In diesem Leitfaden beschreibe ich einige der häufigsten Datenschutzverletzungen, die Unternehmen begehen, und gebe einfache Tipps, wie Sie dieselben Fehler vermeiden können.
Für Unternehmen ist es wichtig, diese Informationen zu kennen, da Sie möglicherweise den folgenden Datenschutzgesetzen unterliegen, die strenge Strafen vorsehen, wenn Sie wissentlich oder unwissentlich gegen deren Bestimmungen verstoßen.
Lesen Sie weiter, um mehr über diese häufigen Verstöße zu erfahren, warum sie auftreten und was Sie anders machen können. Am Ende werden Sie sehen, wie Termly Ihnen helfen Termly , die Einhaltung der Datenschutzbestimmungen in Ihrem Unternehmen noch weiter zu vereinfachen.
Haben Datenschutzgesetze Auswirkungen auf Ihr Unternehmen?
Wenn Sie personenbezogene Daten von Ihren Kunden erheben, ist die Wahrscheinlichkeit sehr hoch, dass Datenschutzgesetze Auswirkungen auf Ihr Unternehmen haben.
Jedes Datenschutzgesetz ist anders, kann jedoch je nach den folgenden Faktoren auf Sie zutreffen:
- Wo sich Ihr Unternehmen befindet,
- Wo sich Ihre Verbraucher befinden,
- Wie viele personenbezogene Daten Sie erheben,
- Die Art der von Ihnen erhobenen personenbezogenen Daten (d. h. besondere Kategorien von Daten wie sensible personenbezogene Daten, Daten von Kindern, medizinische Daten usw.).
In einigen Fällen gibt es zusätzliche Überlegungen, wie beispielsweise Ihr Bruttojahreseinkommen und die Menge der Daten, die Sie weitergeben oder verkaufen.
Beispielsweise DSGVO die DSGVO eine sehr breite Schwelle, die sich auf kleine und große Unternehmen weltweit auswirkt, da sie für alle Unternehmen in der EU/im EWR gilt sowie für alle außerhalb der EU/des EWR, die:
- Bietet Waren oder Dienstleistungen in der Region an und
- Überwacht das Online-Verhalten von Personen in der EU/im EWR.
Ebenso gilt CalOPPA, das kalifornische Gesetz zur Regulierung der Inhalte von Datenschutzrichtlinien, für alle Websites mit Besuchern aus dem Bundesstaat Kalifornien.
Der CCPA hingegen berücksichtigt auch andere Faktoren, wie beispielsweise die Höhe des Jahresumsatzes eines Unternehmens und die Menge der von ihm erhobenen personenbezogenen Daten, obwohl es sich ebenfalls um ein Gesetz auf kalifornischer Ebene handelt (und um das bislang strengste Datenschutzgesetz in den USA).
Diese Schwankungen bei den Schwellenwerten sind einer der Gründe, warum es sich wie ein Vollzeitjob anfühlen kann, alle unterschiedlichen Anforderungen der einzelnen geltenden Gesetze einzuhalten.
Die Entscheidung, welche Vorschriften einzuhalten sind, kann für viele Unternehmen eine verwirrende Hürde darstellen.
Was sind die Konsequenzen bei Verstößen gegen Datenschutzgesetze?
Datenschutzgesetze legen mehrere Verpflichtungen fest, die Unternehmen einhalten müssen. Andernfalls kann eine Aufsichtsbehörde Sie bestrafen, wenn Sie gegen diese Vorschriften verstoßen.
Die Strafen hängen von den jeweiligen Gesetzen ab, können jedoch Geldbußen, die Einstellung der Datenverarbeitung, mögliche strafrechtliche Sanktionen, eine Schädigung des Rufs Ihrer Marke und einen Verlust des Verbrauchervertrauens umfassen.
