Bei Datenschutzverletzungen drohen sowohl gesetzlich normierte als auch vertraglich festgelegte Sanktionen.
9.1 Benachrichtigung betroffener Personen bei Verletzungen des Schutzes personenbezogener Daten
Birgt eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen, müssen diese unverzüglich über den Vorfall benachrichtigt werden.
Die Benachrichtigungspflicht dient dazu, die Betroffenen über Datenschutzverletzungen zu informieren und ihnen die Möglichkeit zu geben, Maßnahmen zum Schutz ihrer Rechte zu ergreifen. Die Benachrichtigung muss unverzüglich und gem. Art. 12 DSGVO in klarer und einfacher Sprache erfolgen, also nicht im rechtlichen Fachjargon.
Ebenso muss sie so übersichtlich sein, dass sich der Inhalt direkt zur Kenntnis nehmen lässt. Die Benachrichtigung darf sich daher nur auf Informationen beziehen, die die Schutzverletzung betreffen, und keine Werbung oder ähnliche sachfremde Bezüge beinhalten.
In der Benachrichtigung müssen folgende Informationen enthalten sein:
- Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten.
- Name und Kontaktdaten der Datenschutzbeauftragten oder einer anderen Anlaufstelle.
- Beschreibung der wahrscheinlichen Folgen der Verletzung.
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung und Abmilderung der Verletzung.
- Wenn eine Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, kann stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme ergriffen werden.
Von der Benachrichtigung kann laut Art. 34 DSGVO abgesehen werden,
- wenn der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung des Schutzes personenbezogener Daten betroffenen Daten angewandt wurden; dies gilt insbesondere für Vorkehrungen wie Verschlüsselungen, durch die die Daten für unbefugte Personen unzugänglich gemacht wurden oder
wenn der Verantwortliche im Nachgang Maßnahmen ergreift, die nach aller Wahrscheinlichkeit sicherstellen, dass das (hohe) Risiko für die Betroffenen nicht mehr besteht.
Hiermit sind Maßnahmen gemeint, die das Risiko nachträglich minimieren, wie
- eine Wiederherstellung gelöschter Daten,
- eine Fernlöschung von verlorenen Speichermedien,
- der Abschluss einer Vertraulichkeitsvereinbarung mit dem Empfänger, der Daten unrechtmäßig erhalten hat oder
- die vollständige Sperrung des Zugangs zu einem Online-Konto nach einem Zugriff von unberechtigten Personen).
9.2 Haftung kraft Gesetz
Eine Datenschutzverletzung kann hohe Bußgelder nach sich ziehen. Die DSGVO verlangt in Art. 83, dass jede Aufsichtsbehörde sicherstellt, "dass die Verhängung von Geldbußen (...) für Verstöße gegen diese Verordnung (...) in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist." Dabei ist u. a. Folgendes gebührend zu berücksichtigen:
- Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
- jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
- Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen;
- etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
- Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
- jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
Bei schweren Verstößen können Bußgelder bis zu 20 Mio. EUR und im Falle eines Unternehmens bis zu 4 % des Jahresumsatzes verhängt werden, wobei der jeweils höhere Wert gilt. Dabei ist auf den gesamten weltweiten Jahresumsatz des betreffenden Unternehmens abzustellen und nicht etwa nur auf den in Europa erwirtschafteten.
9.3 Haftung aus Vertrag
Neben der unmittelbaren Haftung im Fall einer Datenschutzverletzung dürfen auch vertraglich vereinbarte Sanktionen nicht außer Acht gelassen werden. Das Unternehmen kann gegenüber Kundschaft, Liefer-Unternehmen oder Mitarbeitenden haften, sofern gegen vertragliche Vereinbarungen oder Pflichten verstoßen wurde.
Am häufigsten kommen wohl Verstöße gegen explizit geregelte Geheimhaltungspflichten vor. Die Rechtsfolgen sind i. d. R. Vertragsstrafen (in Geld oder auch Sonderkündigungsrechte, z. B. bei Dienstleistungsverträgen) sowie Schadensersatz- und/oder Unterlassungsansprüche....