Dass sich Datenschutzvorfälle ereignen, lässt sich in einer Zeit, in der die Anzahl von Cyberangriffen, Ransomware-Attacken und Malware-Angriffen stetig ansteigt, nur schwer verhindern. Das gilt oftmals auch dann, wenn bereits entsprechende technisch organisatorische Maßnahmen getroffen sind. Was aber vom betroffenen Unternehmen kontrolliert werden kann, ist der datenschutzkonforme Umgang mit einer solchen Situation. Dazu gehört die interne Aufarbeitung des Vorfalls durch die IT-Verantwortlichen, das Treffen von geeigneten Maßnahmen als Reaktion auf den Vorfall, die enge Zusammenarbeit mit dem Datenschutzbeauftragten und natürlich auch die fristgerechte Meldung bei der zuständigen Datenschutzbehörde binnen 72 Stunden. Hierbei gilt, dass auch zunächst eine vorsorgliche Meldung erfolgen kann und dann detaillierte Erkenntnisse an die Behörde nachgeliefert werden können. Wichtig ist auch immer im Auge zu behalten, ob die Betroffenen ggf. über den Vorfall informiert werden müssen.
Erst vor kurzem hat es die Stadt Dublin mit einem 125.000 Euro Bußgeld getroffen, weil sie einen Datenschutzvorfall nicht unverzüglich gemeldet hatte. Im vorliegenden Fall hatte sich ein Angriff auf einen Server der Stadt Dublin mit Schadsoftware ereignet, infolgedessen die Daten von rund 13.000 Personen unbefugt offengelegt wurden. Darunter waren Stammdaten, Kontodaten und zum Teil auch Daten besonderer Kategorien. Bei den betroffenen Personen handelte es sich um Bewerber für Studienbeihilfen.
Bei der Bemessung des Bußgeldes spielte die nicht unverzüglich erfolgte Meldung der Stadt Dublin eine Rolle sowie die Tatsache, dass die betroffenen Personen nicht entsprechend benachrichtigt wurden. Im vorliegenden Fall hatte die Stadt Dublin gegen die nachfolgenden Artikel der DSGVO verstoßen:
- Art. 5 Abs. 1 lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten, Integrität und Vertraulichkeit)
- Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten)
- Art. 32 Abs 1. DSGVO (Sicherheit der Verarbeitung)
- Art. 33 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde)
- Art. 34 DSGVO (Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person)
Quellenangabe:
- Artikel „Top 5 DSGVO-Bußgelder im Juni 2025“, abgerufen am 17.07.2025 unter: https://www.dr-datenschutz.de/top-5-dsgvo-bussgelder-im-juni-2025/
Autorin:
Sabrina Reinecke [SRE], externe betriebliche Datenschutzbeauftragte (TÜV-Zertifizierung)