Cookie	Beschreibung
PayPal	PayPal ist ein Finanzdienstleister, mit welchem Sie Problemlos, nach vorheriger Anmeldung, kostenlos unsere Dienstleistungen und Waren bezahlen können. Weiter Informationen zu PayPal finden Sie hier. Die Datenschutz-Erklärung von Paypal finden Sie hier.
Stripe	Stripe ist ein Technologieunternehmen, das Lösungen für die Wirtschaftsinfrastruktur des Internets aufbaut. Wir nutzen Stripe Dienste, um Online-Zahlungen abzuwickeln. Weitere Informationen zu Stripe finden Sie hier. Die Datenschutz-Erklärung von Stripe finden Sie hier.

Cookie	Beschreibung
Matomo	Matomo ist ein Web-Analyse-Tool, welches uns hilf Besucherströme zu messen und unsere Webseite zu verbessern. Benutzerdaten (Ip Adressen und besuchte Seiten) werden anonym bei matomo.org gespeichert. Weiter Informationen zu Matomo finden Sie hier. Die Datenschutz-Erklärung von Matomo finden Sie hier.

Vermieterclub / Services / Artikel

Datenschutzvorfälle – was das ist und wie gehandelt werden muss

08. Juli, 2020

Es ist schnell passiert. Die Autovervollständigung im E-Mail-Programm vervollständigt eine E-Mail-Adresse, Sie klicken auf „Senden“ und schon erreicht die E-Mail den falschen Empfänger. Ist dies schon ein Datenschutzverstoß? Muss er gemeldet werden? An wen? Was gehört in die Meldung? Diese Fragen müssen Sie zügig beantworten, denn die Frist für die Meldung eines meldepflichtigen Datenschutzverstoßes beträgt nur 72 Stunden.

Art. 33 und Art. 34 DSGVO sehen Meldepflichten für so genannte Datenschutzvorfälle oder Datenpannen vor. In Art. 33 Abs. 1 S. 1 DSGVO heißt es: „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der … zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“ Art. 34 DSGVO verpflichtet den Verantwortlichen darüber hinaus, die betroffene Person unverzüglich zu benachrichtigen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat.

Zwei Begriffe fallen hier auf: „Verletzung des Schutzes personenbezogener Daten“ und „Risiko“.

Was ist ein Datenschutzvorfall?

Nach Art. 4 Ziffer 12 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten eine Verletzung, die zur Vernichtung, zum Verlust oder zur Veränderung oder zur unbefugten Offenlegung von Daten führt.

Dies ist alles sehr abstrakt. Einige Beispiele sollen verdeutlichen, wann Datenschutzvorfälle gegeben sind:

Verletzung der Vertraulichkeit: Gab es in Ihrem Unternehmen bereits einen Hackerangriff? Haben in Ihren Räumen unbefugte Personen Akten oder Dokumente gesehen oder gelesen? Haben Sie Bilder Ihrer Mitarbeiter auf Ihrer Homepage oder auf anderen Portalen hochgeladen und fehlt dazu die freiwillige Einwilligung? Haben Sie versehentlich E-Mails an falsche Adressen versandt oder viele E-Mail-Adressen in das „cc“-Feld eingetragen?
Verletzung der Verfügbarkeit: Haben Sie oder hat einer Ihrer Mitarbeiter schon einmal ein Mobiltelefon oder auch nur einen USB-Stick verloren? Sind die Daten darauf verschlüsselt? Sind Ihre Datenbanken oder Ihre EDV über mehrere Stunden oder Tage ausgefallen?
Verletzung der Integrität: Haben Sie versehentlich Daten, z.B. Ablesedaten bei der Heizung oder die Lage der Wohnung geändert?

Wenn etwas derartiges in Bezug auf personenbezogene Daten passiert, liegt eine Verletzung des Schutzes dieser Daten vor. Aus dieser Verletzung folgt grundsätzlich eine Meldepflicht. Das Gesetz unterscheidet zwischen der Meldung an die Aufsichtsbehörde und der Meldung an die betroffene Person.

An die Aufsichtsbehörde muss jeder Datenschutzvorfall gemeldet werden, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten des Betroffenen führt. An die betroffene Person muss ein Datenschutzvorfall gemeldet werden, wenn ein hohes Risiko besteht.

Was ist ein „Risiko“? Wie wird es bewertet?

