Die DSGVO hat nicht nur Auswirkungen auf die Datenerhebung bei der Newsletter-Anmeldung, das Tracking von Abonnenten oder die Dienstleisterauswahl. Die Datenschutzgrundverordnung birgt noch weitere – teils unbeachtete – Risiken. Art. 33 DSGVO sieht vor, dass eine „Verletzung des Schutzes personenbezogener Daten“ binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden ist. Schon die fehlende oder verspätete Meldung ist ein Verstoß gegen die DSGVO, die zu einem Bußgeld führen kann. Aktuelle Fälle aus der Praxis zeigen, dass das auch das E-Mail-Marketing betrifft.
Drei Voraussetzungen für eine Meldepflicht
Art. 33 DSGVO sieht im Wesentlichen drei Voraussetzungen für eine Pflicht zur Meldung von Datenpannen an die Behörden vor:
- Es muss um personenbezogene Daten gehen.
Im E-Mail-Marketing werden fast immer personenbezogene Daten verarbeitet. Auch im B2B-Bereich gehen werbende E-Mails in persönliche Postfächer. Allenfalls, wenn ausschließlich Funktionspostfächer bedient würden, kann es ausnahmsweise am Personenbezug fehlen.
- Es muss eine Schutzverletzung eingetreten sein.
Eine Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt. Werden keine Daten offengelegt, vernichtet oder verändert, liegt keine Schutzverletzung vor, auch wenn es sich möglicherweise um eine rechtswidrige Datenverarbeitung handelt.
- Die Schutzverletzung muss voraussichtlich zu einem Risiko für natürliche Personen führen
Unter „Risiko“ ist die erhöhte Eintrittswahrscheinlichkeit eines drohenden Schadensereignisses zu verstehen. Ein Risiko für die Rechte und Freiheiten natürlicher Personen besteht, wenn erhebliche wirtschaftliche oder gesellschaftliche Nachteile drohen, insbesondere wenn eine Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung oder Rufschädigung möglich sind. Im Rahmen der vorzunehmenden Prognose gilt: je höher der anzunehmende Schaden, desto geringere Anforderungen sind an die Wahrscheinlichkeit des Schadenseintritts zu stellen.
Gemeldet werden muss also nur, wenn ein Schadenseintritt bei den betroffenen Personen tatsächlich möglich erscheint.
Nicht jede Panne muss gemeldet werden
Damit ist klar, dass nicht jeder Fehler, der personenbezogene Daten betrifft, meldepflichtig ist. Von den Datenschutzbehörden hört man, dass 9 von 10 gemeldeten Fällen auch aus Sicht der Aufischt nicht hätten gemeldet werden müssen. Grund für die vielen Meldungen ist, dass eine verspätete oder unterlassene Pflichtinformation der Datenschutzbehörde unabhängig von der Art des Verstoßes selbst bußgeldbewehrt ist. Vereinzelt haben Datenschutzbehörden auch schon Bußgelder verhängt, weil Meldungen nicht oder nur verspätet erfolgt sind.
Dies ändert aber nichts daran, dass nur gemeldet werden sollte, wenn tatsächlich eine Meldepflicht vorliegt. Zwar sind Datenschutzbehörden grundsätzlich gehalten, Informationen, die sie aus Meldungen nach Art. 33 DSGVO erhalten nicht für Bußgelder heranzuziehen. Die Praxis zeigt aber, dass Nachfragen und eigenständige Ermittlungen der Behörden aufgrund der Meldung von Datenpannen natürlich stattfinden. Eine Meldung birgt also immer auch das Risiko weiterer Ermittlungen durch die Aufsichtsbehörden.
WEBINAR ZUM NACHHÖREN
Felix Staudte und Dr. Martin Schirmbacher von HÄRTING Rechtsanwälte haben kürzlich ein Online-Seminar mit dem Titel: „Datenpannen im E-Commerce: Müssen wir das melden? 3 Fälle aus der Praxis“ gehalten. Dieses Webinar, in dem es auch um Datenpannen beim E-Mail-Marketing geht, kann auch Youtube nachgehört werden.
