Datenschutzverletzung – Welche Strafen drohen mir?
- Redaktion Anwaltfinden.at
Eine Datenschutzverletzung kann für betroffene Personen weitreichende Folgen haben. Deshalb wurde durch die Einführung der DSGVO im Jahre 2018 auch ein umfangreiches Regelwerk geschaffen, wie Datenschutzverletzungen zu melden sind.
Hierbei sind klare Verhaltensregelungen bei Datenschutzverletzungen festgelegt worden, deren Nichteinhaltung zu einer Datenschutzverletzung Strafe führen kann. Deshalb wollen wir in diesem alles Wichtige zu Datenschutzverletzungen in Österreich zusammentragen und auch aufzeigen, welche Folgen diese haben können. Dabei wollen wir auch häufige Fragen beantworten, wie z. B.: Was ist eine Datenschutzverletzung nach DSGVO?
Was passiert bei Datenschutzverletzung? Wie ist das Vorgehen bei Datenschutzverletzung? Welche Strafe bei Datenschutzverletzung? Welche Datenschutzverletzungen müssen der Aufsichtsbehörde gemeldet werden?
Inhaltsverzeichnis
- In Österreich können Datenschutzverletzungen sowohl nach der DSGVO als auch durch das DSG bestraft werden.
- Dabei haben Verarbeiter personenbezogener Daten eine Meldepflicht bei Datenrechtsverletzungen, die in ihrem Verantwortungsbereich vorkommen.
- Ferner kann neben der Meldepflicht an die Datenschutzbehörde auch eine Information an betroffene Personen verpflichtend sein.
- Datenschutzverletzungen, die nach DSGVO bestraft werden, können hohe Strafen in besonders schweren Fällen von bis zu 20 Mio. Euro oder 4% des Gesamtumsatzes eines Unternehmens nach sich ziehen.
- Zusätzlich zu den Strafen für die Verursacher von Datenschutzverletzungen haben auch die Betroffenen vielfach einen Anspruch auf Datenschutzverletzung Schadenersatz oder ggf. sogar auf Schmerzensgeld bei Datenschutzverletzungen.
Was sind Datenschutzverletzungen nach DSGVO und welche Verfahrensweisen sind hierfür vorgesehen?
Die Regelungen der DSGVO und des angepassten österreichischen Datenschutzgesetzes (DSG) gelten seit 25.5.2018.
Deshalb müssen alle Datenverarbeitungen dieser Rechtslage entsprechen. Dabei ist mit der Datenschutzgrundverordnung (DSGVO) die Anforderung verbunden, dass Datenschutzverletzungen an die Aufsichtsbehörde gemeldet werden müssen.
Ferner müssen auch in bestimmten Fällen die Personen, deren personenbezogene Daten von der Datenschutzverletzung betroffen sind, von der Datenschutzverletzung DSGVO benachrichtigt werden.
Datenschutzverletzungen nach DSGVO
Die Datenschutzverletzung Definition nach DSGVO bezeichnet eine Datenschutzverletzung als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung oder dem unbefugten Zugang zu personenbezogenen Daten führt. Dabei geschieht dies entweder durch Übermittlung, Speicherung oder auf eine andere Weise bei der Datenverarbeitung.
Hierbei kann als Datenschutzverletzung deshalb z.B. ein Vorfall verstanden werden, durch den Unbefugten der Zugriff auf Daten möglich wird (z.B. Verlust eines Datenträgers, Hackerangriff …).
Dabei kann den betroffenen Personen ein physischer, materieller oder immaterieller Schaden entstehen. Hierbei kann es sich z. B. um den Verlust der Kontrolle über ihre personenbezogenen Daten, Identitätsdiebstahl oder –betrug, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile handeln.
Meldepflichten bei Datenschutzverletzungen nach DSGVO
Dabei gelten gegenwärtig bei Datenschutzverletzungen Meldepflichten für bestimmte Organisationen, beispielsweise für die Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste.
Ferner sehen einige EU-Mitgliedstaaten bereits eine eigene nationale Pflicht zur Meldung von Datenschutzverletzungen vor. Hierzu kann gehören, dass Datenschutzverletzungen gemeldet werden müssen, von denen neben den Anbietern öffentlich zugänglicher elektronischer Kommunikationsdienste auch Kategorien von Verantwortlichen betroffen sind.
