Eine Datenschutzverletzung, ein Datenschutzverstoß oder auch Datenpanne genannt, ist laut DSGVO eine Verletzung des Schutzes personenbezogener Daten. Gem. Art. 4 Nr. 12 DSGVO ist unter „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit zu verstehen, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Personenbezogene Daten gelten als „vernichtet“, wenn ihre Existenz zerstört wurde (z.B. durch unwiderrufliche Löschung). Existieren die Daten noch, befinden sich jedoch nicht mehr im Besitz des Verantwortlichen, handelt es sich um einen „Verlust“ der personenbezogenen Daten (z.B. Diebstahl eines USB-Sticks, auf dem personenbezogene Daten gespeichert waren). Dies ist außerdem der Fall, wenn der Verantwortliche den Zugang zu oder die Kontrolle über die Daten verloren hat (z.B. Hacker haben die Daten verschlüsselt, sodass die Daten zwar noch auf dem Server liegen, aber für den Verantwortlichen nicht abrufbar sind). Ob eine Verletzung des Schutzes personenbezogener Daten vorliegt beurteilt sich stets anhand des Einzelfalls.

Die Obergrenze der Bußgeldhöhe wird zunächst per Gesetz festgelegt. So liegt die Bußgeldhöhe gem. Art. 83 Abs. 4 DSGVO bei Verstößen gegen

• die Pflichten der Verantwortlichen und der Auftragsverbeiter (Art. 8, 11, 25 bis 39, 42 und 43),
• die Pflichten der Zertifizierungs-stelle (Art. 42 und 43) und
• die Pflichten der Überwachungs-stelle (Art. 41 Abs. 4)

bei bis zu 10.000.000 EUR oder im Fall eines Unternehmens bei bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist.

Bei Verstößen gegen

• die Grundsätze der Verarbeitung (Art. 5, 6, 7 und 9 DSGVO),
• die Betroffenenrechte (Art. 12 bis 22 DSGVO),
• die Drittlandsübermittlung (Art. 44 bis 49 DSGVO),
• alle Pflichten gem. den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX der DSGVO erlassen wurden,
• Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde (Art. 58 Abs. 2 DSGVO) oder Nichtgewährung des Zugangs (Art. 58 Abs. 1 DSGVO)

werden Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist. Daraufhin entscheidet die Aufsichtsbehörde nach Einzelfall aufgrund der Größe des Unternehmens, der Schwere der Verletzung, des Risikos für die Betroffenen und der Kooperations-bereitschaft des Verantwortlichen mit der Aufsichtsbehörde, wie hoch letztendlich das individuelle Bußgeld ausfällt.

Auskünfte über aktuelle oder ehemalige Mitarbeiter stellen personenbezogene Daten dar. Personenbezogene Daten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn bspw. eine rechtliche Vorschrift dies eindeutig gestattet oder wenn der Betroffene dem zustimmt. Auch Arbeitnehmer müssen die datenschutzrechtlichen Grundsätze einhalten. Die Zustimmung bzw. im Datenschutz-Jargon unter „Einwilligung“ bekannt, ist nur wirksam, wenn die Einwilligungserklärung klar und eindeutig ist, ausreichend informiert und freiwillig erfolgt, sie jederzeit widerrufen werden kann und die Person in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Besondere Kategorien personenbezogener Daten sind noch strenger geschützt. Also insbesondere die Auskunft, ob und warum der Mitarbeiter krankheitsbedingt ausfällt, ist strengen Anforderungen unterworfen und sollte im Zweifelsfall unterlassen werden.

Alles in allem ist eine Prüfung im Einzelfall erforderlich, ob eine Erlaubnis zur Weitergabe der Informationen durch die DSGVO gegeben ist.

Viele Unternehmen gehen davon aus, dass die Polizei beim Arbeitgeber nur Auskunft über personenbezogene Daten verlangt, wenn dies gerechtfertigt ist und geben daher bereitwillig Auskunft. Die Legitimation der Polizei impliziert jedoch nicht gleich einen Rechtfertigungsgrund des Arbeitgebers für die Herausgabe der Daten. Deshalb sollten personenbezogene Daten nicht ohne vorherige Prüfung, vor allem nicht telefonisch, herausgegeben werden.

Zu prüfen wäre also in erster Linie die Rechtsgrundlage des Arbeitgebers bzw. des ausführenden Mitarbeiters für die Datenweitergabe an die Polizei. Die Herausgabe der Daten stellt eine „Weiterverarbeitung“ dar. Die Weiterverarbeitung muss einen Zweck verfolgen, der mit dem Zweck der Erhebung vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. Stützt sich die Weiterverarbeitung auf eine Einwilligung oder auf eine Rechtsvorschrift zur Verfolgung von Straftaten, kann auf die Prüfung der Zweckkompatibilität verzichtet werden.

Prüfen Sie vor einer Auskunft jedoch eingehend die Behörde, lassen Sie sich das Aktenzeichen und den Zweck der Anfrage, den Tatvorwurf und die Rechtsgrundlage geben und dokumentieren Sie entsprechend Ihren internen Verfahren zu Auskunftserteilung.

ds² profitiert von langjährigen Erfahrungswerten, umfangreichem Wissen in Theorie und Praxis sowie einer guten Zusammenarbeit mit den relevanten Institutionen der Branche. Damit die Kunden von ds² die bestmögliche Beratung bekommen, legen wir großen Wert auf entsprechende Aktualität, Professionalität und Flexibilität. Alle ds²-Berater haben die besten Ausbildungen im Bereich des Datenschutzes absolviert und werden durch regelmäßige Schulungen mit den neusten Entwicklungen und Richtlinien vertraut gemacht. Jeder Berater hat entsprechende Prüfungen abgelegt und kann auf eine umfangreiche Berufserfahrung in Unternehmen und als Datenschutzberater zurückgreifen.

Die ds²-Kunden können sich jedoch nicht allein auf ein umfangreiches Fachwissen verlassen, sondern auch auf einen professionellen, kundenfreundlichen Service. Den Kunden steht jederzeit ein Ansprechpartner, auch vor Ort, zur Verfügung, der mit dem Unternehmen vertraut ist. Neben dem eigentlichen Datenschutzberater wird ein Stellvertreter bereitgestellt, welcher von der Bestandsaufnahme an auch immer ansprechbar ist.

Des Weiteren profitieren die Kunden vom Know-how aller Berater, da zwischen diesen ein ständiger Wissenstransfer auf allen Fachgebieten erfolgt. Bei akuten Problemen bietet ds² die Möglichkeit von Online-Konferenzen, um eine möglichst schnelle Lösung umzusetzen oder auch um den gesamten Prozess wirtschaftlicher zu gestalten.

Zu Ihrer Sicherheit sind sämtliche Tätigkeiten der ds²-Berater durch unsere Beratungshaftpflichtversicherung geschützt.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5421/308950.