Risiko: Kunden-Beschwerden bei Datenschutz-Verletzung
- von Redaktion datenschutz.immobilien
- •
- 01 Nov., 2018
- •
Online-Meldeformulare bei Aufsichtsbehörden sorgen für Flut
Es wird schon nichts passieren, denkt sich so manche Geschäftsführung eines Unternehmens, wenn es eigentlich zu einem Datenschutz-Verletzungsfall
gekommen ist, der meldepflichtig wäre. Passiert auch wirklich nichts?
Aufsichtsbehörden: Es kommen hunderte Beschwerden - im Monat
Art. 33 DSGVO ist einschlägig, wenn es um die "Verletzung des Schutzes personenbezogener Daten" geht. Jede Verletzung muss innerhalb von 72 Stunden an die Aufsichtsbehörden gemeldet werden. Das ist eine Verpflichtung, die "der Verantwortliche", also die Geschäftsführung eines Unternehmens hat. Unterbleibt die Meldung, ist dies ein Tatbestand, der mit einem Bußgeld belegt ist.
Geschäftsleitung in der Verantwortung
Die DSGVO sieht vor, dass die Meldung vom Verantwortlichen ausgehen muss. Was passiert nun, wenn die Meldung durch das Unternehmen unterbleibt, ein Verbraucher, ein Mitarbeiter oder ehemaliger Mitarbeiter oder ein Dritter, der mit dem Vorgang zunächst nichts zu tun hat, die Daten-Verletzung bei der zuständigen Aufsichtsbehörde meldet?
"Das Risiko einer solchen Meldung ist groß. Das zeigt allein die reine Anzahl von Beschwerden, die bei den Aufsichtsbehörden eingehen", erläutert Rechtsanwalt Sven R. Johns die Mechanismen, die hier greifen können.
"Die Aufsichtsbehörden haben mit den Online-Meldeformularen einen sehr einfachen Zugang für Verbraucher geschaffen, sich bei den zuständigen Behörden zu beschweren. Von dieser Möglichkeit der Meldung machen viele Verbraucher Gebrauch. Das zeigen die Aussagen verschiedener Aufsichtsbehörden, die von "hunderten Meldungen und Beschwerden" im Monat sprechen", erklärt er weiter.
Wie reagieren Unternehmen richtig?
"Kunden, Verbraucher, jede Person, die eigene Daten weitergibt, finden Datenschutz klasse", sagt Johns. "Warum also sollten die ausgerechnet die betroffenen Unternehmen den Datenschutz unterwandern wollen? Gerade angesichts der hohen Bußgelder, die verhängt werden können, ist dies nicht erklärlich.
Unternehmen sollten Verletzungsfälle selbst anzeigen", erläutert der Anwalt weiter. "Bei der Bemessung des Bußgeldes wirken sich diese selbst eingereichten Anzeigen von Daten-Verletzungen sehr positiv aus. Auch das sieht die DSGVO als Erleichterungstatbestand für die Unternehmen vor."
Kein Risiko, keine Meldung
Die erste Entscheidung, die Unternehmen treffen müssen, ist, ob die Verletzung des Schutzes personenbezogener Daten zu einer Gefährdung der Rechte der betroffenen Personen führt. Kein Risiko, keine Meldung, lässt sich diese Abwägung auf den Punkt bringen.
Allerdings muss diese Abwägung auch wirklich erfolgen und dokumentiert werden. "Dies geschieht im Idealfall in Zusammenarbeit mit dem Datenschutzbeauftragten des Unternehmens", erklärt Rechtsanwalt Sven R. Johns zum Zusammenspiel zwischen Geschäftsleitung und Datenschutzbeauftragten.
Mitarbeiter müssen den Verletzungsfall anzeigen
"Die Anzeige eines Daten-Verletzungsfalls beginnt mit der Schulung und Aufklärung der Mitarbeiter und freien Mitarbeiter des Unternehmens. Diese müssen zum einen wissen, wann eine Verletzung des Schutzes von personenbezogenen Daten vorliegt und zum anderen diese Verletzung der Geschäftsleitung auch umgehend anzeigen.
Deshalb sollte die Aufklärung der Mitarbeiter auch eine schriftliche Erklärung umfassen, dass sie über die Rechtsfolgen eines Daten-Verletzungsfalls aufgeklärt sind und eine Meldung an die Geschäftsleitung umgehend vornehmen."