Außerdem müssen alle Datenschutzverletzungen gemeldet werden, bei denen personenbezogene Daten betroffen sind. Dabei sind nun mit der DSGVO alle Verantwortlichen zur Meldung verpflichtet, es sei denn, dass die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Ferner sind auch die Auftragsverarbeiter, die dem Verantwortlichen jede Datenschutzverletzung melden müssen, hier mit in der Verantwortung.
Meldepflicht an betroffene Personen
Dabei können sich die Verantwortlichen bei der Meldung an die Aufsichtsbehörde darüber beraten lassen, ob die betroffenen Personen informiert werden müssen. Außerdem kann die Aufsichtsbehörde den Verantwortlichen sogar anweisen, die Betroffenen über die Datenschutzverletzung zu unterrichten.
Hierbei kann dieser dann im Rahmen der Benachrichtigung die betroffenen Personen über die durch die Datenschutzverletzung entstandenen Risiken informieren und ihnen mitteilen, wie sie sich selbst vor den möglichen Folgen der Verletzung schützen können.
Dabei sollte das Hauptaugenmerk eines Reaktionsplans zur Bewältigung von Datenschutzverletzungen auf dem Schutz natürlicher Personen und ihrer personenbezogenen Daten liegen.
Hierbei sollte die Meldung von Datenschutzverletzungen als Instrument betrachtet werden, das die Einhaltung der Vorschriften zum Schutz personenbezogener Daten erleichtert. Außerdem ist zu beachten, dass die Nichtmeldung einer Datenschutzverletzung gegenüber einer betroffenen Person oder einer Aufsichtsbehörde unter Umständen eine mögliche Sanktion gegen den Verantwortlichen begründen kann.
Welche Pflichten sind bei Datenschutzverletzungen in Österreich zu beachten?
Die Meldung an die zuständige Aufsichtsbehörde
Eine Meldung von personenbezogenen Datenschutzverletzungen an die zuständige Aufsichtsbehörde ist immer dann notwendig, wenn die Datenschutzverletzung voraussichtlich zu einem Risiko für Rechte und Freiheiten natürlicher Personen führt.
Dabei gilt dies auch für Auftragsverarbeiter, die eine ihnen bekannte Datenschutzverletzung sofort an den Verantwortlichen melden müssen. Ferner muss eine Meldung der Datenschutzverletzung an die Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden nachdem dem Verantwortlichen diese Verletzung bekannt wurde, erfolgen.
Für den Fall, dass die Meldung erst nach Ablauf von 72 Stunden erfolgt, so ist diese Verzögerung zu begründen.
Inhalte der Meldung an die Aufsichtsbehörde
Ein Verantwortlicher muss alle Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehenden Fakten (Auswirkungen, ergriffene Abhilfemaßnahmen) dokumentieren. Dabei dient diese Dokumentation der Aufsichtsbehörde zur Überprüfung der korrekten Einhaltung der Meldepflicht.
Hierbei muss eine Meldung einer Datenschutzverletzung zumindest folgende Informationen zu enthalten:
Beschreibung der Verletzungsart
Die Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sollte möglichst eine Angabe der Kategorien sowie der ungefähren Anzahl von betroffenen Personen beinhalten. Dabei sollte dies präzisiert werden und die betroffenen Kategorien konkret angegeben werden sowie auch die Anzahl der personenbezogenen Datensätze.
Kontaktdaten
Ferner sind auch die Kontaktdaten mit zu übermitteln. Dabei kann es sich um die Kontaktdaten des Verantwortlichen, eines Datenschutzbeauftragten oder einer anderen Anlaufstelle für Informationen handeln.
Folgeneinschätzung
Außerdem ist es auch geboten, eine Abschätzung der Folgen von einer Verletzung des Schutzes personenbezogener Daten anzufertigen, mit allen möglichen Risiken für die Betroffenen.
Maßnahmenbeschreibung
Zusätzlich muss eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung beigefügt werden. Dabei können auch Maßnahmen angeführt werden, die zur Abmilderung ihrer möglichen nachteiligen Auswirkungen ergriffen wurden.
Die Benachrichtigung der betroffenen Person
Eine Benachrichtigung betroffener Person ist immer dann notwendig, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.
Dabei ist die betroffene Person ist im Falle eines voraussichtlich hohen Risikos unverzüglich von der Datenschutzverletzung zu benachrichtigen. Hierbei muss diese Benachrichtigung zumindest Folgendes beinhalten:
- Beschreibung der Verletzungsart des Schutzes personenbezogener Daten in einer klaren und einfachen Sprache
- Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle für weitere Informationen,
- Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung,
- Auskunft über die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Ausnahmen von der Benachrichtigungspflicht betroffener Personen
Die Benachrichtigung der betroffenen Person ist nicht in jedem Fall erforderlich und kann unterbleiben, wenn eine der folgenden Voraussetzungen gegeben ist:
Sicherheitsvorkehrungen wurden getroffen
Wenn auf die von der Verletzung betroffenen personenbezogenen Daten geeignete technische und organisatorische Sicherheitsvorkehrungen angewandt wurden, kann eine Benachrichtigung unterbleiben. Dabei gilt dies insbesondere dann, wenn dadurch unbefugte Personen keinen Zugang zu diesen Daten haben, etwa durch eine Verschlüsselung.
Maßnahmen, die das Risiko unterbinden
Für den Fall, dass der Verantwortliche durch nachträgliche Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person aller Wahrscheinlichkeit nach nicht mehr besteht, kann ebenfalls eine Benachrichtigung unterbleiben.
Unverhältnismäßiger Aufwand
Wenn eine Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre, kann eine Benachrichtigung unterbleiben. Jedoch muss in diesem Fall eine öffentliche Bekanntmachung erfolgen, oder eine ähnliche Maßnahme ergriffen werden, damit die betroffenen Personen vergleichbar informiert werden.
Welche Rechte haben Betroffene und wie haften die Verantwortlichen bei einer Datenschutzverletzung?
Bei regulären Verstößen gegen diese Melde- und Benachrichtigungspflicht können hohe Geldbußen drohen in Österreich, von bis zu 10 Mio. Euro oder bei einem Unternehmen von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Die Rechte der Betroffenen
Grundsätzlich hat jede Person, die den Verdacht hegt, dass die Verarbeitung der sie betreffenden personenbezogenen Daten nicht rechtmäßig geschieht, das Recht auf eine Beschwerde bei der Datenschutzbehörde.
Dabei muss die Datenschutzbehörde den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs informieren. Hierbei hat die betroffene Person gegen einen rechtsverbindlichen Beschluss der Datenschutzbehörde ein Recht auf einen gerichtlichen Rechtsbehelf.
Außerdem hat jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sich die Aufsichtsbehörde nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb einer Frist von drei Monaten über den Verfahrensstand oder das Ergebnis informiert.
Dabei entscheidet dann das Bundesverwaltungsgericht über Beschwerden gegen Bescheide oder die Verletzung der Entscheidungspflicht der Datenschutzbehörde.
Die Haftung und das Recht auf Schadenersatz
Für den Fall, dass einer Person wegen eines Verstoßes gegen die DSGVO oder das Grundrecht auf Datenschutz ein materieller oder immaterieller Schaden entstanden ist, hat sie das Recht, gegen den Verantwortlichen oder den Auftraggeber Schadenersatz geltend zu machen.
Dabei hat ein Kläger dann die Wahl, ob er die Klage bei dem Landesgericht einbringt, wo er seinen gewöhnlichen Aufenthalt oder Sitz hat oder beim gewöhnlichen Aufenthalt oder Sitz des Beklagten.
Außerdem haftet jeder, der an einer Datenverarbeitung beteiligten Verantwortlichen, der bei der Verarbeitung von Daten gegen die Bestimmungen der DSGVO verstoßen hat, für den dadurch entstandenen Schaden und hat Schadenersatz für die Datenschutzverletzung zu leisten.
Die Haftung des Auftragsverarbeiters
Ein zwischengeschalteter Auftragsverarbeiter haftet nur dann für einen entstandenen Schaden, wenn er seinen speziell gesetzlich auferlegten Pflichten nicht nachgekommen ist. Hierbei kann es sich z. B. um eine Beauftragung eines Sub- Auftraggebers handeln, ohne die Zustimmung des Verantwortlichen hierzu eingeholt zu haben.
Ferner kann auch eine Haftung bestehen, wenn der Auftragsbearbeiter einer rechtmäßig erteilten Anweisung des Verantwortlichen nicht Folge geleistet hat oder gegen diese Anweisung gehandelt hat.
Jedoch sind sowohl der Verantwortliche als auch der Auftragsverarbeiter von der Haftung befreit, wenn sie nachweisen können, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.
Für den Fall, dass mehrere Verantwortliche oder mehrere Auftragsverarbeiter an einer Datenschutzverletzung beteiligt sind, so haftet jeder einzelne für den gesamten Schaden. Hierbei soll ein wirksamer Schadenersatz für die betroffene Person gewährleistet werden.
Dabei kann jeder Verantwortliche oder Auftragsverarbeiter, der zum Ersatz des gesamten Schadens herangezogen wurde, kann bei den übrigen Beteiligten Regress beanspruchen.
Die Haftung bei juristischen Personen
Für den Fall, dass die Datenschutzverletzung durch eine juristische Person begangen wurde, kann eine Geldstrafe Datenschutzverletzung erhoben werden. Dabei ist dies immer möglich, wenn eine Person alleine oder als Teil eines Organs der juristischen Person gehandelt hat und dabei eine Führungsposition bekleidet.
Ferner können Geldstrafen Datenschutzverletzung auch dann gegen juristische Personen verhängt werden, durch mangelnde Kontrolle oder Überwachung einer Führungskraft die Begehung einer Datenschutzverletzung durch eine andere beschäftigte Person ermöglicht wurde.
Welche Datenschutzverletzung Strafen drohen bei einer Verletzung personenbezogener Daten?
Wonach werden Sanktionen bei Datenschutzverletzungen bewertet?
Wenn Geldbußen für Verstöße gegen die DSGVO Verordnung verhängt werden, so sollen diese in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Dabei orientiert sich die Datenschutzbehörde vor Verhängung einer Geldbuße an der Verhältnismäßigkeit und wird auch von ihren Befugnissen durch das Verwarnen Gebrauch machen.
Bei der Entscheidung der Höhe einer Geldbuße wird die Datenschutzbehörde immer mehrere Faktoren in ihre Entscheidung einbeziehen:
- Die Art der Datenschutzverletzung, sowie ihre Schwere und die Dauer des Verstoßes
- Die Anzahl der von der Verletzung betroffenen Personen und das Ausmaß des erlittenen Schadens
- Gegebenheit von Vorsatz oder Fahrlässigkeit beim Verstoß
- Getroffene Maßnahmen zur Schadensminderung
- Umfang der Verantwortung des Verantwortlichen und des Auftragsverarbeiters bei Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen für die Datensicherheit
- ähnliche frühere Verstöße des Verantwortlichen oder Auftraggebers
- Kooperationsbereitschaft und Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzumildern und seine möglichen nachteiligen Auswirkungen zu reduzieren
- Umfang der Kategorien personenbezogener Daten, die vom Verstoß betroffen sind
- Art und Umfang der Meldung des Verstoßes an die Aufsichtsbehörde
- Die Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsfahren
- Durch die Datenschutzverletzung erlangte Vorteile oder erlittene Verluste des Verantwortlichen
Dabei darf für den Fall, dass gegen mehrere Bestimmungen der DSGVO verstoßen wurde, der Gesamtbetrag der Geldbuße nicht den Strafbetrag für den schwerwiegendsten Verstoß übersteigen.
Wie hoch kann eine Strafe für eine Datenschutzverletzung nach der DSGVO ausfallen?
Geldstrafen bei Datenschutzverletzungen können bei bestimmten besonders schwerwiegenden Verstößen sehr hoch ausfallen. Dabei können diese bis zu 20 Mio. Euro oder im Fall eines Unternehmens bis zu 4 %des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen.
Ferner sind in anderen Fällen Strafhöhen bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 %des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres möglich.
