verstoß gegen datenschutz beispiele

Verstoß gegen Datenschutz: Beispiele 

/ Allgemein, Datenschutz

Warum Datenschutzverstöße für Ihr Unternehmen existenzbedrohend sein können

Jeden Tag verarbeiten Unternehmen personenbezogene Daten: Kundendaten, Bewerbungsunterlagen, Mitarbeiterinformationen, Newsletter-Adressen. Was dabei oft unterschätzt wird: Ein einziger Fehler im Umgang mit diesen Daten kann weitreichende Folgen haben.

Manche glauben, dass nur große Konzerne im Fokus der Aufsichtsbehörden stehen. Andere hoffen, dass ihre Branche oder Unternehmensgröße sie schützt. Die Realität sieht anders aus: Datenschutzbehörden verhängen Bußgelder unabhängig von der Unternehmensgröße – und die Beträge können auch für mittelständische Betriebe existenzbedrohend sein.

Kontakt aufnehmen
Inhaltsübersicht
  1. Warum Datenschutzverstöße für Ihr Unternehmen existenzbedrohend sein können
  2. Das Wichtigste im Überblick
  3. Rechtliche Grundlagen: Was einen Datenschutzverstoß ausmacht
  4. Die häufigsten Datenschutzverstöße in der Unternehmenspraxis
  5. Spezielle Risikobereiche für Datenschutzverstöße
  6. Praktische Tipps: So vermeiden Sie Datenschutzverstöße
  7. Checkliste: Datenschutz-Compliance für Unternehmen
  8. Datenschutz als Chance begreifen
  9. Häufig gestellte Fragen 

Das Wichtigste im Überblick

  • Datenschutzverstöße kosten: Bußgelder sind keine Seltenheit – hinzu kommen Reputationsschäden und Schadenersatzforderungen
  • Unwissenheit schützt nicht: Selbst vermeintlich harmlose Fehler wie fehlende Einwilligungen, unsichere Passwörter oder unverschlüsselte E-Mails können erhebliche rechtliche Konsequenzen nach sich ziehen
  • Prävention ist günstiger als Nachsorge: Mit klaren Prozessen, Mitarbeiterschulungen und professioneller Beratung lassen sich die meisten Datenschutzverstöße vermeiden

Rechtliche Grundlagen: Was einen Datenschutzverstoß ausmacht

Ein Verstoß gegen den Datenschutz liegt vor, wenn die Vorgaben der DSGVO, des Bundesdatenschutzgesetzes (BDSG) oder anderer datenschutzrechtlicher Vorschriften nicht eingehalten werden. Die DSGVO regelt in ihren Artikeln detailliert, wie Unternehmen mit personenbezogenen Daten umgehen müssen.

Die Grundprinzipien der DSGVO

Art. 5 DSGVO definiert die zentralen Grundsätze der Datenverarbeitung:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Daten dürfen nur auf Basis einer Rechtsgrundlage verarbeitet werden. Die betroffene Person muss über die Verarbeitung informiert werden.

Zweckbindung: Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine spätere Verarbeitung für andere Zwecke ist grundsätzlich unzulässig.

Datenminimierung: Es dürfen nur die Daten erhoben werden, die für den Zweck tatsächlich erforderlich sind.

Richtigkeit: Unternehmen müssen sicherstellen, dass personenbezogene Daten sachlich richtig und aktuell sind.

Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist.

Integrität und Vertraulichkeit: Die Sicherheit der Daten muss durch technische und organisatorische Maßnahmen gewährleistet werden.

Rechenschaftspflicht: Unternehmen müssen die Einhaltung aller Grundsätze nachweisen können.

Rechtsgrundlagen für die Datenverarbeitung

Besonders häufig werden Verstöße im Zusammenhang mit fehlenden oder unzureichenden Rechtsgrundlagen begangen. Art. 6 DSGVO nennt die möglichen Rechtsgrundlagen:

  • Einwilligung der betroffenen Person 
  • Vertragserfüllung oder vorvertragliche Maßnahmen 
  • Rechtliche Verpflichtung 
  • Schutz lebenswichtiger Interessen 
  • Öffentliches Interesse oder Ausübung öffentlicher Gewalt 
  • Berechtigtes Interesse 

Bußgeldrahmen und Sanktionen

Die DSGVO sieht empfindliche Geldbußen vor. 

