+ 49 3578 7837 197 mail@edelmann-co.de

Viele Unternehmen versenden an ihre Kunden Newsletter. Im Zeitalter der digitalen Medien und der Kontaktbeschränkungen für persönliche Treffen ist dies auch für kleine Unternehmen ein sinnvolles Instrument mit Kunden in Kontakt zu bleiben und über aktuelle Produkte und / oder andere Themen zu informieren.

Nicht immer gelingt dies einwandfrei. So werden Newsletter an Personen versendet, die dem widersprochen haben oder es kommt zu Verwechslungen bei personalisierten Ansprachen oder es wurden alle Empfänger offen gelegt.

In Artikel der Zeitschrift DATENSCHUTZ-BERATER (Ausgabe Nr.11/2020)n setzen sich die Anwälte Dr. Carlo Piltz und Johannes Zwerschke mit den Fragestellungen zu diesem Thema auseinander. Wir zitieren hier aus diesem Artikel, deren vollständige Version Sie am Ende unseres Beitrags finden:

„Es bedarf stets einer Datenschutzverletzung und einer Prognoseentscheidung durch den Verantwortlichen, ob ein (hohes) Risiko für die Rechte und Freiheiten natürlicher Personen besteht.

… Für das Vorliegen eines meldepflichtigen Vorfalls bedarf es also zunächst immer einer Verletzung des Schutzes personenbezogener Daten gemäß Art. 4 Nr. 12 DSGVO. Im Anschluss muss das aus der Datenschutzverletzung resultierende Risiko für die Rechte und Freiheiten natürlicher Personen beurteilt werden. Unter Risiko ist die erhöhte Eintrittswahrscheinlichkeit eines drohenden Schadensereignisses zu verstehen. Es muss also einerseits geprüft werden, ob überhaupt ein Schaden droht und ob andererseits der Schadenseintritt auch hinreichend wahrscheinlich ist. Die Art. 29-Datenschutzgruppe hat sich in einem vom EDSA bestätigten Working Paper 250 umfassend mit in Betracht kommenden Aspekten zur Eintrittswahrscheinlichkeit und dem Schadensausmaß auseinandergesetzt. Tatbestandliche Risiken werden zudem in ErwG 85 Satz 1 DSGVO beispielhaft aufgezählt. Abhängig vom Ergebnis dieser Risikobeurteilung kann eine Meldung des Vorfalls entweder nach Art. 33 Abs. 1 Satz 1 oder 34 Abs. 1 DSGVO an die zuständige Aufsichtsbehörde erforderlich sein. …

Übersicht möglicher Fallkonstellationen:

 

 

 

 

 

 

 

 

 

Fazit

Auch wenn die dargestellten Fälle nicht übermäßig gefährdend für die Datensicherheit scheinen mögen, sollten die aus solchen Vorfällen erwachsenden Risiken nicht unterschätzt werden. Da die Inhalte einer Meldung nach Art. 33 und 34 DSGVO gemäß § 43 Abs. 4 BDSG nicht zur Verhängung eines Bußgelds verwendet werden dürfen (was von Aufsichtsbehörden aber durchaus auch als europarechtswidrig angesehen wird), sollte der Verantwortliche genau bedenken, ob eine Meldung erfolgt oder nicht. Die baden-württembergische Aufsichtsbehörde verhängte gegenüber der AOK Baden-Württemberg ein Bußgeld in Höhe von 1,24 Mio. EUR, die ihre technischen und organisatorischen Maßnahmen unzureichend ausgearbeitet hatten, was dazu führte, dass auch Personen ohne wirksam erteilte Einwilligung angeschrieben wurden.“

DATENSCHUTZ-BERATER 2020/11: Von Newslettern und Datenschutzverletzungen

Bei weiteren Fragen zu diesen und zu anderen Themen Ihres Unternehmens sind wir gern für Sie da.

Herzliche Grüße

Thorsten Edelmann

Kontakt

Kontaktieren Sie uns!

Zum Kontaktformular

Kontakt

Abonnieren Sie unseren Newsletter!

Kostenlos und informativ