Merz-Datenschutz
Ihr Experte rund um den Datenschutz im Unternehmen

Datenschutzverletzungen im Unternehmen

Grund- & Merksätze

  • Eine DS-Verletzung liegt vor, wenn personenbezogene Daten verlorengegangen sind bzw. vernichtet, verändert oder unbefugt offengelegt wurden.
  • Jede Datenschutzverletzung muss an die/den DS-Beauftragte/n gemeldet werden. Diese/r entscheidet zusammen mit der/dem Verantwortlichen, was weiter getan werden muss.

Wichtig für Beschäftigte

Arbeitnehmerinnen und Arbeitnehmer

  • haften nur bei vorsätzlichen Datenschutzverstößen.
  • haften bei grober Fahrlässigkeit nur dann in vollem Umfang, wenn sie/er nicht in der wirtschaftlichen Existenz bedroht ist.
  • teilen sich bei normaler Fahrlässigkeit die Haftung mit dem Arbeitgeber
  • haften nicht bei leichter Fahrlässigkeit.

Eine persönliche Haftung von Arbeitnehmerinnen und Arbeitnehmern bleibt die Ausnahme. Und im Fall des Falles wird sich auch die Höhe der Haftung in eher moderatem Rahmen bewegen.

Deshalb: Man muss in aller Regel keine Angst vor der Meldung eine DS-Verletzung haben. Im Gegenteil: Jede Meldung hilft, Fehler in der Zukunft zu vermeiden und dient dem Wohl des Unternehmens.

Wichtig für Arbeitgeber, Geschäftsführer und Vorstände

  • Für DS-Verletzungen können Verantwortliche persönlich haftbar gemacht werden. Die Einhaltung von DS-Vorschriften ist eine der zentralen Aufgaben jeder Geschäftsleitung.
  • Kein Verantwortlicher kann sich auf nicht ausreichendes Wissen berufen oder die Aufgaben delegiert zu haben. Es ist seine Pflicht, sich umfassend über den DS zu informieren bzw. sich beraten zu lassen und die Einhaltung der Regeln laufend zu kontrollieren.
  • Eine sorgfältige, nachweisbare Organisation aller Datenprozesse, z.B. in Form von Schulungen und klaren Arbeitsanweisungen, bietet einen präventiven Schutz gegen Bußgelder und Schadensersatzansprüche.

Haftung von Datenschutzbeauftragten

Der DSB haftet für eigene Fehler. Verletzt er seine Aufgaben, insbesondere seine Überwachungs- und Beratungspflicht, kann er schadensersatzpflichtig werden. Zu berücksichtigen ist dabei immer auch ein Mitverschulden der Geschäftsleitung, wenn etwa Hinweise und Beratungen nicht befolgt werden.

Beispiele für DS-Verletzungen

Die folgende List ist nicht vollständig. Deshalb kann jeder Vorfall, der einem der Beispiele ähnelt, ebenfalls eine DS-Verletzung sein, die gemeldet werden muss. Die Meldung erfolgt immer mit Hilfe der formalisierten Schadensmeldung unverzüglich an den DSB, der den Vorfall bewertet und zusammen mit dem Verantwortlichen über weitere Maßnahmen entscheidet.
Schnelligkeit ist wichtig. Wenn der Vorfall an die Aufsichtsbehörde weitergemeldet werden muss, beträgt die Frist nur 72 Stunden!

  • Durch die Nutzung eines privaten USB-Sticks an einem dienstlichen PC wird eine Schadsoftware aufgespielt wird.
  • Eine Person verschafft sich an einem PC eines Kollegen einen im Berechtigungskonzept des Betriebes nicht vorgesehenen Zugang zu einer Datei und teilt Inhalte einem Dritten mit.
  • Eine Person löscht, überschreibt oder zerstört einen Datenträger.
  • Eine Person zerstört oder entsorgt eine Papierakte mit personenbezogenen Daten.
  • Jemand vergisst das Passwort zu einer Datei und es gibt keine Möglichkeit, den Zugriff wiederherzustellen.
  • Jemand verliert einen Datenträger oder eine Papierakte.
  • Eine Peron, die als einzige Zugriff auf personenbezogene Daten hat, ist länger (z.B. durch Krankheit) nicht erreichbar.
  • Jemand löscht vorsätzlich oder irrtümlich personenbezogenen Daten aus einer Datenbank.
  • Jemand speichert personenbezogene Daten in eine falsche Datei oder Datenbank.
  • Jemand legt Daten in eine falsche Personalakte ab.
  • Ein Brief oder eine E-Mail wird falsch adressiert und Dritte erhalten so Daten von einer betroffenen Person.
  • Eine E-Mail an mehrere Empfänger wird so adressiert, dass Empfänger die anderen Empfänger mitlesen kann. (Adressierung im An- oder CC-Feld statt BCC-Feld)
  • Daten werden nicht ordnungsgemäß entsorgt, z.B. durch Einwurf in eine gewöhnliche Mülltonne.
  • Ein PC/Laptop wird entsorgt, ohne dass die Festplatte sicher gelöscht wird.
  • Daten werden versehentlich veröffentlicht.
  • Ein Laptop, Datenträger oder Smartphone wird gestohlen oder ist nicht mehr auffindbar.
  • Hacker dringen in eine Datenbank ein.
  • Einbrecher stehlen Dokumente.
  • Sensible Daten, z.B. Personalakten, werden nicht sicher verwahrt und werden von Dritten eingesehen.
  • Vertrauliche Inhalte von Personalgesprächen werden für Dritte zugänglich gemacht.
  • Einbruch in einen Serverraum.
  • In einem offenen Büro können „sensible“ Personalgespräche von unbefugten Dritten mitgehört werden.

zurück