Die comdirect Bank und der Reinigungskräfte-Vermittler Helpling sind nur die jüngsten Beispiele für Unternehmen, die Daten ihrer Kunden nicht ausreichend schützen konnten. Immer wieder kommt es zu Datenschutzpannen, teils aufgrund interner Fehler der Unternehmen, teils durch kriminelle Attacken von Hackern. Was ist zu tun, wenn Kundendaten ungewollt Dritten bekannt werden?

Symbolbild: Mann sitzt auf einer Mauer

Zunächst einmal sollte das betroffene Unternehmen sicherstellen, dass keine weiteren Daten an Dritte abfließen können. Dazu sind vor allem technische Sicherungen vorzunehmen. Darüber hinaus verlangt das Bundesdatenschutzgesetz, dass Unternehmen die zuständige Datenschutzbehörde und die betroffenen Kunden informieren.

Art des Datenverlusts

Dies gilt aber nicht bei jeder Datenschutzpanne, sondern nur, wenn bestimmte Daten betroffen sind. Dies sind

  • besonders sensible Daten wie Gesundheitsdaten,
  • Daten, die einem Berufsgeheimnis unterliegen, wie beispielsweise Mandantendaten von Rechtsanwälten oder Steuerberatern,
  • Daten, die Angaben zu Straftaten enthalten,
  • Daten über Bank- oder Kreditkartenkonten,
  • Bestands- und Verkehrsdaten im Sinne des TKG sowie
  • Bestands- und Nutzungsdaten im Sinne des TMG

Die Pflicht, die Datenschutzbehörde und die Betroffenen zu informieren, besteht unabhängig davon, ob das Unternehmen es zu verschulden hat, dass die Daten Dritten bekannt wurden. Es muss dem Unternehmen lediglich bekannt werden, dass die Daten Dritten zugänglich waren oder sind. Unternehmen sollten deshalb Leitlinien für ihre Mitarbeiter für derartige Fälle parat haben. Ein gutes Präventionsmanagement kann ferner die Gefahr von Datenschutzpannen minimieren.

Benachrichtigung

Die Betroffenen müssen unverzüglich informiert werden. Dabei müssen Unternehmen angeben, welche Maßnahmen Betroffene vornehmen können, um negative Folgen zu verringern. Sollten beispielsweise Zugangsdaten wie Passwörter bekannt werden, empfiehlt es sich, die Kunden zum Ändern der Passwörter aufzufordern. Den Datenschutzbehörden muss mitgeteilt werden, wie das Unternehmen gegen die Datenschutzpanne vorgeht und wie es ähnliche Vorfälle zukünftig verhindern will.

Bußgelder und Schadenersatz

Wenn ein Unternehmen seine Kunden nicht informiert, drohen Bußgelder. Diese sind also nicht an die Datenschutzpanne geknüpft, sondern an die fehlende Benachrichtigung von Kunden oder Datenschutzbehörden. Ferner ist es denkbar, dass Kunden weitere Schäden entstehen, für die das Unternehmen möglicherweise einzustehen hat. Unternehmen sollten deshalb über Datenschutzpannen umgehend und transparent informieren.

Informationspflicht nach der neuen Datenschutzgrundverordnung

Die EU-Datenschutzgrundverordnung, die im Jahr 2018 in Kraft treten wird, enthält keine wesentlichen Änderungen dieser Informationspflichten. Allerdings gibt es zukünftig keine abschließende Aufzählung besonderer Daten mehr, für welche die Informationspflicht gilt, wie es jetzt noch im Bundesdatenschutzgesetz enthalten ist. Es könnte also zu einer Ausweitung der Informationspflicht kommen, da diese auch beim sonstigen Verlust personenbezogener Daten greifen könnte. Ferner muss die Benachrichtigung der Datenschutzbehörde innerhalb von 72 Stunden erfolgen. Die Datenschutzgrundverordnung sieht auch deutlich höhere Bußgelder von bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten (Konzern-)Umsatzes vor. Auch einzelnen Entscheidungsträgern im Unternehmen drohen grundsätzlich erhebliche Geldbußen.

Leistungen der Datenschutzkanzlei

Die Rechtanwälte der Datenschutzkanzlei unterstützen Unternehmen beim Aufbau der Datenschutzorganisation, z.B. als externe Datenschutzbeauftragte. Im Fall von Datenschutzpannen können Sie uns auch kurzfristig ins Boot holen. Wir bewerten den Vorfall und die sich daraus ergebenden Handlungspflichten und übernehmen bei Bedarf die Kommunikation mit Aufsichtsbehörden und Betroffenen. Nehmen Sie gerne Kontakt zu uns auf!

Dr. Malte Kröger