Dass das Melden einer Datenpanne – auch Data Breach Notification genannt – unter gewissen Voraussetzungen sehr wichtig ist, kann gar nicht oft genug erwähnt werden. Wieso es außerdem von so großer Bedeutung ist, die dafür vorgeschriebene Frist von 72 Stunden einzuhalten, und was passieren kann, wenn diese versäumt wird, erfahren Sie in diesem Beitrag.

Datenpanne in Polen

Bei einer pädiatrischen Prüfung an der Medizinischen Universität Katowice in Polen hat sich eine Datenpanne ereignet. Die Studierenden wurden während dem Schreiben gefilmt und die Videoaufzeichnungen wurden versehentlich über die Lernplattform der Hochschule öffentlich zugänglich gemacht. Somit konnten nicht nur die Studierenden selbst sowie die Dozenten darauf zugreifen, sondern all jene, die für die Lehrveranstaltung registriert waren. Einige der Betroffenen konnten durch ihre bei der Prüfung vorgelegten Studien-Ausweise identifiziert werden. Insgesamt nahmen an der Prüfung sechs Klassen mit jeweils 26 Personen teil. Die polnische Datenschutzbehörde verhängte eine DSGVO-Strafe von 5.498,- €. Das interessante an dieser Entscheidung ist, dass das Bußgeld nicht aufgrund des Vorfalles an sich verhängt wurde, sondern deshalb, weil die Datenpanne nicht ordnungsgemäß und laut DSGVO-Vorschrift an die Datenschutzbehörde sowie an die Betroffenen gemeldet worden war. Einige der Studierenden erfuhren erst durch ihre Studienkollegen von dem Vorfall.

Diese Entscheidung zeigt deutlich, dass es besonders wichtig ist, die vorgeschriebene Frist einzuhalten. Eine Datenpanne muss innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Datenschutzbehörde gemeldet werden. Einige prominente Fragen, die sich dazu häufig stellen, beantworten wir nun in diesem Beitrag:

Muss jede Datenpanne gemeldet werden?

Nein, eine Datenpanne muss nur dann an die Datenschutzbehörde gemeldet werden, wenn ein Risiko für Gesundheit, Ruf oder Vermögen der betroffenen Person(en) besteht. Aber auch Datenschutzverletzungen, die nicht meldepflichtig sind, müssen unbedingt unternehmensintern dokumentiert werden.

Wer informiert wen? Wer kontaktiert bei einer Datenpanne die Behörde?

Die Person im Unternehmen, die die Datenpanne zuerst bemerkt, sollte sich schnellstmöglich an die für den Datenschutz zuständige Person sowie gegebenenfalls an die Geschäftsführung wenden. Hat das Unternehmen einen Datenschutzbeauftragten, so sollte dieser im ersten Schritt kontaktiert werden. Geschäftsführung und alle für den Datenschutz zuständigen Personen entscheiden gemeinsam über die weiteren Schritte und evaluieren, ob eine Behördenmeldung sowie eine Kontaktaufnahme mit den betroffenen Personen notwendig ist.

Wie ist die Behörde nach einer Datenpanne zu kontaktieren?

Auf der Website der österreichischen Datenschutzbehörde „www.dsb.gv.at“ wird ein Formular zur Verfügung gestellt, das speziell für die Meldung von Datenpannen vorgesehen ist. Dieses wird vom Datenschutzbeauftragten oder, wenn keiner vorhanden ist, vom unternehmensinternen Datenschutzkoordinator ausgefüllt und fristgerecht, also innerhalb von 72 Stunden, abgeschickt.

Welche Informationen beinhaltet eine Behördenmeldung bei einer Datenpanne?

All diese Punkte müssen bei der Behördenmeldung angeführt werden:

• Art der Datenschutzverletzung,
• Betroffene Datenkategorien,
• Anzahl der betroffenen Personen mit den dazugehörigen Datensätzen,
• Eventuelle Folgen der Panne,
• Die Kontaktdaten eines Ansprechpartners, die des Datenschutzbeauftragten oder des Datenschutzkoordinators als auch die Kontaktdaten des Geschäftsführers,
• Beschreibung der betrieblichen Maßnahmen zur Risikoeindämmung und zukünftigen Verhütung eines solchen Vorfalls.

All diese Fragen sind im Formular auf der Webseite der österreichischen Datenschutzbehörde beinhaltet.

Unsere Praxistipps

• Bei einer Datenpanne muss schnellstmöglich die Behörde informiert werden. Setzen Sie sich sofort mit der Behörde in Verbindung und machen Sie eine Meldung.
• Kontaktieren Sie uns, wenn sich in Ihrem Unternehmen ein Datenschutzvorfall ereignet hat oder Sie dies auch nur vermuten. Wir unterstützen Sie bei allen notwendigen Schritten und leiten Sie fristgerecht und sicher durch Ihre Datenpanne.

Sensible Daten und illegale Datenweitergabe sind zwei Begriffe, die sich wohl kaum miteinander vereinbaren lassen. Das muss nun auch die Dating-App Grindr in Norwegen lernen, die einer DSGVO-Strafe von rund 10 Millionen Euro entgegenzusehen hat. Wie genau es zu dieser enorm hohen Summe kommt, erfahren Sie in diesem Beitrag.

Fall Gringr

Die Dating-App Grindr, die sich auf Vermittlung von Dates für nicht-hetero Männer spezialisiert hat, muss in Norwegen einer DSGVO-Strafe von 100 Mio.  norwegischen Kronen – umgerechnet rund 10 Mio. Euro – entgegensehen. Dem Unternehmen wird vorgeworfen, personenbezogene Nutzerdaten wie Standort- und Profildaten ohne jegliche rechtliche Grundlage zu Marketingzwecken an mehrere Drittparteien weitergegeben zu haben. Besonders heikel ist noch zu ergänzen, dass die bloße Tatsache, dass Personen auf Grindr registriert sind, Auskunft über sensible Daten gibt – nämlich über die sexuelle Orientierung der registrierten Männer. Informationen darüber sind besonders schützenswert, was den Verstoß gegen die DSGVO weiters verschärft.

Wie kommt es zu einer so hohen Strafe für Gringr?

Grundsätzlich gibt es zwei Arten, nach denen DSGVO-Bußgelder berechnet werden. Bei „kleineren“ Verstößen liegt der Betrag bei höchstens 10 Mio. Euro oder 2 % des Jahresumsatzes während die Höchststrafe bei den schweren Verstößen bei 20 Mio. Euro oder 4 % des Jahresumsatzes liegt – hierbei wird stets der höhere Betrag herangezogen.

In diesem Fall wurde das höhere Strafmaß gewählt, da es sich um eine ungesetzmäßige Weitergabe sensibler Daten handelte. Bei einem Jahresumsatz des Konzerns von rund 100 Mio. Euro würden die 4 % demnach 4 Mio. Euro betragen. Die Datenschutzbehörde hat sich hierbei auf den Höchstrahmen von bis zu 20 Mio. Euro berufen und die Strafe auf 10 Mio. Euro festgelegt.

Wie Sie also sehen können, erlaubt die DSGVO enorme Strafen aufgrund von Datenschutzverletzungen.

Unsere Praxistipps

• Lassen Sie es nicht darauf ankommen, investieren Sie lieber ein bisschen mehr in Ihren Datenschutz, als umgekehrt ein Vielfaches davon in eine Strafzahlung zu stecken.
• Wir unterstützen Sie gerne bei der Umsetzung und machen Sie datenschutzfit! Sie können uns direkt kontaktieren.