Eine spezielle Änderung der neuen Datenschutzgrundverordnung (DSGVO) betrifft das Thema Datenlecks und wie Unternehmen damit kommunikativ umgehen müssen. Verliert ein Unternehmen die Kontrolle über personenbezogene Daten oder haben sich Dritte Zugang verschafft, gibt es unter bestimmten Umständen eine Informationspflicht gegenüber Behörden und den betroffenen Personen.

Auch wenn wir als Kommunikationsagentur natürlich keine Rechtsberatung bieten können – dafür verweisen wir gerne auf unseren Kunden Bird & Bird – so muss doch auch der PR- und Marketingexperte Grundwissen zu den Informationspflichten bei einer Datenschutzverletzung haben. Ab sofort stehen Unternehmen in Sachen Datenschutz in der Verantwortung. Grund genug, sich einen ersten Überblick über die aus der Verordnung resultierenden Anforderungen an die Kommunikation zu verschaffen:

Bild eines Bildschirms mit Daten von Charles Deluvio via Unsplash Bild: Charles Deluvio via Unsplash

Die EU-Datenschutzgrundverordnung ist zwar bereits am 25. Mai 2016 in Kraft getreten, aber im Mai dieses Jahres endet nun die Übergangsfrist und die Verordnung wird wirksam. Diese große Zeitspanne zwischen beiden Stichtagen wirkt vielleicht ungewöhnlich, ist aber durchaus sinnvoll. Denn die Verpflichtungen, denen sich Unternehmen im Zuge der DSGVO gegenübersehen, sind sehr weitreichend. Die Umsetzung benötigte eine angemessene Vorlaufzeit.

Eine dieser Verpflichtungen besteht in der Informationspflicht, wenn der Datenschutz verletzt wird. Diese galt zwar auch schon vor der Datenschutzgrundverordnung, allerdings wird die Informationspflicht ab Mai deutlich ausgeweitet und intensiviert. Die größte Änderung besteht darin, dass Unternehmen Behörden nicht mehr nur melden müssen, wenn Dritte sich Zugang zu besonders sensiblen Daten verschafft haben, sondern bei jedem Vorfall, der ein Risiko für die Betroffenen darstellen könnte.

Die DSGVO nimmt Unternehmen in die Verantwortung

Als personenbezogene Datei gilt alles, was einen Rückschluss auf eine Person möglich macht. Dazu zählt weit mehr als nur ein Name und eine Adresse. Sollte es zu Vorfällen mit solchen Daten kommen, haben Unternehmen bestimmte Pflichten. Diese hängen davon ab, wie hoch das Risiko für die betroffenen Personen ist:

  • Unternehmen müssen alle Datenschutzverletzungen intern dokumentieren.
  • Führen diese Verletzungen voraussichtlich zu einem Risiko für die Betroffenen, müssen Unternehmen die Aufsichtsbehörden informieren. Diese Meldung muss spätestens 72 Stunden nach Bekanntwerden des Missbrauchs erfolgen und Kontaktinformationen eines Unternehmensverantwortlichen beinhalten.
  • Die Meldung muss den Vorfall detailliert beschreiben und eine Einschätzung über mögliche Folgen enthalten.
  • Zudem müssen Unternehmen bereits ergriffene und weiterhin empfohlene Abhilfemaßnahmen auflisten. Besteht durch die Datenschutzverletzung ein hohes Risiko für die Betroffenen, so müssen sie diese informieren. Die Benachrichtigung betroffener Personen muss mit den gleichen Informationen erfolgen, die auch die Behörden erhalten.
  • Sollte eine Benachrichtigung aller Betroffenen unverhältnismäßig aufwendig sein, können Unternehmen auch eine öffentliche Bekanntmachung wählen. Eine mögliche Variante ist hierbei eine Anzeigenplatzierung in großen deutschen Tageszeitungen.

Die Pflicht, alle Datenschutzverletzungen zu dokumentieren und in bestimmten Fällen ausführlich zu melden, erfordert einen erheblichen Aufwand und ist möglicherweise in der Praxis kaum umsetzbar. Es wird sich zeigen, wie „streng“ Aufsichtsbehörden die Umsetzung einfordern. Dabei wird besonders interessant, nach welchen Maßstäben die Behörden das „Risiko für Betroffene“ definieren. Selbst wenn es in der Praxis dazu kommen sollte, dass Minimal-Verstöße nicht dokumentiert werden müssen: Für Unternehmen bedeutet die EU-DSGVO einen erheblichen Mehraufwand.

Mangelnde Kommunikation kann teuer werden

Eine zusätzliche Motivation, diesen Mehraufwand zu betreiben, ergibt sich natürlich auch aus den empfindlichen Strafen im Falle einer Verletzung. Diese können nicht nur aus Geldbußen bestehen. Auch Untersuchungsbefugnisse und Anordnungen der Datenschutzbehörden drohen als Konsequenz. Dies kann dann dazu führen, dass ein Unternehmen häufiger Auskunft erteilen muss und bestimmte Vorgänge nicht mehr oder nur unter bestimmten Bedingungen durchführen darf. Es gilt als wahrscheinlich, dass die Datenschutzbehörden zunächst zu diesen Mitteln greifen, um den Vorfall transparent aufzuklären, bevor sie wirklich ein Bußgeld einfordern.

Sollten die Behörden dennoch ein Bußgeld verhängen, kann der geforderte Betrag gewaltige Ausmaße annehmen. Hierbei wird zwischen zwei qualitativen Klassen von Verstößen unterschieden: Bereits „mildere“ Auslegung können mit bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Konzernumsatzes zu Buche schlagen. Die „strengere“ Vorschrift gilt bei schwerwiegenden Verstößen und kann bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes betragen. Über die genaue Höhe des Bußgelds wird im Einzelnen geurteilt. Aber laut Verordnung soll die Höhe „wirksam, verhältnismäßig und abschreckend“ sein.

Faktoren für die Bestimmung eines Bußgelds können sein:

  • Art, Schwere und Dauer des Verstoßes
  • erkennbare Vorsätzlichkeit oder Fahrlässigkeit
  • bisher getroffene Maßnahmen
  • eventuelle frühere Verstöße
  • die Kooperationsbereitschaft mit den Aufsichtsbehörden
  • die Art der Meldung des Vorfalls

Empfehlungen für Unternehmen

Sollte es in einem Unternehmen zu Datenlecks oder anderen Vorfällen mit kritischen, personenbezogenen Daten kommen, empfiehlt es sich, sofort darauf zu reagieren und geeignete Maßnahmen einzuleiten. Dabei sollten Unternehmen in jedem Fall alle Ereignisse und Maßnahmen dokumentieren. Ist unter den oben genannten Faktoren eine Meldung an die Behörden notwendig, so sollten sie hierbei unbedingt die Zeitfrist einhalten und vollkommen transparent kommunizieren. Eine Kommunikation mittels „Salami-Taktik“ ist ausdrücklich nicht empfehlenswert.

Unternehmen sollten die Aufsichtsbehörden zudem nicht als ihre Gegenspieler ansehen, und nicht versuchen, möglichst viel geheim zu halten. Im Falle einer Datenpanne wird die Behörde nicht zwingend geschäftskritische Bußgelder erheben, sondern ist eher gewillt, zusammen mit dem Unternehmen daran zu arbeiten, den Vorfall transparent aufzuklären. So kann der entstandene Schaden zum einen möglicherweise eingedämmt werden. Und zum anderen werden so zukünftige Datenlecks hoffentlich vermieden.