Die folgende Tabelle listet die wichtigsten Datenschutzgesetze und die Strafen für Verstöße gegen diese Gesetze auf:
| Recht | Höchststrafe | Vollstreckungsbehörde | Offizielle Quelle |
| DSGVO | 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes | Datenschutzbehörden (DPAs) | Artikel 83 DSGVO |
| LGPD | 2 % des brasilianischen Umsatzes, begrenzt auf 50 Mio. BRL pro Verstoß | ANPD (Nationale Datenschutzbehörde) | LGPD-Gesetzestext |
| CCPA | 2.500 $ pro Verstoß (unbeabsichtigt), 7.500 $ pro Verstoß (vorsätzlich/Minderjährige) | Generalstaatsanwalt von Kalifornien | Kalifornisches Zivilgesetzbuch §1798.155 |
| Colorado-Datenschutzgesetz | Bis zu 20.000 Dollar pro Verstoß | Generalstaatsanwalt von Colorado und Bezirksstaatsanwälte | Colo. Rev. Stat. §§6-1-1301–1314 |
| Connecticut-Datenschutzgesetz | Bis zu $5.000 pro vorsätzlichem Verstoß | Generalstaatsanwalt von Connecticut | Conn. Gen. Stat. §42-515 ff. |
| Virginia CDPA | Bis zu $7.500 pro Verstoß | Generalstaatsanwalt von Virginia | Va. Code Kapitel 53 |
| PIPEDA | Bis zu 100.000 CAD pro Verstoß | Amt des Datenschutzbeauftragten und Bundesgericht | PIPEDA Volltext |
| Australisches Datenschutzgesetz von 1988 | Bis zu 50 Millionen AUD oder 30 % des Umsatzes | OAIC (Amt des australischen Informationsbeauftragten) | Datenschutzgesetz von 1988 |
| Südafrikas POPIA | Bis zu 10 Millionen ZAR oder 10 Jahre Freiheitsstrafe | Informationsregulierungsbehörde | POPIA-Gesetzestext |
Was sind die häufigsten Verstöße gegen den Datenschutz?
Nachdem wir nun erläutert haben, welche Gesetze sich auf Ihr Unternehmen auswirken können und warum es wichtig ist, die darin festgelegten Vorschriften einzuhalten, wollen wir uns nun die häufigsten Verstöße gegen den Datenschutz ansehen, damit Sie diese leichter vermeiden können.
1. Unzureichende Rechtsgrundlage für die Datenverarbeitung
Für Unternehmen, die der DSGVO unterliegen, ist laut DSGVO Tracker der häufigste Verstoß „unzureichende Rechtsgrundlage für die Datenverarbeitung“.
Mit 785 Bußgeldern in Höhe von insgesamt rund 3 Milliarden Euro (3,5 Milliarden US-Dollar) ist dies sowohl hinsichtlich der Höhe der Bußgelder als auch der Anzahl der Bußgelder der häufigste Verstoß.
Warum passiert das?
Gemäß der DSGVO gibt es sechs Rechtsgrundlagen für die Datenverarbeitung, und es obliegt dem Unternehmen, angemessen nachzuweisen, dass seine Argumentation den spezifischen Richtlinien entspricht.
In der Regel werden diese Informationen in die Datenschutzerklärung (oder Datenschutzerklärung) der Unternehmen aufgenommen.
Wenn diese Angabe in der Benachrichtigung fehlt oder wenn das Unternehmen die Gültigkeit der Rechtsgrundlage nicht ausreichend nachweisen kann, kann es für diesen Verstoß bestraft werden.
Wie kann mein Unternehmen dies vermeiden?
Um denselben Fehler zu vermeiden, stellen Sie sicher, dass Sie für jede Art von Daten, die Sie erfassen, eine gültige Rechtsgrundlage haben:
- Einwilligung der betroffenen Person
- Vertragliche Verpflichtung
- Rechtliche Verpflichtung
- Lebenswichtige Interessen des Einzelnen
- Öffentliche Aufgaben/Interesse
- Legitimes Interesse
Entwickeln Sie außerdem eine gültige Methode, um nachzuweisen, dass die Rechtsgrundlage für die Art der von Ihnen erfassten Daten sinnvoll ist und mit den in der Verordnung festgelegten Regeln übereinstimmt.
Wenn beispielsweise die Einwilligung Ihre Rechtsgrundlage ist, müssen Sie alle spezifischen Einwilligungsregeln und -pflichten DSGVObefolgen.
2. Unzureichende Erfüllung der Rechte der betroffenen Personen
Laut dem DSGVO Tracker beläuft sich die Gesamtzahl der Bußgelder, die wegen unzureichender Erfüllung der Rechte betroffener Personen durch Unternehmen verhängt wurden, derzeit auf 103 Millionen Euro (120 Millionen US-Dollar).
Dies ist ein weiterer häufiger Verstoß, da alle Datenschutzgesetze Unternehmen dazu verpflichten, Wege zu finden, um Anfragen von Personen zu empfangen und zu beantworten, damit diese ihre Rechte wahrnehmen können.
Warum passiert das?
Datenschutzgesetze verpflichten Unternehmen, auf Anfragen von Verbrauchern zu reagieren und deren Rechte innerhalb einer bestimmten Frist zu erfüllen.
Wenn ein Unternehmen nicht rechtzeitig (oder gar nicht) reagiert, kann es für diesen Verstoß mit einer Strafe belegt werden.
Dies kann auch der Fall sein, wenn das Unternehmen die Anfrage der Person zu Unrecht ablehnt, die Anfrage nicht angemessen erfüllen kann oder keine Möglichkeit hat, die Identität der Person, die die Anfrage stellt, ordnungsgemäß zu überprüfen.
Wie kann mein Unternehmen dies vermeiden?
Der beste Weg, um diesen Verstoß zu vermeiden, besteht darin, sicherzustellen, dass Ihr Unternehmen über einen DSAR-Prozess oder -Workflow verfügt.
Es ist auch hilfreich, Ihren Nutzern klare Wege für die Einreichung dieser Anfragen zu bieten, beispielsweise durch Hinzufügen eines DSAR-Formulars zu Ihrer Website und durch Einrichtung einer eindeutig gekennzeichneten E-Mail-Adresse, die ausschließlich für diese Art von Anfragen bestimmt ist.
Durch die Optimierung Ihres DSAR-Workflows auf diese Weise können Sie jede Anfrage effizienter identifizieren, bearbeiten und zeitnah sowie in Übereinstimmung mit den gesetzlichen Bestimmungen beantworten.
3. Unzureichende Cookie Consent
Datenschutzgesetze beeinflussen, wie und wann Websites Cookies und andere Tracker verwenden dürfen. Sie müssen eine angemessene Einwilligung für diese Cookies einholen, da Sie sonst mit Strafen rechnen müssen.
Warum passiert das?
Dieser Verstoß tritt häufig auf, wenn Websites den Nutzern unzureichende Cookie-Banner anzeigen, denen wichtige Funktionen fehlen können, darunter:
- Eine Schaltfläche "Ablehnen
- Eine Schaltfläche „Einstellungen“
- Ein Live-Link zu einer genauen Cookie-Richtlinie
- Ein Live-Link zu einer genauen Datenschutzerklärung
Die Zustimmungsregeln ändern sich je nachdem, welche Gesetze für den Verbraucher gelten, der das Zustimmungsbanner sieht. Versuchen Sie daher, Tools zu verwenden, die über Funktionen wie regionale Zustimmungseinstellungen verfügen.
Wie kann mein Unternehmen dies vermeiden?
Um diesen Fehler zu vermeiden, verwenden Sie eine zuverlässige consent management platform mit einem Einwilligungsbanner, das Sie so konfigurieren können, dass es allen Gesetzen entspricht, die Ihr Unternehmen und Ihre Kunden betreffen.
Stellen Sie sicher, dass Sie auch regelmäßige Website-Scans durchführen, um alle Cookies, die Ihre Website auf den Browsern der Benutzer platzieren möchte, zu finden, zu kategorisieren und zu kennzeichnen.
Präsentieren Sie ihnen all diese Details in einer Cookie-Richtlinie, die mit Ihrem Banner verlinkt ist. Auf diese Weise wissen Sie, dass sie umfassend informiert sind, was Ihnen hilft, die Datenschutzgesetze einzuhalten.
4. Ignorieren von Opt-out-Signalen der Benutzer
Internetnutzer können in ihren Browsern Opt-out-Einstellungen vornehmen oder Browser-Erweiterungen verwenden.
Einige Datenschutzgesetze betrachten dies als eine gültige Form der Umsetzung des Rechts des Einzelnen, sich gegen die Datenverarbeitung zu entscheiden.
Wenn Ihre Website diese Signale ignoriert, könnten Sie wegen Verstoßes gegen Gesetze wie den CCPA mit einer Geldstrafe belegt werden.
Warum passiert das?
Dieser Verstoß kann auftreten, wenn Websites nicht über das technische Know-how, das Budget oder die Zeit verfügen, um ihre Website so zu gestalten, dass sie universelle Opt-out-Mechanismen unterstützt.
In einigen Fällen können bösartige Websites Besucher absichtlich irreführen. Eine solche Absicht führt häufig zu schwerwiegenderen Verstößen gegen Datenschutzgesetze.
Wie kann mein Unternehmen dies vermeiden?
Um Strafen wegen Verstößen gegen dieses Gesetz zu vermeiden, nehmen Sie sich die Zeit, die entsprechenden technischen Maßnahmen auf Ihrer Website zu implementieren.
Stellen Sie sicher, dass es diese Opt-out-Signale erkennen und entsprechend anpassen kann, einschließlich der Deaktivierung aller Werbe-Cookies.
Es könnte das Signal in den HTTP-Headern oder JavaScript erkennen.
5. Vage (oder fehlende!) Angaben zur Datenschutzerklärung
Unvollständige, unaufrichtige oder veraltete Datenschutzrichtlinien setzen Ihr Unternehmen dem Risiko aus, wegen Verstößen gegen Datenschutzgesetze mit Geldstrafen belegt zu werden.
Aktualisierte Datenschutzrichtlinien sind nicht nur durch Gesetze wie die DSGVO, den CCPA und andere vorgeschrieben, sondern mehrere Gesetze legen auch fest, dass es rechtswidrig ist, Daten zu erheben, die dem Verbraucher nicht ordnungsgemäß offengelegt wurden.
Wie lassen sich diese Details am besten offenlegen? In einer ordnungsgemäß verfassten, umfassenden Datenschutzerklärung.
Warum passiert das?
Dies kann passieren, wenn Unternehmen ihre Datenschutzpraktiken ändern, aber vergessen, ihre Richtlinien zu aktualisieren, oder ihre Nutzer nicht ordnungsgemäß über die Änderungen informieren.
Es kann auch vorkommen, dass Unternehmen die Einhaltung von Datenschutzgesetzen nicht priorisieren.
Beispielsweise könnten einige fälschlicherweise glauben, dass Datenschutzgesetze keine Rolle spielen oder dass ihr Unternehmen „zu klein“ ist, um wegen eines Verstoßes gegen das Gesetz mit einer Geldstrafe belegt zu werden.
Wie kann mein Unternehmen dies vermeiden?
Um eine vage Datenschutzerklärung zu vermeiden oder wenn Sie noch eine für Ihre Plattform erstellen müssen, versuchen Sie es mit einem Datenschutzerklärung Generator wie Termly.
Mit Unterstützung unseres Rechtsteams und unserer Datenschutzexperten haben wir dieses Tool entwickelt, um Unternehmen dabei zu helfen, die Erstellung von Datenschutzrichtlinien zu vereinfachen, die den geltenden Gesetzen entsprechen.
Es stellt einfache Fragen zu Ihrem Unternehmen und dazu, wie Sie Daten erfassen und verarbeiten, und enthält Details, die Ihnen dabei helfen, verschiedene Klauseln zu erstellen, wie sie von 30 Datenschutzgesetzen (und es werden immer mehr!) vorgeschrieben sind.
6. Zu viele unnötige Daten sammeln
Alle Datenschutzgesetze schränken ein, wie viele Daten Unternehmen rechtmäßig erheben dürfen.
Websites, die sich dafür entscheiden, einfach so viele Informationen wie möglich von Nutzern zu sammeln, nur um des Sammelns willen, setzen sich dem Risiko aus, wegen Verstoßes gegen diese Gesetze mit einer Geldstrafe (oder Schlimmerem) belegt zu werden.
Warum passiert das?
Das Sammeln von zu vielen Daten kommt häufig vor, wenn Unternehmen Datenschutzgesetze oder deren Konsequenzen nicht ernst nehmen, und es bedeutet eine Missachtung der Privatsphäre der Verbraucher.
Die Speicherung großer Datenmengen ist nicht nur rechtlich unverantwortlich, sondern erhöht auch das Risiko, dass die Informationen unrechtmäßig abgerufen oder verletzt werden.
Wie kann mein Unternehmen dies vermeiden?
Um diesen Verstoß zu vermeiden, führen Sie eine Datenprüfung durch, damit Sie wissen, welche personenbezogenen Daten Ihr Unternehmen erfasst, warum und was Sie damit machen.
Wenn für die Erhebung und Verwendung von Informationen kein klarer, rechtmäßiger Zweck vorliegt, ist es ratsam, die Datenverarbeitung einzustellen.
Fragen Sie sich immer: Ist das Sammeln dieser Informationen für mein Unternehmen notwendig? Wenn die Antwort „Nein“ lautet, dann tun Sie es nicht.