Neben behördlichen Bußgeldern drohen:

  • Schadenersatzforderungen betroffener Personen 
  • Abmahnungen durch Wettbewerber
  • Reputationsverluste und Vertrauensschäden
  • Anordnungen der Aufsichtsbehörde zur Unterlassung bestimmter Verarbeitungstätigkeiten

Die häufigsten Datenschutzverstöße in der Unternehmenspraxis

Fehlende oder unzureichende Einwilligungen

Das Problem: Viele Unternehmen versenden Akquisemails oder nutzen Marketing-Tools, ohne eine wirksame Einwilligung der betroffenen Personen eingeholt zu haben.

Beispiel aus der Praxis: Ein Vertriebler sendet massenhaft werbliche E-Mails an Personen bzw. Unternehmen, von denen keine Einwilligung vorliegt und die auch keine Bestandskunden sind. Dies ist rechtlich unzulässig, da eine Einwilligung in eine Werbezusendung per E-Mail nicht konkludent erfolgen und auch nicht mit dem berechtigten Interesse argumentiert werden kann.

Rechtliche Konsequenz: Neben Bußgeldern der Datenschutzbehörde drohen Abmahnungen durch Wettbewerber wegen Verstoßes gegen das UWG. 

Unsichere Passwörter und mangelnde Zugriffskontrollen

Das Problem: Schwache Passwörter, fehlende Zwei-Faktor-Authentifizierung oder zu weitreichende Zugriffsrechte ermöglichen unbefugten Zugriff auf personenbezogene Daten.

Beispiel aus der Praxis: In einem mittelständischen Unternehmen haben alle Mitarbeiter Zugriff auf die Personaldatenbank mit Gehaltsinformationen, Krankheitstagen und Bewerbungsunterlagen – obwohl nur die Personalabteilung diese Daten benötigt. Durch ein einfaches Passwort („Firma2023″) ist das System zudem leicht angreifbar.

Rechtliche Konsequenz: Dies verstößt gegen das Prinzip der Datenminimierung und die Pflicht zu angemessenen technischen und organisatorischen Maßnahmen (Art. 32 DSGVO). Bei einem Datenleck würde das Unternehmen erhebliche Bußgelder riskieren.

Unverschlüsselte E-Mail-Kommunikation mit sensiblen Daten

Das Problem: Gesundheitsdaten, Bankverbindungen oder andere sensible Informationen werden per unverschlüsselter E-Mail versendet.

Beispiel aus der Praxis: Eine Steuerkanzlei versendet Jahresabschlüsse und Einkommensteuererklärungen per einfacher E-Mail an ihre Mandanten. Die Daten sind während der Übertragung nicht verschlüsselt und können von Dritten abgefangen werden.

Rechtliche Konsequenz: Dies verletzt die Pflicht zur Gewährleistung der Vertraulichkeit und Integrität nach Art. 32 DSGVO. Datenschutzbehörden fordern bei sensiblen Daten regelmäßig eine Ende-zu-Ende-Verschlüsselung oder zumindest Transportverschlüsselung mit zusätzlichen Sicherheitsmaßnahmen.

Fehlende Datenschutzinformationen

Das Problem: Websites und Apps informieren Nutzer nicht oder nicht ausreichend über die Datenverarbeitung.

Beispiel aus der Praxis: Ein Dienstleistungsunternehmen betreibt eine Website mit Kontaktformular, Google Analytics und eingebundenen Social-Media-Plugins. Eine Datenschutzerklärung fehlt vollständig. Alternativ: Die Datenschutzerklärung ist vorhanden, aber veraltet und nennt die tatsächlich eingesetzten Tools nicht.

Rechtliche Konsequenz: Die Informationspflichten nach Art. 13 und 14 DSGVO sind zwingend. Verstöße können mit Bußgeldern geahndet werden. Zudem drohen Abmahnungen durch Wettbewerber und Verbraucherschutzorganisationen.

Unzulässige Weitergabe von Daten an Dritte

Das Problem: Kundendaten werden ohne Rechtsgrundlage an Partnerunternehmen, Dienstleister oder Werbetreibende weitergegeben.

Beispiel aus der Praxis: Ein Versicherungsmakler verkauft Kundendaten (Name, Adresse, Versicherungsstatus) an andere Versicherungsvermittler, die anschließend Werbeanrufe tätigen. Eine Einwilligung der Kunden für diese Weitergabe liegt nicht vor.