Nach dem Kurzpapier Nr. 18 der Datenschutzkonferenz ist ein Risiko das Bestehen der Möglichkeit des Eintritts eines Schadens oder eines Ereignisses, das zu einem Schaden führen kann. Dieser Schaden kann materiell, immateriell oder physisch sein. Bei der Abschätzung, ob ein Risiko vorliegt, sind folgende Phasen zu durchlaufen:

Risikoidentifikation

Welche Schäden können für die natürlichen Personen auf der Grundlage der zu verarbeitenden Daten bewirkt werden? Durch welche Ereignisse kann es zum Schaden kommen? Durch welche Handlungen und Umstände kann es zum Eintritt dieser Ereignisse kommen?

Abschätzung von Eintrittswahrscheinlichkeit und Schwere möglicher Schäden

Als Stufen für die Differenzierung der Eintrittswahrscheinlichkeit und der Schwere der Schäden schlägt die Datenschutzkonferenz „geringfügig“, „überschaubar“, „substanziell“ und „groß“ vor. Die Einordnung ist zu begründen. Die Art der betroffenen Daten ist dabei zu berücksichtigen. Verletzungen von Daten nach Art. 9 DSGVO, wie Gesundheitsdaten, biometrischen Daten (z.B. Fotos), dürften dabei zu schwereren, also substanziellen oder großen Schäden führen.

Zuordnung zu Risikoabstufungen

Wenn Eintrittswahrscheinlichkeit und Schwere der Schäden geschätzt sind, werden diese in Relation zu einander gesetzt, so führt eine geringfügige Eintrittswahrscheinlichkeit mit geringfügigen Schäden zum geringen Risiko, ein substanzieller Schaden auch bei geringfügiger Eintrittswahrscheinlichkeit zu einem Risiko und eine große Eintrittswahrscheinlichkeit eines großen Schadens zu einem hohen Risiko.

Was also ist nach einem Datenschutzvorfall zu tun?

Die erste Herausforderung ist, dass der Verantwortliche in einem Unternehmen von einem derartigen Verstoß erfährt. Der erste Schritt ist also die Information an den Verantwortlichen bzw. an den Datenschutzbeauftragten. Das bedeutet, alle Mitarbeiter eines Unternehmens müssen sensibilisiert werden, dass auch schon vermeintliche Kleinigkeiten, wie Fehler bei E-Mails oder vorübergehende Ausfälle von Soft- oder Hardware Datenschutzverstöße darstellen können. In einem Unternehmen muss jeder dafür sensibilisiert werden, dass es immer besser ist, einen solchen Vorfall zu melden, als ihn zu verschweigen.

Im nächsten Schritt wird der Verantwortliche mit Unterstützung des Datenschutzbeauftragten eine Risikoabschätzung vornehmen und Maßnahmen einleiten, die das identifizierte Risiko eindämmen. Die Risikoabschätzung ist zu dokumentieren.

Wenn kein Risiko für die Rechte und Freiheiten von Betroffenen vorliegen, z.B. wenn der vorübergehende Ausfall der EDV behoben ist und keine weiteren Auswirkungen hat, als dass ein informativer Newsletter verzögert übersandt wurde, ist mit dieser Dokumentation auch schon alles getan.

Wenn aber ein Risiko vorhanden ist, wenn zum Beispiel mehrere Personen im „cc“, statt im „bcc“ einer E-Mail auftauchen und jeder E-Mail-Adressen anderer Personen sehen kann, ist dieser Datenschutzverstoß an die Behörde zu melden.

Die Meldung an die Datenschutzbehörde muss folgende Informationen enthalten:

Kurze Beschreibung der Datenschutzverletzung
Angaben zu den Datenkategorien, Anzahl der Datensätze, Kategorien und Anzahl der Betroffenen
Namen und Kontaktdaten des Datenschutzbeauftragten
Beschreibung der wahrscheinlichen Folgen des Datenschutzvorfalls
Beschreibung der Maßnahmen der Behebung des Datenschutzvorfalls und der Eindämmung des Risikos
Zeitpunkt der Verletzung bzw. Zeitpunkt der Feststellung der Verletzung
Angabe, ob und wie Betroffene bereits informiert wurden

Die Meldung an die Behörde muss binnen 72 Stunden erfolgen, nachdem dem Verantwortlichen der Vorfall bekannt wurde. Allerdings muss der Verantwortliche sogenannte TOMs – technische und organisatorische Maßnahmen – getroffen haben, um sofort festzustellen, ob Datenschutzverletzungen aufgetreten sind. Die Frage, wann die Verletzung des Verantwortlichen bekannt wird, ist immer eine Frage des Einzelfalls.

Wenn ein hohes Risiko für einen Schadenseintritt vorhanden ist, muss meist auch der Betroffene informiert werden. Diese Information muss mindestens folgende Angaben enthalten:

Namen und Kontaktdaten des Datenschutzbeauftragten
Beschreibung der wahrscheinlichen Folgen des Datenschutzvorfalls
Beschreibung der Maßnahmen der Behebung des Datenschutzvorfalls und der Eindämmung des Risikos

Ausnahmsweise muss keine Information an den Betroffenen erfolgen, wenn technische und organisatorische Maßnahmen umgesetzt sind, die die Rechte des Betroffenen schützen oder keine Risiken mehr bestehen, weil die Maßnahmen zur Eindämmung erfolgreich waren. Wenn die Benachrichtigung mit einem unverhältnismäßig hohen Aufwand verbunden ist, reicht eine öffentliche Bekanntmachung.

Was ist jetzt zu tun?

Schaffen Sie in Ihrem Unternehmen das Bewusstsein für Datenschutzvorfälle! Schaffen Sie Arbeitsabläufe – mit Checklisten für die Risikobewertung und Mustern für die Meldungen – für das Vorgehen nach einer möglichen Datenschutzverletzung! Wenn Sie einen externen Datenschutzbeauftragten benötigen oder eine individuelle Beratung zum Datenschutz brauchen, stellen Sie hier Ihre Anfrage und wir erstellen Ihnen ein konkretes Angebot.

Autor: GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pixabay

Aus unserem Blog

Mit dem Vermieterclub sind Sie am Puls des Mietgeschehens. Wir informieren Sie über aktuelle Nachrichten aus der Politik rund um Eigentum und Vermietung.

Zwischen Sparpolitik und Wohnungsknappheit

Die Auswirkungen der Schuldenbremse auf den Immobilienmarkt.

Energetische Sanierung

Eine Möglichkeit, den Wert einer Immobilie zu steigern?

Degressive Afa beschlossen

Steuerlicher Anreiz für den Neubau.

Mehr Artikel anzeigen

FAQs

Welchen Beitrag leistet der Vermieterclub?

Das Leistungsspektrum des Vermieterclubs reicht von der Hilfestellung bei Unsicherheiten mit der aktuellen Rechtslage bis hin zur anerkannten Interessensvertretung bei den Schaltstellen der Politik. Natürlich bringt ein Wandel in der Immobilienwelt auch Risiken mit sich – deshalb ist es unser Bestreben, diese kalkulierbar und beherrschbar zu machen.

Welche Vorteile hat der Vermieterclub?

Die Mitglieder des Vermieterclubs genießen als Teil einer starken Gemeinschaft vielfache Vorteile: Ihre Interessen finden in der Politik mehr Gehör und gesetzliche Veränderungen werden begleitet – kritisch wie gestalterisch. Aber auch der schnellere Informationszugang, der Erfahrungsaustausch unter Ihresgleichen sowie Vorzugskonditionen bei Mustern, Vorlagen, Fortbildungen und auch ausgewählten Partnern machen sich für Sie bezahlt.

Wer kann Mitglied werden?

Es ist ein breiter Personen- und Interessenskreis, der sich in unserer Gemeinschaft zuhause bzw. sich durch uns optimal vertreten fühlt. Dazu gehören Immobilieneigentümer, Immobilienvermieter und Partner, die unsere Werte und Ambitionen teilen und unsere Stimme noch bedeutender machen.

Wer hat den Vermieterclub gegründet?

Wir sind Gründer aus Leidenschaft. Unsere Liebe zu Immobilien währt schon mehr als 15 Jahre – so lange ist jeder von uns im Immobilienbereich engagiert tätig. Wir wollen im Dienste der Gemeinschaft des Vermieterclubs verändern und gestalten – dass wir das können, wissen wir, und das möchten wir Ihnen gerne jeden Tag aufs Neue beweisen.

Welche Vision hat der Vermieterclub?

Der Vermieter-Club ist ein eingetragener Verein für Vermieter in Deutschland. Es ging uns bei der Gründung darum, den permanenten Wandel als Chance zu begreifen und die Situation der Vermieter nachhaltig zu verbessern. Verbunden mit einem Höchstmaß an Professionalität und Verantwortungsbewusstsein – und das möglichst smart: so einfach und online-basiert wie möglich.

Verwendung von Cookies auf vermieterclub.de