Vorabkontrolle im Datenschutz-Alltag / 5.8 Schritt 8: Beurteilung der möglichen Folgen bei missbräuchlicher Verwendung der Daten

• Gefahren und mögliche Nachteile für Betroffene

Hier sind nun die möglichen Folgen einer missbräuchlichen Verwendung der Daten für die Betroffenen zu ermitteln. Naturgemäß sind auch hier die tatsächlichen Folgen für die Betroffenen von den Umständen vor Ort abhängig.

Zunächst ist auf die Verfahrensbeschreibung zurückzugreifen. Dort wiederum ist die bei den Daten vorkommende höchste Schutzstufe maßgeblich, denn daran sind sowohl der Grad der Gefährdung, die Gefahren und möglichen Nachteile für die Betroffenen als auch die zu ergreifenden Maßnahmen zu Vermeidung der Gefahren und Nachteile zu messen.

Sodann ist in der Auflistung der Risiken eine Risikobewertung vorzunehmen. Hier ist zu prüfen, wie hoch die Eintrittswahrscheinlichkeit ist und welche Schadenshöhe bei Eintritt des Vorfalls zu erwarten ist.

→Praxisbeispiel VoIP: Wenn digitale Sprachdaten unverschlüsselt übertragen und unerlaubt aufgezeichnet werden, kann ein Angreifer mittels eines Stimmmodulators selbst ein Telefonat mit der Stimme des unerlaubt aufgezeichneten Gesprächsteilnehmers führen.

→Praxisbeispiel VoIP: Wenn die Sprachdaten unverschlüsselt über das Internet übertragen werden, liegt zum einen ein Verstoß gegen die einschlägigen Vorschriften des TKG vor. Zum anderen könnten vertrauliche Informationen aufgezeichnet und ausgewertet werden.

• Mögliche Schadensersatzansprüche

Aus dieser Risikoanalyse lassen sich dann mögliche Schadensersatzansprüche ableiten. Es geht an dieser Stelle für den Datenschutzbeauftragen weniger um eine Bemessung des eventuell eintretenden Schadensersatzes. Dazu fehlt ihm in aller Regel das erforderliche Wissen. Dafür gibt es im Unternehmen andere Stellen. Seine Aufgabe ist es vielmehr, die Geschäftsleitung überhaupt auf das Risiko aufmerksam zu machen.

→Praxisbeispiel VoIP: Wenn Telefonate unerlaubt mitgeschnitten werden und dadurch Fakten an unbefugte Dritte weitergegeben werden, die zu einer Verletzung der vereinbarten Vertraulichkeit führen, können erhebliche Schadensersatzansprüche die Folge sein.

• Mögliche finanzielle Schäden

Aus der Risikoanalyse lassen sich auch mögliche andere finanzielle Schäden ableiten. Dazu zählen Bußgelder, Konventionalstrafen, Verluste aus Projekten, die wegen der möglichen oder tatsächlichen Datenschutzverstöße aufgekündigt werden, mögliche Abfindungen von Mitarbeiten, die wegen Verletzung des Beschäftigtendatenschutzes klagen usw.

• Mögliche Vertrauens- oder Imageschäden

Nicht nur direkte finanzielle Schäden können folgenschwer für ein Unternehmen sein. Oft sind die Imageschäden oder der Verlust an Vertrauen für die nachhaltige Geschäftsentwicklung viel gravierender. Wie stark sich solche möglichen Vertrauens- oder Imageschäden auswirken, hängt unter anderem von der Branche und der Schwere des Datenschutzverstoßes ab. Eine Privatklinik, in der Patientendaten entwendet werden, die dann im Internet auftauchen, wird wohl einen höheren Vertrauensverlust haben als ein kleiner Handwerksbetrieb, von dem eine Kundenliste mit Telefonnummern im Mülleimer gefunden wird. Die Höhe solcher Schäden lässt sich weder exakt messen noch vorhersagen. Hier ist es nicht Aufgabe des Datenschutzbeauftragten, die Höhe zu bemessen, sondern auf die Möglichkeit solcher Vertrauens- oder Imageschäden hinzuweisen.

• Mögliche sonstige Folgen (Bußgelder, Strafverfolgung usw.)

Hier sollte der Datenschutzbeauftragte auf die drohende Gefahr möglicher Bußgelder aufmerksam machen. Es ist zu beachten, dass je nach Faktenlage nicht nur das Bundesdatenschutzgesetz, sondern auch andere Gesetze wie das TKG oder andere einschlägige Gesetze verletzt werden könnten. Diese Einschätzung dürfte dem Datenschutzbeauftragten schwer fallen, wenn er nicht selbst über eine juristische Ausbildung verfügt. Dabei kann interne oder externe Unterstützung durch eine Person mit einer juristischen Ausbildung eine große Hilfe sein.