Rechtliche Konsequenz: Dies stellt einen schwerwiegenden Verstoß gegen Art. 6 DSGVO dar. Neben hohen Bußgeldern können betroffene Kunden Schadenersatz fordern. Zudem ist mit einem erheblichen Reputationsschaden zu rechnen.

Fehlende oder unzureichende Auftragsverarbeitungsverträge

Das Problem: Werden externe Dienstleister eingesetzt, die im Auftrag des Unternehmens personenbezogene Daten verarbeiten (z.B. Cloud-Anbieter, Newsletter-Tools, Lohnbuchhaltung), ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich.

Beispiel aus der Praxis: Ein Onlinehändler nutzt ein externes Rechenzentrum zur Speicherung seiner Kundendatenbank. Ein Auftragsverarbeitungsvertrag wurde nie abgeschlossen. Das Rechenzentrum weiß nicht, welche technischen und organisatorischen Maßnahmen erforderlich sind, und der Händler kann seine Rechenschaftspflicht nicht erfüllen.

Rechtliche Konsequenz: Ohne wirksamen Auftragsverarbeitungsvertrag ist die Datenverarbeitung rechtswidrig. Datenschutzbehörden prüfen bei Kontrollen regelmäßig das Vorhandensein dieser Verträge.

Übermäßig lange Speicherung von Daten

Das Problem: Daten werden länger aufbewahrt als für den ursprünglichen Zweck erforderlich.

Beispiel aus der Praxis: Ein Unternehmen bewahrt alle Bewerbungsunterlagen – auch von abgelehnten Kandidaten – für fünf Jahre auf, „für den Fall, dass später eine passende Stelle frei wird“. Eine Einwilligung der Bewerber für diese lange Speicherung liegt nicht vor.

Rechtliche Konsequenz: Nach dem Grundsatz der Speicherbegrenzung dürfen Daten nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Bewerbungsunterlagen sollten nach Abschluss des Bewerbungsverfahrens (in der Regel nach 6 Monaten) gelöscht werden, sofern keine ausdrückliche Einwilligung für eine längere Speicherung vorliegt.

Mangelhafte Reaktion auf Betroffenenrechte

Das Problem: Unternehmen ignorieren oder verzögern Auskunftsanfragen, Löschbegehren oder Widersprüche von betroffenen Personen.

Beispiel aus der Praxis: Ein Kunde fordert Auskunft über seine gespeicherten Daten. Das Unternehmen reagiert erst nach drei Monaten und verlangt eine Gebühr von 50 Euro für die Auskunft.

Rechtliche Konsequenz: Betroffene haben nach Art. 15 DSGVO ein Recht auf Auskunft. Wird dieses Recht nicht oder nicht fristgerecht erfüllt, können Betroffene sich an die Aufsichtsbehörde wenden, die Bußgelder verhängen kann.

Spezielle Risikobereiche für Datenschutzverstöße

Mitarbeiterdaten

Die Verarbeitung von Beschäftigtendaten unterliegt besonderen Regeln. Häufige Fehler:

  • Überwachung ohne Rechtsgrundlage: E-Mail-Kontrolle, Zeiterfassung oder Leistungsüberwachung ohne Information und Rechtsgrundlage
  • Weitergabe an Betriebsrat: Mitarbeiterdaten werden ohne Anonymisierung an den Betriebsrat übermittelt, obwohl dies für den Zweck nicht erforderlich wäre
  • Bewerberdaten: Diskriminierende Fragen im Bewerbungsgespräch oder fehlende Löschung nach Abschluss des Verfahrens

Social Media und Marketing

Fehlende Cookie-Banner oder unsaubere Implementierung: Viele Websites verwenden Cookie-Banner, die nicht den Anforderungen entsprechen (vorausgewählte Häkchen, fehlende Ablehnungsmöglichkeit, unvollständige Informationen).

Unzulässige Datenerhebung bei Gewinnspielen: Bei Social-Media-Gewinnspielen werden mehr Daten erhoben als erforderlich (z.B. Telefonnummer, obwohl Kontaktaufnahme per Social Media möglich wäre).

Praktische Tipps: So vermeiden Sie Datenschutzverstöße

1. Verzeichnis von Verarbeitungstätigkeiten führen

Erstellen Sie eine systematische Übersicht aller Datenverarbeitungen in Ihrem Unternehmen. Dokumentieren Sie:

  • Welche Daten werden verarbeitet?
  • Zu welchem Zweck?
  • Auf welcher Rechtsgrundlage?
  • Wer hat Zugriff auf die Daten?
  • Wie lange werden die Daten gespeichert?

2. Datenschutz-Folgenabschätzung durchführen

Bei risikoreichen Verarbeitungen (z.B. umfangreiche Videoüberwachung, Einsatz neuer Technologien, Verarbeitung sensibler Daten) ist eine Datenschutz-Folgenabschätzung erforderlich. Hierbei werden systematisch die Risiken für die Rechte und Freiheiten betroffener Personen bewertet und Maßnahmen zur Risikominimierung festgelegt.

3. Mitarbeiter regelmäßig schulen

Die beste technische Sicherheit nützt nichts, wenn Mitarbeiter nicht sensibilisiert sind. Führen Sie regelmäßige Schulungen durch zu Themen wie:

  • Grundlagen des Datenschutzes
  • Sicherer Umgang mit Passwörtern
  • Erkennen von Phishing-Mails
  • Umgang mit Betroffenenanfragen
  • Datenschutz im Homeoffice

4. Technische und organisatorische Maßnahmen umsetzen

Implementieren Sie angemessene Sicherheitsmaßnahmen:

  • Verschlüsselung sensibler Daten
  • Sichere Passwörter und Zwei-Faktor-Authentifizierung
  • Regelmäßige Backups
  • Zugriffskontrollen und Berechtigungskonzepte
  • Firewall und Virenschutz
  • Regelmäßige Updates

5. Datenschutzbeauftragten bestellen

Ab 20 Mitarbeitern, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist die Bestellung eines Datenschutzbeauftragten verpflichtend. Auch bei umfangreicher Datenverarbeitung oder sensiblen Daten kann eine Bestellpflicht bestehen.

6. Verträge prüfen und anpassen

Stellen Sie sicher, dass Sie mit allen Dienstleistern, die in Ihrem Auftrag personenbezogene Daten verarbeiten, wirksame Auftragsverarbeitungsverträge abgeschlossen haben. Prüfen Sie, ob Ihre AGB, Datenschutzerklärungen und Einwilligungserklärungen aktuell und rechtssicher sind.

7. Prozesse für Betroffenenrechte etablieren

Legen Sie klare Prozesse fest, wie Ihr Unternehmen auf Auskunftsersuchen, Löschanträge oder Widersprüche reagiert. Benennen Sie Verantwortliche und definieren Sie Fristen.

Checkliste: Datenschutz-Compliance für Unternehmen

Grundlagen:

  • Verzeichnis von Verarbeitungstätigkeiten erstellt und aktuell
  • Datenschutzbeauftragter bestellt (falls erforderlich)
  • Datenschutzerklärung auf Website vorhanden und aktuell
  • Informationspflichten gegenüber Kunden und Mitarbeitern erfüllt

Technische Maßnahmen:

  • Sichere Passwörter und Zwei-Faktor-Authentifizierung implementiert
  • Verschlüsselung sensibler Daten (in Ruhe und bei Übertragung)
  • Zugriffskontrollen und Berechtigungskonzepte vorhanden
  • Regelmäßige Backups und geprüfte Wiederherstellung
  • Aktuelle Firewall, Virenschutz und Updates

Verträge und Dokumentation:

  • Auftragsverarbeitungsverträge mit allen Dienstleistern abgeschlossen
  • Einwilligungen rechtssicher eingeholt und dokumentiert
  • AGB datenschutzkonform gestaltet
  • Löschkonzept vorhanden und umgesetzt

Organisation:

  • Mitarbeiter regelmäßig zu Datenschutz geschult
  • Prozesse für Betroffenenrechte etabliert
  • Datenpannen-Meldeprozess definiert
  • Datenschutz-Folgenabschätzungen bei risikoreichen Verarbeitungen durchgeführt

Website und Marketing:

  • Cookie-Banner rechtssicher implementiert
  • Tracking-Tools nur mit Einwilligung aktiviert
  • Social-Media-Plugins datenschutzkonform eingebunden
  • Newsletter-Anmeldung mit Double-Opt-In

Datenschutz als Chance begreifen

Datenschutzverstöße sind keine Bagatelle – die rechtlichen und wirtschaftlichen Folgen können erheblich sein. Gleichzeitig ist Datenschutz-Compliance keine unüberwindbare Hürde. Mit klaren Prozessen, regelmäßigen Schulungen und professioneller Unterstützung lassen sich die meisten Fehler vermeiden.

Meine Erfahrung zeigt: Unternehmen, die Datenschutz ernst nehmen und proaktiv umsetzen, profitieren mehrfach. Sie vermeiden Bußgelder und Rechtsstreitigkeiten, stärken das Vertrauen ihrer Kunden und positionieren sich als verantwortungsvolle, compliance-orientierte Organisation.

Sie sind unsicher, ob Ihr Unternehmen datenschutzkonform aufgestellt ist? Kontaktieren Sie mich für ein Erstgespräch. Als zertifizierter Datenschutzbeauftragter (TÜV) und Datenschutz-Auditor (DGI) unterstütze ich Sie dabei, Schwachstellen zu identifizieren und rechtssichere Lösungen zu implementieren. Profitieren Sie von individueller Beratung ohne Massenbearbeitung – mit kurzen Reaktionsfristen und einem ausgezeichneten Preis-Leistungs-Verhältnis.

Häufig gestellte Fragen 

Was ist ein Datenschutzverstoß? 

Ein Datenschutzverstoß liegt vor, wenn personenbezogene Daten nicht entsprechend den Vorgaben der DSGVO, des BDSG oder anderer datenschutzrechtlicher Vorschriften verarbeitet werden. Dies kann durch fehlende Rechtsgrundlagen, unzureichende Sicherheitsmaßnahmen, mangelnde Informationen oder Verstöße gegen Betroffenenrechte geschehen.

Muss ich jeden Datenschutzverstoß melden? 

Datenpannen müssen der Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden, wenn ein Risiko für die Rechte und Freiheiten betroffener Personen besteht. Bei hohem Risiko müssen auch die betroffenen Personen informiert werden.

Können auch Mitarbeiter für Datenschutzverstöße haftbar gemacht werden? 

Ja, in bestimmten Fällen. Wenn Mitarbeiter vorsätzlich oder grob fahrlässig gegen Datenschutzvorschriften verstoßen, können sie arbeitsrechtliche Konsequenzen (Abmahnung, Kündigung) und unter Umständen auch persönliche Haftung treffen. Umso wichtiger ist eine gute Schulung und klare Vorgaben.

Braucht mein Unternehmen einen Datenschutzbeauftragten? 

Eine Bestellpflicht besteht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Auch bei Verarbeitung besonders sensibler Daten oder umfangreicher Verarbeitung kann eine Pflicht zur Bestellung bestehen, unabhängig von der Mitarbeiterzahl. Ein externer Datenschutzbeauftragter ist oft die praktikabelste Lösung.

Wie lange darf ich Kundendaten speichern? 

Nur so lange, wie es für den Verarbeitungszweck erforderlich ist. Bei Kunden mit laufender Geschäftsbeziehung während der Vertragslaufzeit und danach unter Beachtung gesetzlicher Aufbewahrungsfristen. Ohne Vertragsbeziehung müssen Daten gelöscht werden, sobald der Zweck entfallen ist, es sei denn, es besteht eine andere Rechtsgrundlage.

Darf ich Newsletter-Adressen kaufen? 

Nein. Die Verwendung gekaufter Adresslisten für E-Mail-Marketing ist ohne Einwilligung der Betroffenen unzulässig. 

Was muss in einer Datenschutzerklärung stehen?

Eine Datenschutzerklärung muss umfassend über die Datenverarbeitung informieren: Welche Daten werden erhoben? Zu welchem Zweck? Auf welcher Rechtsgrundlage? Wie lange werden sie gespeichert? An wen werden sie weitergegeben? Welche Rechte haben Betroffene? Die Informationspflichten nach Art. 13 DSGVO müssen vollständig erfüllt werden.

Was passiert, wenn ich auf eine Auskunftsanfrage nicht reagiere? 

Betroffene können sich an die Aufsichtsbehörde wenden, die ein Bußgeldverfahren einleiten kann. Zudem können Betroffene Schadensersatzansprüche geltend machen. 

Kontakt aufnehmen
Nach oben scrollen