7. Datenverstöße, Datenlecks und unbefugter Zugriff
An letzter Stelle der Liste, aber nicht unbedingt die seltenste Verletzung, stehen Datenverstöße, Datenlecks und Geldstrafen für andere Probleme im Zusammenhang mit dem unbefugten Zugriff auf personenbezogene Daten.
Wenn personenbezogene Daten in Ihrem Besitz offengelegt werden oder es zu einer Verletzung des Datenschutzes kommt, haften Sie gemäß den Datenschutzgesetzen finanziell und rechtlich.
Warum passiert das?
Datenlecks und Datenschutzverletzungen treten auf, wenn Unternehmen die von ihnen gesammelten und gespeicherten Daten nicht ordnungsgemäß schützen.
Es kann auch aufgrund eines internen Fehlers passieren, vor allem wenn Ihr Team nicht ausreichend geschult ist, um häufige Cyberkriminalität oder unsichere Online-Aktivitäten zu bekämpfen und zu erkennen.
Jüngsten Daten zufolge nehmen Cyberangriffe zu, weshalb dies ein wichtiger Aspekt der Datenverarbeitung ist, den Unternehmen berücksichtigen müssen.
Wie kann mein Unternehmen dies vermeiden?
Um unbefugte Datenlecks, Sicherheitsverletzungen und Cyberangriffe zu vermeiden, sollten Sie die folgenden bewährten Verfahren implementieren:
- Schulen Sie Ihr gesamtes Team im Hinblick auf Cyberkriminalität, einschließlich Phishing-Angriffen, Spoofing, dem Vermeiden des Klickens auf unsichere Links und vielem mehr.
- Implementieren Sie strenge Passwortrichtlinien und setzen Sie die Multi-Faktor-Authentifizierung durch.
- Verschlüsseln Sie die Daten auf Geräten sowie alle gespeicherten Sicherungsdaten.
- Verwenden Sie Firewalls und Antivirensoftware.
- Aktualisieren Sie regelmäßig Ihre gesamte Software, Betriebssysteme und andere Sicherheitstools, um Sicherheitslücken zu vermeiden.
- Beschränken Sie den Zugriff auf Daten in Ihrem Team auf diejenigen, die diese Daten auch benötigen.
- Überprüfen Sie Drittanbieter stets auf strenge Sicherheitsmaßnahmen.
Wie Termly Unternehmen Termly , die Einhaltung der Datenschutzbestimmungen zu vereinfachen
Mit Termly Ihrem Werkzeugkasten lassen sich diese und andere häufige Datenschutzverletzungen viel leichter vermeiden.
Unsere Tools helfen Unternehmen dabei, den Prozess der Anpassung ihrer Website oder App an die geltenden Datenschutzgesetze zu vereinfachen.
Der Datenschutzerklärung Generator enthält Klauseln, die von 30 Datenschutzgesetzen aus aller Welt vorgeschrieben sind, und wird von unserem Rechtsteam und unseren Datenschutzexperten regelmäßig aktualisiert, um den sich wandelnden rechtlichen Rahmenbedingungen und den Bedürfnissen unserer Nutzer gerecht zu werden.
Unsere Consent Management Platform ist so konfigurierbar, dass sie die Opt-in- und Opt-out-Anforderungen der Gesetze in 80 Regionen erfüllt. Sie umfasst Funktionen wie automatische Skriptblocker, regionale Einwilligungsregeln, Einwilligungsprotokolle, ein Zentrum für Benutzereinstellungen, Kompatibilität mit dem Google-Einwilligungsmodus und vieles mehr.
Das Beste daran? Sie können all diese Tools bequem von einem Ort aus verwalten: dem Termly . Starten Sie noch heute kostenlos!
Mehr über die Autorin
Geschrieben von Natasha Piirainen
Natasha ist Inhaltsspezialistin mit über 10 Jahren Berufserfahrung in der forschungsbasierten Inhaltsentwicklung. Sie absolvierte das Wheaton College mit einem Abschluss in Englisch und Philosophie. Bei Termlykonzentriert siesich auf bewährte Praktiken im Bereich Datenschutz und Einwilligungsmanagement undist für die Pflege und Aktualisierung umfassenderDatenschutzmaterialien verantwortlich.
Mehr über die Autorin
Rezensiert von Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direktorin für globalen Datenschutz
