Das Landgericht Lübeck befasste sich mit einem Fall, in dem ein Musik-Streaming-Anbieter personenbezogene Daten seiner Nutzer an einen Unterauftragsverarbeiter ohne entsprechenden Auftragsverarbeitungsvertrag (AVV) weitergab. Durch einen unerlaubten Zugriff gelangten Unbefugte an Daten wie Namen, Nutzernamen, Geburtsdaten, E-Mail-Adressen und weitere Nutzungsinformationen. Diese Daten wurden anschließend im Darknet zum Verkauf angeboten. Das Gericht stellte fest, dass die fehlende vertragliche Absicherung nach Art. 28 DSGVO einen Verstoß darstellt und sprach dem betroffenen Nutzer einen Schadensersatz von 350 Euro zu.
Empfohlene Maßnahmen zur Vermeidung ähnlicher Verstöße
-
Abschluss von Auftragsverarbeitungsverträgen (AVV):
- Stellen Sie sicher, dass mit jedem Auftragsverarbeiter ein schriftlicher AVV gemäß Art. 28 DSGVO abgeschlossen wird.
- Überprüfen Sie, ob Unterauftragsverarbeiter ebenfalls durch entsprechende Verträge gebunden sind.
-
Sorgfältige Auswahl von Dienstleistern:
- Wählen Sie Dienstleister nach deren Fähigkeit aus, die Anforderungen der DSGVO zu erfüllen.
- Führen Sie regelmäßige Überprüfungen und Audits durch, um die Einhaltung der Datenschutzstandards sicherzustellen.
-
Implementierung technischer und organisatorischer Maßnahmen (TOMs):
- Sorgen Sie für angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten vor unbefugtem Zugriff.
- Aktualisieren Sie regelmäßig Ihre Sicherheitsprotokolle und schulen Sie Mitarbeiter im Umgang mit sensiblen Daten.
-
Dokumentation und Nachweisführung:
- Halten Sie alle datenschutzrelevanten Prozesse und Verträge schriftlich fest.
- Seien Sie in der Lage, die Einhaltung der DSGVO gegenüber Aufsichtsbehörden nachzuweisen.
-
Sofortige Reaktion auf Datenschutzverletzungen:
- Informieren Sie bei Datenpannen unverzüglich die zuständigen Aufsichtsbehörden und betroffene Personen.
- Ergreifen Sie umgehend Maßnahmen zur Schadensbegrenzung und zur Verhinderung weiterer Verstöße.
Unsere Empfehlung:
Das Urteil des LG Lübeck verdeutlicht die Bedeutung einer sorgfältigen vertraglichen Absicherung bei der Datenverarbeitung durch Dritte. Unternehmen sollten die genannten Maßnahmen umsetzen, um Datenschutzverstöße zu vermeiden und das Vertrauen ihrer Kunden zu erhalten.
Fragen Sie sich, ob Sie als Unternehmen oder Behörde bei Datenschutz und Datensicherheit richtig aufgestellt sind?
Unverbindlich mit einem Datenschutzbeauftragten sprechen.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks