digitalen Zeitalter gibt es eine hohe Diversität an Informationen über Personen im Netz. Dadurch kann das Internet Informationen über Bewerber bieten, die über die in den eingereichten Bewerbungsunterlagen hinausgehen. Arbeitgeber müssen allerdings einiges beachten, wenn sie die Namen von Bewerbern in eine Suchmaschine eingeben und dadurch erlangte Informationen im Auswahlverfahren verwerten möchten. Arbeitgeber müssen bei…
Compliance Neueste Beiträge Whistleblowing Whistleblowing & Investigations

Datenschutz vs. Hinweisgeberschutz: Wo endet der Identitätsschutz?

Das Hinweisgeberschutzgesetz („HinSchG“) hat in vielen Unternehmen ein stärkeres Bewusstsein für interne Meldesysteme und den Schutz von Hinweisgebern geschaffen. Während die Einführung von Hinweisgebersystemen zur Aufdeckung von Missständen und zur Förderung einer transparenten Unternehmenskultur beiträgt, bringt sie auch komplexe datenschutzrechtliche Herausforderungen mit sich. Wir zeigen, was es zu beachten gilt. Personen, die mit der Bearbeitung von eingehenden Meldungen beauftragt sind, sog. Meldestellenbeauftragte, müssen sicherstellen, dass…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert