Teure Fallstricke bei Auskunftsersuchen
In diesem Rechtstipp möchten wir Sie auf drei typische Fallstricke hinweisen, die Sie beim Auskunftsersuchen als Shop teuer zu stehen kommen können.
Allgemein bekannt ist wahrscheinlich nur folgendes: Eine Datenpanne bedeutet nichts Gutes. Stellt ein Unternehmen eine solche Datenpanne fest, sollte schnell gehandelt werden.
Doch was ist eine Datenpanne eigentlich genau und wie reagiere ich richtig, wenn es zu einer solchen Datenpanne in meinem Unternehmen kommt? Eine Antwort wird im folgenden Beitrag erläutert.
Gemäß Art. 4 Nr. 12 DSGVO ist eine Datenpanne eine Verletzung des Schutzes personenbezogener Daten
Eine Datenpanne liegt zum Beispiel vor, wenn ein Online-Shop gehackt und Kundendaten gestohlen wurden, Daten durch eine nicht autorisierte Person gelöscht wurden oder ein Bug im Webserver einen Vollzugriff auf Daten ermöglicht.
Die viel wichtigere Frage ist jedoch: Wie habe ich mich nach einer solchen Datenpanne entsprechend den Vorschriften der DSGVO zu verhalten? Die DSGVO schreibt dem verantwortlichen Unternehmen hier gleich zwei Handlungsmaßnahmen vor.
Die Meldepflicht besteht unabhängig davon, ob ein Schaden bereits eingetreten ist oder nicht.
Eine Meldung hat hierbei an die Aufsichtsbehörde zu erfolgen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt; eine Benachrichtigung an die betroffene Person nur, wenn die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.
Demnach hat bei Vorliegen einer Datenpanne, in welcher Form auch immer, eine Risikoeinschätzung zu erfolgen, ob die Gefahr der Verletzung von Grundrechten bzw. Grundfreiheiten möglich erscheint.
Damit sind im Sinne der DSGVO alle Rechte, wie Grundrechte (z.B. Grundrecht auf informationelle Selbstbestimmung) aber auch einfach gesetzlichen Regelungen, die zumindest mittelbar das Datenschutzrecht tangieren (z.B. Abhören von Telefongesprächen, Videoüberwachung), gemeint.
Der Begriff Risiko wird in der DSGVO nicht definiert. Lediglich aus den Erwägungsgründen des Gesetzes ergeben sich Anhaltspunkte, was genau unter dem Risikobegriff zu verstehen ist. Die Datenschutzbehörden der Länder haben den Begriff folgendermaßen definiert:
„Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann.
Es hat zwei Dimensionen: Erstens die Schwere des Schadens und zweitens die
Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten.“
Liegt die Verletzung von personenbezogenen Daten vor, sind für eine Risikobeurteilung insbesondere folgende Fragen zu stellen:
So führt beispielsweise der Verlust von Kreditkartendaten durch ein Serverleck zum Risiko eines Kreditkartenmissbrauchs und ggf. zu einem materiellen Schaden in Form einer unbefugten Kreditkartennutzung.
Die Risikoanalyse obliegt dabei dem für die Datenverarbeitung verantwortlichen Unternehmer.
Sie müssen daher bei einer Datenpanne Rechenschaft ablegen und detailliert darlegen können, ob ein Risiko besteht oder nicht.
Gemäß Art. 33 DSGVO ist der Verantwortliche dazu verpflichtet, die Datenpanne unverzüglich an die zuständige Aufsichtsbehörde zu melden. Für Datenverarbeitungen innerhalb Deutschlands sind dabei die jeweiligen Landesdatenschutzbehörden zuständig (siehe z.B. http://lfdi.typo3web03.rlp.de/de/themenfelder-themen/datenschutzkontrolle-bundlaender/). Die Meldung muss innerhalb von 72 Stunden erfolgen. Maßgeblicher Zeitpunkt für die Bestimmung des Fristbeginns ist die Kenntnis des Verantwortlichen von der Verletzung des Schutzes personenbezogener Daten. Welche Aufsichtsbehörde für Sie zuständig ist, richtet sich danach, in welchem Bundesland Sie ihre Hauptniederlassung haben.
Die Meldung sollte in jedem Fall folgende Informationen enthalten:
In bestimmten Fällen müssen Sie die Datenpanne auch den betroffenen Kunden melden. Wann das so ist, regelt Art.34 DSGVO. Voraussetzung ist, dass die Verletzung voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt. Sie müssen also eine Prognose treffen, ob ein solcher Fall eintreten wird. Hier muss die Benachrichtigung unverzüglich erfolgen und zudem in einer klaren und einfachen Sprache übermittelt werden.
Inhaltlich soll die Benachrichtigung an den Kunden folgenden Mindestinhalt umfassen:
Eine Benachrichtigung an den Kunden ist in den folgenden Fallkonstellationen nicht erforderlich:
In jedem Fall müssen Sie sich an die oben genannten Vorschriften halten, denn ein Verstoß gegen die Meldepflicht kann für den Verantwortlichen einen Ersatzanspruch für materielle und immaterielle Schäden gem. Art. 82 DSGVO begründen. Darüber hinaus kann die Aufsichtsbehörde bei einem Verstoß gegen Art. 34 DSGVO gegen den Verantwortlichen eine Geldbuße verhängen. Bereiten Sie sich daher am besten schon jetzt für den Fall der Fälle vor und beugen Sie mögliche Datenpannen im Unternehmen vor.
Sollte es dennoch zum Eintritt einer Verletzung von personenbezogenen Daten kommen, sollten Sie Maßnahmen ergreifen, die es Ihnen erleichtern, die oben genannten Vorschriften innerhalb der vorgeschriebenen Zeit einzuhalten. So können Sie sich z.B. schon jetzt informieren, wer die für Sie zuständige Aufsichtsbehörde ist.
Über den Autor
Konstantin Schröter ist Master of Laws (LL.M.) und als Legal Consultant bei der Trusted Shops GmbH tätig. Bachelorstudium des Wirtschaftsrechts an der Technischen Universität Dresden sowie Masterstudium an der Technischen Hochschule Köln. Im Rahmen seiner Tätigkeit betreute er den Audit-Prozess DACH und war für die Vorabprüfung kritischer Geschäftsmodelle bezüglich der Einhaltung der Trusted Shops Qualitätskriterien zuständig. Konstantin Schröter betreut die Trusted Shops Abmahnschutzpakete und setzt sich intensiv mit rechtlichen Fragestellungen des E-Commerce auseinander.
02.08.18Teure Fallstricke bei ...
Regulierung von Gatekeepern und ...
Die Top 5 Datenschutz-Bußgelder 2023
In diesem Rechtstipp möchten wir Sie auf drei typische Fallstricke hinweisen, die Sie beim Auskunftsersuchen als Shop teuer zu stehen kommen können.
In diesem Rechtstipp beleuchten wir die wichtigsten Änderungen zum Verpackungsgesetz (VerpackG) 2024 und was diese für Sie bedeuten.