Datenschutzrecht Deutschland

Datenschutzrecht Deutschland – Die Rechtsanwälte unserer Kanzlei bieten Ihnen Beratung und kompetente Unterstützung im Bereich Datenschutzrecht.

Inhaltsverzeichnis

1. Datenschutzrecht Deutschland: Grundlagen DSGVO
2. Datenschutzrecht – Grundsätze
3. DSGVO im Überblick
4. Datenschutzrecht in Unternehmen
5. Corona-Virus & Datenschutzrecht – Richtlinien für das Homeoffice
6. Datenschutzrecht: Verarbeitung von Gesundheitsdaten
7. Fiebermessung und ähnliche Daten
8. Einschränkung Namensnennung
9. Auftragsdatenverarbeitung
10. Informationspflicht Datenschutzrecht
11. Speicherdauer
12. Datenschutzrecht – eigene Absicherung & Fazit
13. Rechtsberatung

Datenschutzrecht Deutschland – Grundlagen der DSGVO

Die Rahmenbedingungen im Datenschutzrecht unterliegen einem raschen Wandel. Für viele Unternehmen gehört die digitale Welt zum alltäglichen Geschäft. Daher sollten mögliche Risiken durch den falschen Umgang mit Daten von Anfang an vermieden werden. Umso mehr gilt dies seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) zum 25. Mai 2018.

Das Datenschutzrecht wird aus dem Recht auf informationelle Selbstbestimmung hergeleitet. Aus diesem ergibt sich, dass jeder grundsätzlich selbst entscheiden kann, wie mit seinen personenbezogenen Daten umgegangen werden soll. Dieser Begriff der „personenbezogenen Daten“ spielt im Datenschutzrecht eine zentrale Rolle.

Denn nur dann, wenn Daten einen Bezug zu einem Menschen aufweisen, kommt das Datenschutzrecht zur Anwendung. Zu den personenbezogenen Daten gehören demnach unter anderem Name, Geburtstag, Adresse, Bankverbindung, E-Mail-Adresse und die IP-Adresse.

Gesetzliche Grundlagen des Datenschutzrechts

Gesetzliche Grundlage ist die seit dem 25. Mai 2018 geltende Datenschutzgrundverordnung. Diese wird durch das BDSG (Bundesdatenschutzgesetz) auf nationaler Ebene ergänzt.

Soweit die DSGVO Regelungen trifft, sind diese abschließend. Nur bei sogenannten Öffnungsklauseln besteht für den nationalen Gesetzgeber Spielraum für eigene Regelungen. Von diesen hat der deutsche Gesetzgeber Gebrauch gemacht.

Durch die DSGVO wurde das BDSG a.F. abgelöst. Für Unternehmen jeglicher Größe gilt es daher seit dem 25. Mai 2018, bisherige Datenschutzprozesse kritisch zu überprüfen und anzupassen. Bei Verstößen drohen empfindliche Bußgelder in Höhe von bis zu 4% des weltweit erzielten Jahresumsatzes.

Um Haftungsrisiken zu minimieren empfiehlt sich die Hinzuziehung eines Rechtsanwaltes.

Die wichtigsten Grundsätze im Datenschutzrecht

Zu den wichtigsten Grundsätzen des Datenschutzrechts gehören:

• Verbot mit Erlaubnisvorbehalt: Danach darf der Umgang mit Daten nur erfolgen, wenn es hierfür eine gesetzliche Grundlage gibt oder der Betroffene zugestimmt hat.
• Rechtmäßige Verarbeitung nach Treu und Glauben, Transparenz; Die Daten müssen auf rechtmäßiger Weise, nach dem Grundsatz von Treu und Glauben und in eine für die betroffene Person nachvollziehbare Weise verarbeitet werden.
• Zweckbindung: Die für einen bestimmten Zweck erhobenen bzw. gespeicherten Daten dürfen auch nur für diesen Zweck verwendet werden.
• Datenminimierung: Nach dem Grundsatz der Datenminimierung müssen die personenbezogenen Daten dem Zweck angemessen und für diesen erheblich sein. Die Daten sind auf das für den Zweck der Verarbeitung notwendige Maß zu beschränken.
• Speicherbegrenzung: Sobald der verfolgte Zweck erreicht ist, müssen die Daten gelöscht werden.
• Richtigkeit der Daten: Die Daten müssen sachlich richtig und auf dem neuesten Stand sein.
• Integrität und Vertraulichkeit: Danach müssen durch geeignete technische und organisatorischen Maßnahmen die personenbezogenen Daten in einer Weise verarbeitet werden, welche die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie bearbeitet werden, erforderlich ist.
• Rechenschaftspflicht: Der im datenschutzrechtlichen Sinne Verantwortliche muss die Einhaltung der oben genannten Grundsätze nachweisen können.

Durch den stetigen Wandel der Datenschutzanforderungen empfiehlt es sich, anwaltlichen Rat einzuholen.

Datenschutzverordnung (DSGVO) in Kraft

Aufgrund zahlreicher nationaler Gesetze in den EU-Mitgliedsstaaten sollte durch die DSGVO ein einheitlicher Rechtsrahmen zum Schutz personenbezogener Daten geschaffen werden. Im Gegensatz zu einer Richtlinie entfaltet einer Verordnung, so auch die DSGVO, unmittelbare Wirkung in den Mitgliedsstaaten der Europäischen Union.

Um den Mitgliedsstaaten einen gewissen Spielraum zu bieten, hat die Verordnung einige Detailfragen offen gelassen. Der deutsche Gesetzgeber hat von diesen „Öffnungsklauseln“ Gebrauch gemacht und diese in die neue Fassung des Bundesdatenschutzgesetzes implementiert, das auch am 25. Mai 2018 in Kraft trat. Aufgrund der vielen neuen Pflichten besteht insbesondere für Unternehmen Handlungsbedarf.

Warum sich Unternehmen um Datenschutzrecht kümmern sollten

Es gibt wirtschaftliche Gründe für Unternehmen sich um Datenschutz zu kümmern. Fehler im datenschutzrechtlichen Bereich können den Ruf eines Unternehmens in der Öffentlichkeit schädigen und auch etwaige Schadensersatzansprüche nach sich ziehen.

Des Weiteren drohen bei falschem Umgang mit Daten Bußgelder bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes eines Unternehmens. Unsere Anwälte beraten Sie zu allen Fragen des Datenschutzrechts. Unter anderem unterstützen wir Sie:

• beim Schutz vor einstweiligen Verfügungen und Abmahnungen
• beim richtigen Umgang mit Mitarbeiter- und anderen im Personalwesen anfallenden Daten
• für das Erstellen von Datenschutzerklärungen
• bei rechtssicherer Auftragsverarbeitung

Von Unternehmen zu beachtende relevante Neuerungen im Vergleich zum BDSG a.F.

1. Erweiterung des Anwendungsbereichs

   Gemäß Art. 3 DSGVO gilt das Marktortprinzip. Danach kann die DSGVO auch auf außerhalb der EU ansässige Unternehmen Anwendung finden. Diese territoriale Erweiterung der DSGVO zählt zu den zentralen Neuerungen im europäischen Datenschutzrecht.

2. Erweiterung der Informationspflichten

   Eine erhebliche Erweiterung haben nach Art. 14 und 15 DSVGO die Informationspflichten der Datenverarbeiter gegenüber den Betroffenen erfahren. Gemäß Art. 15 DSGVO können Betroffene von den Verantwortlichen Auskunft darüber verlangen, zu welchen Zwecken personenbezogene Daten verarbeitet werden.

3. „Recht auf Vergessenwerden“

   Art. 17 DSGVO bestimmt das sogenannte „Recht auf Vergessenwerden“. Danach kann der Betroffene vom Verantwortlichen aus bestimmten Gründen verlangen, dass personenbezogene Daten unverzüglich gelöscht werden.

4. Neue Maßgaben für Einwilligung und Umgang mit bereits vor dem 25.Mai. 2018 erteilten Einwilligungen

   Unternehmen müssen zur Verarbeitung personenbezogener Daten die ausdrückliche Zustimmung ihrer Kunden einholen, Art. 7 DSGVO. Dabei muss die Zustimmung freiwillig sein. An der Freiwilligkeit fehlt es dann, wenn die Erfüllung eines Vertrags von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist. Weiter regelt Art. 8 DSGVO, dass die Einwilligung in die Datenverarbeitung personenbezogener Daten erst mit 16 Jahren möglich ist.

   Von der Öffnungsklausel, wonach die Altersgrenze vom Mitgliedsstaat durch Rechtsvorschrift bis auf die Altersgrenze von 13 Jahren gesenkt werden kann, hat der deutsche Gesetzgeber keinen Gebrauch gemacht. Die vor dem 25.Mai 2018 eingeholten Einwilligungen gelten fort, wenn sie den Anforderungen des DSGVO entsprechen. Das ist in der Regel dann der Fall, wenn die Einwilligungen im Einklang mit dem BDSG eingeholt wurden.

5. Unverzügliche Meldepflicht bei Datenpannen

   Das Unternehmen muss bei Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde melden, Art. 33 Abs.1 DSGVO. Die Meldepflicht entfällt aber, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

6. Datenschutzbeauftragter

   Den Datenschutzbeauftragten gibt es gemäß der DSGVO nun EU-weit. Den deutschen Unternehmen ist die Figur des Datenschutzbeauftragten aus dem bisherigen deutschen Recht bekannt.

   Der deutsche Gesetzgeber hat von der Öffnungsklausel Gebrauch gemacht und in § 38 BDSG n.F. geregelt, dass ein Datenschutzbeauftragter zu bestellen ist, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Bestellung eines Datenschutzbeauftragten ist gemäß Art. 37 Abs. 7 DSGVO der Aufsichtsbehörde anzuzeigen und zu veröffentlichen.

7. Datenschutzerklärung

   In Art. 13 DSGVO ist die Pflicht einer Datenschutzerklärung geregelt. Diese dient dazu Transparenz über die Verarbeitung der Daten zu schaffen. Gleichzeitig ist die Datenschutzerklärung auch ein Zeichen für Seriosität im Umgang mit den sensiblen Daten des Nutzers. Die Datenschutzerklärung muss an die neuen Anforderungen, die sich aus Art. 13 DSGVO ergeben, angepasst werden. Die Pflichtinformationen gehen dabei über die Pflichten der früheren Regelungen hinaus. Zu den Neuerungen gehören unter anderem die Nennung der Rechtsgrundlage für die Datenverarbeitung, neue Informationspflichten im Hinblick auf die Rechte der Betroffenen und das in Art. 21 DSGVO eingeführte Widerspruchsrecht des Betroffenen.

8. Verzeichnis von Verarbeitungstätigkeiten

   Art. 30 DSGVO setzt voraus, dass der Verantwortliche bzw. sein Vertreter ein „Verzeichnis der Verarbeitungstätigkeiten“ zu führen hat. Im Vergleich zur bisherigen Rechtslage sind weitere Angaben, wie Kontaktdaten und Name des Datenschutzbeauftragten und Löschfristen, zu machen. Zudem ist das Verzeichnis auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen.

9. Datenschutz-Folgenabschätzung

   Die mit Art. 35 DSGVO eingeführte Datenschutz-Folgenabschätzung entspricht grundsätzlich der Pflicht zur Vorabkontrolle nach dem BDSG.

10. Grundsatz des „One-Stop-Shop“

    Mit dem neu eingeführten sogenannten „One-Stop-Shop“ soll für grenzüberschreitende Datenverarbeitung innerhalb der EU die Aufsichtsbehörde am Sitz der Hauptniederlassung federführend zuständig sein. Für Unternehmen bietet der „One-Stop-Shop“ bei grenzüberschreitender Verarbeitung personenbezogener Daten, den Vorteil, dass sie sich wegen derselben Verarbeitung nicht mit mehreren Aufsichtsbehörden auseinandersetzen müssen.

11. Auftragsverarbeitung

    Die Auftragsverarbeitung ist auch nach dem DSGVO erlaubt. Eine der wichtigsten Neuerungen für den Auftragsverarbeiter ist die Pflicht, ein Verarbeitungsverzeichnis zu erstellen, Art 30 Abs. 2 DSGVO. Auch bei der Haftung von Rechtsverstößen gibt es eine Neuerung. Für Schäden bei der Datenverarbeitung sieht Art. 82 Abs.2 DSGVO eine gemeinsame Haftung des Auftragsverarbeiters und des Auftraggebers vor.

Corona-Virus & Datenschutzrecht, Richtlinien für das Homeoffice

Corona-Virus Datenschutz – Die derzeitige Situation im Umgang mit SARS-COV-2 bzw. dem Corona-Virus wirft neue Fragen im Bereich des Datenschutzes auf und sorgt bei vielen Unternehmern für Unklarheiten.

Maßnahmen wie Kurzarbeit und Homeoffice treten derzeit vermehrt in den Vordergrund.  Daneben besteht für Unternehmen die Gefahr, dass Standorte wegen Corona-Virus-Infektionen von einzelnen Mitarbeitern geschlossen werden müssen.

Hierfür treffen Unternehmen bereits Sicherheitsvorkehrungen wie zum Beispiel eigene Gesundheitstests bei Mitarbeitern um das Risiko einer Quarantäne des Betriebes zu minimieren.

Im folgenden Beitrag möchten wir Sie erneut durch den Dschungel des Datenschutzes führen und Ihnen an die Hand geben, was Sie nun im Bereich des Datenschutzes beachten sollten. Insbesondere weisen wir bereits jetzt darauf hin, dass gerade jetzt in Zeiten des Corona-Virus der Datenschutz beachtet werden muss. Wer hier nun eigensinnig handelt, riskiert hohe Bußgelder.

Eine Vielzahl kleiner und großer Unternehmen ermöglicht den eigenen Mitarbeitern im Homeoffice zu arbeiten.

Wie auch im eigenen Betrieb gilt es hier, die nach der DSGVO geforderten technischen und organisatorischen Maßnahmen zu gewährleisten.

Denn die Arbeit von Zuhause bringt insbesondere in Bezug auf technische und organisatorische Maßnahmen Risiken für die Vertraulichkeit, Integrität und ggf. auch Verfügbarkeit von personenbezogenen Daten mit sich, die bestmöglich auszuschließen bzw. zu minimieren sind.

Hierzu sollten Sie Richtlinien für die Heimarbeit und den damit verbundenen Datenschutz erstellen, die jedem Mitarbeiter zur Verfügung zu stellen sind.

Diese Richtlinien sollten folgende grundlegenden Leitlinien vorgeben:

• Grundsätze über den Umgang mit personenbezogenen Daten im Rahmen der Heimarbeit
• Grundsätze über die Nutzung der firmeneigenen IT-Systeme
• Regelungen über die Sicherung personenbezogener Daten
• Ausnahmen und Hinweis auf Sanktionen im Fall einer Pflichtverletzung

Datenschutzrecht – Die Verarbeitung von Gesundheitsdaten

Der Umgang mit Informationen über die Gesundheit (Gesundheitsdaten) von Mitarbeitern, insbesondere der Umgang mit solchen Informationen wirft für viele Unternehmen in Zeiten von Corona-Virus nunmehr neue Fragen auf.

• Sind Maßnahmen wie z.B. die Messung von Fieber, die Abfrage von Erkrankungen bzw. Symptomen mittels Fragebogen im Zusammenhang bzgl. Corona-Virus mit dem Datenschutz vereinbar?
• Können Sie Mitarbeiter über die Erkrankung von Kolleginnen und Kollegen unterrichten?
• Wie verhält es sich mit entsprechenden Daten von Besuchern oder Gästen?

Dem Grunde nach ist eine Verarbeitung von Gesundheitsdaten nur eingeschränkt möglich. Zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern können Sie jedoch für folgende Maßnahmen Daten datenschutzkonform erheben, speichern und verwenden.

Im Rahmen von Maßnahmen, die dazu dienen Informationen über die Feststellungen von Infektionen zu treffen. So können Sie zum Beispiel festhalten, welche Mitarbeiter in Ihrem Hause erkrankt sind und entsprechend reagieren.

Auch können Sie solche Informationen verarbeiten um einen möglichen Kontakt zu infizierten Personen festzustellen. Beispielsweise wenn sich in einer Abteilung eine Person infiziert hat und es in dieser Zeitspanne ein Meeting mit anderen Personen der Abteilung gegeben hatte.

Weiter können Sie für Maßnahmen solche Informationen verarbeiten, in denen Ihnen mitgeteilt wurde, dass eine Person sich im relevanten Zeitraum in einem durch das Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet aufgehalten hat.

Insbesondere für Hotelbetreiber ist anzumerken, dass die Verarbeitung von Gesundheitsdaten von Gästen datenschutzkonform verwendet werden können um festzustellen ob

• Gäste selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
• Gäste sich im relevanten Zeitraum in einem vom Robert-Koch.Institut (RKI) als Risikogebiet eingestuften Gebiet  aufgehalten haben.

Datenschutzrecht: Fiebermessung und ähnliche Maßnahmen zur Bekämpfung von Corona

Das Messen von Fieber am Eingang von Betriebsgeländen oder die Erhebung von Daten mittels Selbstauskunft oder zur Verfügung gestellten Fragebögen kann nach oben genannten Kriterien zulässig sein.

Dabei sind insbesondere die Vorgaben des § 26 Abs. 3 BDSG (neu) zu beachten. Danach ist eine Verarbeitung von Gesundheitsdaten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn Sie zur Ausübung von Rechten oder zu Erfüllung von Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Hier besteht für Arbeitgeber eine Fürsorgepflicht den Gesundheitsschutz der Gesamtheit ihrer Beschäftigten sicherzustellen. Solche oder ähnliche Maßnahmen sollten jedoch freiwillig sein. Allein aus einer überhöhten Temperatur lässt sich nämlich nicht schließen, dass auch ein Fall von Corona vorliegt.

Achtung: Einschränkung der „Namensnennung“

Neben den oben genannten Möglichkeiten der Verarbeitung von Gesundheitsdaten ist im Datenschutz grundsätzlich darauf zu achten, dass eine Offenlegung der Identität über infizierte Personen nur in Ausnahmefällen rechtmäßig ist.

Grundsätzlich reicht es aus, dass Sie Ihre Mitarbeiter, Besucher oder Gäste darüber in Kenntnis setzen, dass bestätigte Fälle vorliegen um so den Zweck der Eindämmung, Übertragung bzw. Ansteckungsgefahr von Corona zu erreichen.

Datenschutzrecht – Auftragsdatenverarbeitung

Lassen Sie die entsprechenden Maßnahmen durch Dritte durchführen, so befinden Sie sich schnell in einer Auftragsdatenverarbeitung und damit bereits in der nächsten Kontrollpflicht.

Hier ist insbesondere durch Sie als Verantwortlicher darauf zu achten, dass auch der Auftragsdatenverarbeiter die hinreichenden Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen vorliegen und die Verarbeitung somit im Einklang mit der Datenschutzgrundverordnung erfol

Informationspflicht Datenschutzrecht

Soweit personenbezogene Daten erhoben und verarbeitet werden, sind die entsprechenden betroffenen Personen hierüber zu informieren. Solche Informationspflichten kennen Sie zumeist schon aus Ihren Datenschutzerklärungen.

Speicherdauer

Das Thema Corona-Virus und Datenschutz verfolgt grundsätzlich einen gemeinsamen Zweck, nämlich die Eindämmung der nun herrschenden Pandemie. Sobald dieser Zweck weggefallen ist, sind auch die personenbezogenen Gesundheitsdaten zu löschen.

Was ist ein Data Breach?

In der heutigen digitalen Welt sind Datenpannen (Data Breaches) leider keine Seltenheit mehr. Unternehmen und Verbraucher müssen sich gleichermaßen über die rechtlichen Folgen im Klaren sein und geeignete Schutzmaßnahmen ergreifen, um sich vor den negativen Auswirkungen solcher Vorfälle zu schützen.

Ein Data Breach (Datenpanne) ist ein Sicherheitsvorfall, bei dem unbefugte Personen Zugang zu sensiblen, geschützten oder vertraulichen Daten erhalten. Dies kann die Offenlegung persönlicher Informationen wie Namen, E-Mail-Adressen, Telefonnummern, Sozialversicherungsnummern, finanziellen Informationen, Benutzerkonten, Passwörtern und anderen sensiblen Daten umfassen.

Datenpannen können sowohl Unternehmen als auch Verbraucher betreffen und erhebliche rechtliche, finanzielle und reputationsbezogene Folgen haben.

Rechtliche Folgen von Datenpannen

Die rechtlichen Folgen von Datenpannen hängen von verschiedenen Faktoren ab, wie zum Beispiel der Art der betroffenen Daten, dem Umfang der Pannen, den betroffenen Personen und der Gerichtsbarkeit, in der das Unternehmen tätig ist. Im Folgenden werden einige der typischen rechtlichen Folgen von Datenpannen aufgeführt.

Verstoß gegen Datenschutzgesetze

Unternehmen, die personenbezogene Daten verarbeiten, müssen sich an verschiedene Datenschutzgesetze und -vorschriften halten. Ein Verstoß gegen diese Gesetze kann zu erheblichen Bußgeldern, Strafen und zivilrechtlichen Klagen führen. Einige der wichtigsten Datenschutzgesetze sind:

• Datenschutz-Grundverordnung (DSGVO): Die DSGVO ist eine EU-Verordnung, die den Datenschutz für alle Einzelpersonen innerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) regelt. Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen sich an die DSGVO halten, unabhängig von ihrem Standort. Bei Verstößen gegen die DSGVO können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist.
• Bundesdatenschutzgesetz (BDSG): In Deutschland regelt das Bundesdatenschutzgesetz den Umgang mit personenbezogenen Daten durch Unternehmen und öffentliche Stellen. Verstöße gegen das BDSG können mit Geldbußen von bis zu 300.000 Euro geahndet werden.
• California Consumer Privacy Act (CCPA): Der CCPA ist ein US-amerikanisches Datenschutzgesetz, das den Schutz personenbezogener Daten von Verbrauchern in Kalifornien regelt. Unternehmen, die personenbezogene Daten von kalifornischen Verbrauchern verarbeiten, müssen sich an den CCPA halten. Verstöße gegen den CCPA können zu Strafen von bis zu 7.500 US-Dollar pro Verstoß führen.

Zivilrechtliche Haftung

Unternehmen, die von einer Datenpanne betroffen sind, können zivilrechtlich haftbar gemacht werden, wenn sie fahrlässig oder vorsätzlich gegen ihre Sorgfaltspflichten verstoßen. Betroffene Personen können Schadensersatzansprüche geltend machen, wenn sie nachweisen können, dass das Unternehmen seine Pflichten vernachlässigt hat und dadurch Schäden entstanden sind. Beispiele für solche Schäden können finanzielle Verluste, Identitätsdiebstahl, Rufschädigung oder emotionaler Stress sein.

Strafrechtliche Verfolgung

In einigen Fällen kann eine Datenpanne auch zu strafrechtlichen Ermittlungen und Verfolgungen führen, insbesondere wenn das Unternehmen vorsätzlich gegen Datenschutzgesetze verstoßen hat oder wenn die Panne aufgrund krimineller Aktivitäten wie Hacking, Insiderhandel oder Industriespionage verursacht wurde.

Aktuelle Gerichtsurteile zu Datenpannen

In den letzten Jahren gab es eine Reihe von bedeutenden Gerichtsurteilen zu Datenpannen, die die rechtlichen Folgen für Unternehmen verdeutlichen. Einige Beispiele sind:

• British Airways: Im Jahr 2020 wurde British Airways von der britischen Datenschutzbehörde ICO mit einer Geldstrafe von 20 Millionen Pfund (ca. 22 Millionen Euro) belegt. Grund dafür war eine Datenpanne im Jahr 2018, bei der die persönlichen Daten von rund 400.000 Kunden kompromittiert wurden. Die ICO stellte fest, dass British Airways gegen die DSGVO verstoßen hatte, weil das Unternehmen unzureichende Sicherheitsmaßnahmen zum Schutz der Kundendaten getroffen hatte.
• Equifax: Im Jahr 2017 war das US-amerikanische Kreditbüro Equifax von einer großen Datenpanne betroffen, bei der die sensiblen Daten von etwa 147 Millionen Menschen kompromittiert wurden. Im Jahr 2019 einigte sich Equifax mit der US-amerikanischen Federal Trade Commission (FTC) auf eine Entschädigungszahlung von bis zu 700 Millionen US-Dollar für die Betroffenen.
• Yahoo: Im Jahr 2016 wurde bekannt, dass der Internetkonzern Yahoo zwischen 2013 und 2014 von mehreren Datenpannen betroffen war, bei denen die Daten von rund 3 Milliarden Benutzerkonten gestohlen wurden. Im Jahr 2018 einigte sich Yahoo auf eine Entschädigungszahlung von 50 Millionen US-Dollar für die betroffenen Nutzer sowie auf die Übernahme der Kosten für Rechtsanwälte und Kreditüberwachungsdienste.

Schutzmaßnahmen für Unternehmen und Verbraucher

Um die rechtlichen Folgen von Datenpannen zu vermeiden und sich vor den negativen Auswirkungen solcher Vorfälle zu schützen, sollten Unternehmen und Verbraucher geeignete Schutzmaßnahmen ergreifen. Im Folgenden werden einige empfohlene Schutzmaßnahmen für Unternehmen und Verbraucher aufgeführt.

Schutzmaßnahmen für Unternehmen

Datensicherheit: Unternehmen sollten robuste Sicherheitsmaßnahmen implementieren, um ihre Daten und Systeme vor unbefugtem Zugriff und Datenpannen zu schützen. Dazu gehören unter anderem die Verschlüsselung von Daten, die Verwendung von Firewalls, regelmäßige Sicherheitsupdates, starke Passwörter und Multi-Faktor-Authentifizierung.

Datenschutzrichtlinien und -verfahren: Unternehmen sollten klare Datenschutzrichtlinien und -verfahren einführen, um sicherzustellen, dass alle Mitarbeiter die gesetzlichen Anforderungen und Best Practices für den Umgang mit personenbezogenen Daten kennen und befolgen. Dazu gehören Schulungen, regelmäßige Überprüfungen und Aktualisierungen der Richtlinien sowie die Benennung eines Datenschutzbeauftragten, der für die Einhaltung der Datenschutzvorschriften verantwortlich ist.