Zwei Beispiele aus der Praxis
In einer E-Mail-Kampagne sollten Direktlinks zu den Konten einzelner Kunden verwendet werden, damit diese sogleich unmittelbar bestellen können. Aufgrund eines Programmierfehlers sind dabei aber fehlerhafte Informationen verwendet worden, so dass einzelne Abonnenten Zugriff auf Kontodaten anderer Kunden erhielten und Bestelldaten, Adresse und auch Zahlungsinformationen einsehen konnten. Auch wenn der Fehler nach Entdeckung sofort behoben und die betroffenen Konten gesperrt wurden, konnte nicht ausgeschlossen werden, dass Kunden- und Zahlungsdaten für Dritte einsehbar waren. Hier liegt eine Verarbeitung personenbezogener Daten vor. Auch eine Schutzverletzung ist gegeben, weil Daten offenbart wurden. Es besteht auch ein Risiko der Betroffenen, schließlich ist nicht auszuschließen, dassdie Daten missbräuchlich verwendet werden. Selbst ein Identitätsdiebstahl ist denkbar. Eine Meldung an die Datenschutzbehörde sollte daher vorgenommen werden.
In einem anderen Fall kam es wegen einer Verkettung gravierender manueller Fehler und einer Fehleinstellung bei dem E-Mail-Marketing-Provider des Online-Shops trotz an sich bestehender Sicherungsmaßnahmen dazu, dass über eine Million Kunden eine werbende E-Mail erhalten haben, die nie eine Einwilligung in die Werbung per E-Mail erteilt hatten. Auch hier liegt eine Verarbeitung personenbezogener Daten (jedenfalls einmal der E-Mail-Adressen) vor. Es ist aber schon zweifelhaft, ob eine Schutzverletzung gegeben ist. Schließlich wurden keine personenbezogenen Daten offenbart, vernichtet oder verändert. Jedenfalls aber besteht kein Risiko für die Betroffenen, weil ihre bei dem Shopbetreiber zu Recht gespeicherte E-Mail-Adresse versehentlich auch für Werbezwecke genutzt wurde. Hier liegt ein Fall einer Datenschutzverletzung vor, die aber nicht der Aufsichtsbehörde gemeldet werden muss.
Datenpanne, was nun?
Wegen der engen Fristen (die Meldung an die Datenschutzbehörde soll innerhalb von 72 Stunden erfolgen), muss bei jeglicher möglichen Panne unverzüglich gehandelt werden. Dabei kann man sich an folgenden Punkten orientieren:
1. Sachverhalt aufklären: Was ist konkret passiert?
2. Sofortmaßnahmen ergreifen: Was kann getan werden, um weitere Schäden zu verhindern?
3. Prüfung einer Meldepflicht nach Art. 33 DSGVO: Wer kann das schnell juristisch prüfen?
4a. Falls gemeldet werden muss: Meldung an die zuständige Behörde mit allen Pflichtangaben; so viel wie nötig, so wenig wie möglich. Viele Behörden lassen eine Online-Meldung zu.
4b. Falls nicht gemeldet werden muss: Genau dokumentieren, was geschehen ist und warum das Unternehmen zu dem Schluss kam, nicht melden zu müssen.
Damit nicht bei dem ersten Fall Hektik ausbricht, ist dringend anzuraten, einen internen Prozess zur Meldung von Datenschutzpannen aufzusetzen, der genau diese Punkte enthält. Dazu zählt auch, für eine entsprechende Sensibilisierung der Kolleginnen und Kollegen zu sorgen.
Fazit
Überall, wo personenbezogene Daten verarbeitet werden, können Fehler passieren. Nicht jeder Fehler führt zu einer Meldepflicht an die zuständige Datenschutzbehörde. Überflüssige Meldungen sollten man bleiben lassen. Deshalb muss jedes Online-Unternehmen Prozesse vorhalten, die eine schnelle Prüfung möglicher Datenpannen beinhalten. Weil im Marketing besonders häufig Fehler passieren, sollten man die entsprechenden Abteilung in besonderer Weise auf solche Fälle vorbereiten.