Worst Case: Verbraucher beschwert sich - Unternehmen schweigt
Der schlimmste Fall, der für ein Unternehmen entstehen kann, ist, wenn sich ein Verbraucher über eine Datenschutz-Verletzung zu recht beschwert und das Unternehmen sich nicht bei der Aufsichtsbehörde meldet. Die Aufsichtsbehörden haben für unternehmen ebenfalls Online-Meldeformulare für die Anzeige einer Datenschutzverletzung eingerichtet.
"Die Aufsichtsbehörden sind darauf vorbereitet, dass hunderte solcher Datenverletzungsanzeigen eingehen. Aus verschiedenen Aufsichtsbehörden ist bereits mitgeteilt worden, dass diese Zahl stark zunimmt. Das ist völlig normal, weil eben viele Verletzungen des Schutzes personenbezogener Daten geschehen", erklärt Rechtsanwalt Sven Johns.
Der normale Werdegang ist, dass die Aufsichtsbehörden die Anzeigen prüfen und die Unternehmen zur Stellungnahme auffordern. Gegebenenfalls werden Verbesserungsvorschläge unterbreitet. Erst bei einer hartnäckigen Weigerung der Anpassung von Prozessen im Unternehmen, werden die Aufsichtsbehörden ein Bußgeld verhängen. "Die derzeitige Situation ist so, dass die Behörden sehr dialogorientiert sind", so Johns.
Aufsichtsbehörden: Es kommen hunderte Beschwerden - im Monat
Art. 33 DSGVO ist einschlägig, wenn es um die "Verletzung des Schutzes personenbezogener Daten" geht. Jede Verletzung muss innerhalb von 72 Stunden an die Aufsichtsbehörden gemeldet werden. Das ist eine Verpflichtung, die "der Verantwortliche", also die Geschäftsführung eines Unternehmens hat. Unterbleibt die Meldung, ist dies ein Tatbestand, der mit einem Bußgeld belegt ist.
Geschäftsleitung in der Verantwortung
Die DSGVO sieht vor, dass die Meldung vom Verantwortlichen ausgehen muss. Was passiert nun, wenn die Meldung durch das Unternehmen unterbleibt, ein Verbraucher, ein Mitarbeiter oder ehemaliger Mitarbeiter oder ein Dritter, der mit dem Vorgang zunächst nichts zu tun hat, die Daten-Verletzung bei der zuständigen Aufsichtsbehörde meldet?
"Das Risiko einer solchen Meldung ist groß. Das zeigt allein die reine Anzahl von Beschwerden, die bei den Aufsichtsbehörden eingehen", erläutert Rechtsanwalt Sven R. Johns die Mechanismen, die hier greifen können.
"Die Aufsichtsbehörden haben mit den Online-Meldeformularen einen sehr einfachen Zugang für Verbraucher geschaffen, sich bei den zuständigen Behörden zu beschweren. Von dieser Möglichkeit der Meldung machen viele Verbraucher Gebrauch. Das zeigen die Aussagen verschiedener Aufsichtsbehörden, die von "hunderten Meldungen und Beschwerden" im Monat sprechen", erklärt er weiter.
Wie reagieren Unternehmen richtig?
"Kunden, Verbraucher, jede Person, die eigene Daten weitergibt, finden Datenschutz klasse", sagt Johns. "Warum also sollten die ausgerechnet die betroffenen Unternehmen den Datenschutz unterwandern wollen? Gerade angesichts der hohen Bußgelder, die verhängt werden können, ist dies nicht erklärlich.
Unternehmen sollten Verletzungsfälle selbst anzeigen", erläutert der Anwalt weiter. "Bei der Bemessung des Bußgeldes wirken sich diese selbst eingereichten Anzeigen von Daten-Verletzungen sehr positiv aus. Auch das sieht die DSGVO als Erleichterungstatbestand für die Unternehmen vor."
Kein Risiko, keine Meldung
Die erste Entscheidung, die Unternehmen treffen müssen, ist, ob die Verletzung des Schutzes personenbezogener Daten zu einer Gefährdung der Rechte der betroffenen Personen führt. Kein Risiko, keine Meldung, lässt sich diese Abwägung auf den Punkt bringen.
Allerdings muss diese Abwägung auch wirklich erfolgen und dokumentiert werden. "Dies geschieht im Idealfall in Zusammenarbeit mit dem Datenschutzbeauftragten des Unternehmens", erklärt Rechtsanwalt Sven R. Johns zum Zusammenspiel zwischen Geschäftsleitung und Datenschutzbeauftragten.
Mitarbeiter müssen den Verletzungsfall anzeigen
"Die Anzeige eines Daten-Verletzungsfalls beginnt mit der Schulung und Aufklärung der Mitarbeiter und freien Mitarbeiter des Unternehmens. Diese müssen zum einen wissen, wann eine Verletzung des Schutzes von personenbezogenen Daten vorliegt und zum anderen diese Verletzung der Geschäftsleitung auch umgehend anzeigen.
Deshalb sollte die Aufklärung der Mitarbeiter auch eine schriftliche Erklärung umfassen, dass sie über die Rechtsfolgen eines Daten-Verletzungsfalls aufgeklärt sind und eine Meldung an die Geschäftsleitung umgehend vornehmen."
Worst Case: Verbraucher beschwert sich - Unternehmen schweigt
Der schlimmste Fall, der für ein Unternehmen entstehen kann, ist, wenn sich ein Verbraucher über eine Datenschutz-Verletzung zu recht beschwert und das Unternehmen sich nicht bei der Aufsichtsbehörde meldet. Die Aufsichtsbehörden haben für unternehmen ebenfalls Online-Meldeformulare für die Anzeige einer Datenschutzverletzung eingerichtet.
"Die Aufsichtsbehörden sind darauf vorbereitet, dass hunderte solcher Datenverletzungsanzeigen eingehen. Aus verschiedenen Aufsichtsbehörden ist bereits mitgeteilt worden, dass diese Zahl stark zunimmt. Das ist völlig normal, weil eben viele Verletzungen des Schutzes personenbezogener Daten geschehen", erklärt Rechtsanwalt Sven Johns.
Der normale Werdegang ist, dass die Aufsichtsbehörden die Anzeigen prüfen und die Unternehmen zur Stellungnahme auffordern. Gegebenenfalls werden Verbesserungsvorschläge unterbreitet. Erst bei einer hartnäckigen Weigerung der Anpassung von Prozessen im Unternehmen, werden die Aufsichtsbehörden ein Bußgeld verhängen. "Die derzeitige Situation ist so, dass die Behörden sehr dialogorientiert sind", so Johns.
Das Leistungsschutzrecht und mögliche Uploadfilter werden in der neuen EU-Urheberrechtsreform geregelt und es gibt datenschutzrechtliche Bedenken dagegen.
Die Anonymisierung von Daten kann der Löschung entsprechen, wenn kein Personenbezug mehr herstellbar ist und die Maßnahmen zur Anonymisierung vom Verantwortlichen belegt werden.
Das Bundesverfassungsgericht stellt fest, dass der Betreiber eines E-Mail-Dienstes im Fall der richterlichen Anordnung zur Überwachung von E-Mail-Verkehr die Verbindungsdaten auch dann herausgeben muss, wenn diese aus datenschutzrechtlichen Gründen nicht aufgezeichnet werden.
Auf der Mietrechtstagung des EBZ in Bochum hat Rechtsanwalt Sven R. Johns zum Datenschutzrecht den Status Quo bei den Erwartungen der Aufsichtsbehörden an die Immobilien- und Wohnungsnternehmen gegeben.
Die Ergebnisse der Mobilitätsstudie (im Auftrag von Continental) lassen Rückschlüsse für die Immobilienwirtschaft zu.
Die EU-Kommission blickt mit Zufriedenheit auf die Einführung der Europäischen Datenschutzgrundverordnung und stellt fest, dass den Bürgern die Hoheit über ihre Daten zurückgegeben worden ist. Jedenfalls dann, wenn die DSGVO richtig angewendet wird.
Tipps für die Aufgabenliste im Datenschutz und nach der DSGVO für Immobilienfirmen und Verantwortliche im Unternehmen
Wie hoch sind die Bußgelder bei Verstößen gegen die DSGVO? Werden überhaupt Bußgelder verhängt? Ja, wie ein aktueller Beitrag und Umfrage unter Aufsichtsbehörden zeigt
Zum Europäischen Datenschutztag lädt die Datenschutzkonferenz zur Veranstaltung mit Themen des europäischen Datenschutzrechts in Berlin ein.