Risikobewertung und -management: Unternehmen sollten regelmäßig Risikobewertungen durchführen, um potenzielle Schwachstellen und Bedrohungen für ihre Daten und Systeme zu identifizieren. Auf der Grundlage dieser Bewertungen sollten sie geeignete Risikomanagementstrategien entwickeln und umsetzen, um die identifizierten Risiken zu minimieren.

Notfallplanung und Reaktion auf Datenpannen: Unternehmen sollten einen Notfallplan für den Fall einer Datenpanne entwickeln, der die Schritte und Verantwortlichkeiten zur Identifizierung, Eindämmung und Behebung der Panne sowie die Benachrichtigung der betroffenen Personen und der zuständigen Behörden umfasst. Eine schnelle und effektive Reaktion auf Datenpannen kann helfen, die rechtlichen Folgen und den Schaden für das Unternehmen und die betroffenen Personen zu minimieren.

Versicherungsschutz: Unternehmen sollten prüfen, ob sie eine Cyber-Versicherung abschließen sollten, um sich gegen die finanziellen Folgen von Datenpannen und anderen Cyber-Risiken abzusichern. Eine solche Versicherung kann helfen, die Kosten für die Behebung von Datenpannen, die Entschädigung der betroffenen Personen und die Verteidigung gegen rechtliche Ansprüche zu decken.

Schutzmaßnahmen für Verbraucher

• Überwachung persönlicher Informationen: Verbraucher sollten ihre persönlichen Informationen, wie z.B. Kreditberichte und Bankkonten, regelmäßig überwachen, um verdächtige Aktivitäten oder Anzeichen von Identitätsdiebstahl frühzeitig zu erkennen.
• Sichere Passwörter und Multi-Faktor-Authentifizierung: Verbraucher sollten starke, einzigartige Passwörter für ihre Online-Konten verwenden und, wenn möglich, Multi-Faktor-Authentifizierung aktivieren, um den Schutz ihrer persönlichen Daten zu erhöhen.
• Vorsicht bei Phishing-Angriffen: Verbraucher sollten wachsam sein, um Phishing-Angriffe zu erkennen und nicht auf verdächtige Links oder Anhänge in E-Mails oder Nachrichten klicken, die zu Datenpannen führen können.
• Software-Updates und Sicherheitssoftware: Verbraucher sollten ihre Geräte regelmäßig aktualisieren und Sicherheitssoftware wie Antivirenprogramme und Firewalls verwenden, um ihre persönlichen Daten vor Cyberangriffen zu schützen.
• Wachsamkeit bei der Weitergabe persönlicher Informationen: Verbraucher sollten vorsichtig sein, wenn sie persönliche Informationen online oder telefonisch weitergeben, und sicherstellen, dass sie nur vertrauenswürdigen Organisationen und Personen ihre Daten anvertrauen.

Häufig gestellte Fragen (FAQs) zum Thema Data Breach

Was muss ein Unternehmen tun, wenn es von einer Datenpanne betroffen ist?

Im Falle einer Datenpanne sollte ein Unternehmen sofort Maßnahmen ergreifen, um die Panne einzudämmen und zu beheben. Dazu gehört unter anderem die Identifizierung der betroffenen Systeme und Daten, die Analyse der Ursache der Panne, die Beseitigung der Sicherheitslücken und die Wiederherstellung der betroffenen Daten und Systeme, wenn möglich. Darüber hinaus sollte das Unternehmen die betroffenen Personen und die zuständigen Behörden benachrichtigen, wenn dies gesetzlich vorgeschrieben ist, und gegebenenfalls Maßnahmen zur Unterstützung der Betroffenen ergreifen, wie z.B. die Bereitstellung von Kreditüberwachungsdiensten oder Entschädigungen.

Wie kann ein Unternehmen feststellen, ob es von einer Datenpanne betroffen ist?

Die Erkennung einer Datenpanne kann eine Herausforderung sein, da Cyberangriffe und Sicherheitsverletzungen oft schwer zu identifizieren sind. Unternehmen sollten regelmäßige Sicherheitsüberprüfungen, Netzwerküberwachung und Risikobewertungen durchführen, um Anzeichen von Datenpannen oder verdächtigen Aktivitäten frühzeitig zu erkennen. Darüber hinaus können Unternehmen Sicherheitsinformationen und -warnungen von Branchenverbänden, Behörden und Sicherheitsforschern nutzen, um über bekannte Bedrohungen und Angriffsmuster informiert zu bleiben.

Wie lange dauert es, bis die Folgen einer Datenpanne behoben sind?

Die Dauer der Behebung einer Datenpanne kann von Fall zu Fall variieren, abhängig von der Art und dem Umfang der Panne, den betroffenen Daten und Systemen, den verfügbaren Ressourcen und der Reaktion des Unternehmens auf den Vorfall. In einigen Fällen kann die Behebung einer Datenpanne innerhalb von Stunden oder Tagen erfolgen, während in anderen Fällen die Behebung mehrere Wochen oder Monate dauern kann. Unternehmen sollten einen Notfallplan für den Fall einer Datenpanne haben, um eine schnelle und effektive Reaktion auf solche Vorfälle sicherzustellen.

Welche rechtlichen Verpflichtungen hat ein Verbraucher im Falle einer Datenpanne?

Im Falle einer Datenpanne sind Verbraucher in der Regel nicht direkt rechtlich verpflichtet, Maßnahmen zu ergreifen. Allerdings sollten Verbraucher darauf achten, ihre persönlichen Informationen und Konten zu überwachen und gegebenenfalls Schutzmaßnahmen wie Passwortänderungen oder die Aktivierung von Multi-Faktor-Authentifizierung zu ergreifen, um sich vor den potenziellen negativen Auswirkungen der Datenpanne zu schützen.

Können Verbraucher Schadenersatz verlangen, wenn ihre persönlichen Daten durch eine Datenpanne kompromittiert wurden?

In einigen Fällen können Verbraucher Schadenersatzansprüche geltend machen, wenn ihre persönlichen Daten durch eine Datenpanne kompromittiert wurden und sie nachweisen können, dass das betroffene Unternehmen fahrlässig oder vorsätzlich gegen seine Sorgfaltspflichten verstoßen hat. Die Höhe des Schadenersatzes hängt von verschiedenen Faktoren ab, wie zum Beispiel der Art und dem Umfang der erlittenen Schäden, den gesetzlichen Bestimmungen und der Gerichtsbarkeit, in der der Fall verhandelt wird.

Data Breach: Vorbeugen und beheben

Die rechtlichen Folgen von Datenpannen können für Unternehmen und Verbraucher erheblich sein. Daher ist es wichtig, sich über die geltenden Gesetze und Vorschriften sowie über bewährte Verfahren für den Schutz persönlicher Daten zu informieren. Durch die Implementierung geeigneter Schutzmaßnahmen und die Beachtung der gesetzlichen Anforderungen können Unternehmen und Verbraucher das Risiko von Datenpannen reduzieren und sich besser vor den negativen Auswirkungen solcher Vorfälle schützen.

Datenschutzrecht – Eigene Absicherung & Fazit

Das Thema Corona und das Datenschutzrecht beschäftigt derzeit Unternehmen, Einzelunternehmer, Vereine, Verbände, Rechtsanwälte und insbesondere auch Behörden.

Derzeit herrscht eine rege Diskussion über zulässige Maßnahmen. So ist nunmehr auch angedacht, Handydaten, angelehnt an das südkoreanische Prinzip, verarbeitet werden. Dies natürlich anonymisiert.

Eine klare Rechtslage über einzelne Maßnahmen herrscht jedoch nicht. Viele Fragen sind im Rahmen des Datenschutzrechts und dem doch sehr jungen Gesetz noch ungeklärt. Umso wichtiger ist es, dass Sie hier konform arbeiten und dokumentieren. Der Schutz personenbezogener Daten steht trotz der derzeitigen Lage im Vordergrund.

Die Corona-Pandemie führt schon für einen Großteil zu wirtschaftlichen Einbußen. Riskieren Sie darüber hinaus nicht auch noch empfindliche Bußgelder. Klare datenschutzkonforme technische und organisatorische Maßnahmen sind hier nun die halbe Miete.

Rechtsberatung

Die Anwälte der Kanzlei Herfurtner klären mit Ihnen Ihre Verpflichtungen im Bereich Datenschutz und unterstützen Sie bei der Festlegung und Umsetzung der notwendigen Maßnahmen in Ihrem Unternehmen.

So vermeiden Sie kostspielige Abmahnungen und Bußgelder.

Unsere Rechtsanwälte stehen Ihnen bundesweit und im deutschsprachigen Ausland zur Verfügung.

Pierre Bounin | Rechtsanwalt | Associate

Wolfgang Herfurtner | Rechtsanwalt | Geschäftsführer | Gesellschafter

Arthur Wilms | Rechtsanwalt | Associate

Aktuelle Beiträge aus dem Rechtsgebiet IT-Recht