Beispiele für Geldbußen in regulären Fällen von Datenschutzverletzungen
Die Geldbußen von bis zu 10 Mio. Euro oder bei Unternehmen von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs drohen, wenn eine Datenschutzverletzung in einem oder mehreren der folgenden Bereiche vorliegt:
Pflichtverletzungen bei
- den Bedingungen zur Einwilligung eines Kindes für Dienste der Informationsgesellschaft
- mangelhaftem Datenschutz durch Technikgestaltung und durch Nichtbeachtung datenschutzfreundlicher Voreinstellungen
- der Erstellung des Verarbeitungsverzeichnisses
- der Sicherheit der Verarbeitung
- einer Meldung von Datenschutzverletzungen an die Aufsichtsbehörde
- einer fehlenden Benachrichtigung der von der Datenschutzverletzung betroffenen Person
- der Datenschutz Folgenabschätzung
- Fehlverhalten des Datenschutzbeauftragten
Beispiele für Geldbußen in besonders schweren Fällen von Datenschutzverletzungen
Die besonders hohen Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs drohen, wenn eine Datenschutzverletzung in einem oder mehreren der folgenden Bereiche vorliegt:
Pflichtverletzungen bei
- den Grundsätzen für die Verarbeitung personenbezogener Daten
- der Rechtmäßigkeit der Datenverarbeitung
- den Bedingungen für die Einwilligung zur Verarbeitung
- der Verarbeitung besonderer Kategorien personenbezogener Daten (sensible Daten)
- der Transparenz von Information, Kommunikation und Modalitäten bzgl. der Ausübung der Rechte der betroffenen Person
- der eigenen Informationspflicht
- dem Recht auf eine Auskunft
- der Berichtigung und Löschung sowie Einschränkung
- dem Recht auf Datenübertragbarkeit
- beim Widerspruchsrecht
- durch das Erstellen eines Profilings
Strafen für Datenschutzverletzungen, die nicht nach DSGVO zur Anwendung gelangen
Auch außerhalb des Anwendungsbereiches der DSGVO kann eine Datenschutzbehörde Strafen von bis zu 50.000 Euro verhängen. Dabei richten sich diese dann nach dem angepassten Datenschutzgesetz von 2018 und dem Datenschutz-Deregulierungs-Gesetz von 2018.
Hierbei kommt entweder eine Verwaltungsstrafbestimmung oder eine Strafe für eine nicht rechtmäßige Datenverarbeitung in einer Gewinn- oder Schädigungsabsicht in Frage.
Strafen für Datenschutzverletzungen im Rahmen der Verwaltungsstrafbestimmung
Eine Datenschutzverletzung Strafe Österreich kann durch eine Verwaltungsstrafbestimmung in einer Höhe bis zu 50.000 Euro verhängt werden, wenn
- jemand sich vorsätzlich widerrechtlichen Zugang zu einer Datenverarbeitung verschafft bzw. einen widerrechtlichen Zugang vorsätzlich aufrechterhält.
- Daten vorsätzlich unter Verletzung des Datengeheimnisses übermittelt werden. Dabei betrifft dies insbesondere Daten, die demjenigen unter gewissen Voraussetzungen anvertraut wurden und dieser diese vorsätzlich für andere unzulässige Zwecke verarbeitet.
- jemand sich unter Vortäuschung falscher Tatsachen vorsätzlich personenbezogene Daten verschafft.
- eine Bildverarbeitung widerrechtlich entgegen den gesetzlichen Bestimmungen betrieben wird.
- die Einsicht der Datenschutzbehörde in die Datenverarbeitungen verweigert wird.
Hierbei ist auch immer der bloße Versuch strafbar. Zusätzlich zu den Geldbußen kann von der Behörde auch die Vernichtung von Datenträgern und Programmen angeordnet werden, wenn diese mit der Verwaltungsübertretung in Zusammenhang stehen.
Strafen für die Datenverarbeitung in Gewinn- oder Schädigungsabsicht
Außerdem kann ein Gericht auch eine Freiheitsstrafe bis zu einem Jahr oder eine Geldstrafe bis zu 720 Tagessätzen verhängen, wenn
- jemand eine Datenschutzverletzung begeht mit dem Vorsatz sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder
- jemand eine Datenschutzverletzung begeht mit der Absicht, einen anderen dadurch in seinem gewährleisteten Grundrecht auf Datenschutz zu schädigen.
Dabei ist diese Form der Strafe für eine Datenschutzverletzung immer dann möglich, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist.
Wie kann ein Anwalt für Datenschutzrecht bei einer Datenschutzverletzung helfen?
Eine Datenschutzverletzung kann für Betroffene weitreichende Folgen haben. Deshalb ist es immer ratsam, in solchen Fällen die Hilfe eines erfahrenen Anwalts für Datenschutzrecht zu suchen. Dabei kann dieser den Geschädigten beraten, wie im individuellen Fall vorzugehen ist und den persönlichen Fall dabei eingehend analysieren. –
Ferner kann er Betroffene über die Rechtslage zu Datenschutzbestimmungen aufklären und im konkreten Fall auch abklären, ob ein Datenschutzverletzung Schadenersatz oder auch ein Schmerzensgeld für Datenschutzverletzung beansprucht werden kann.
Spezialisierte und geprüfte Rechtsanwälte für Datenschutzrecht finden Sie einfach und unkompliziert in unserem Anwaltsverzeichnis.
