DSGVO-Strafen
Wie wahrscheinlich sind hohe Strafen wirklich?

Die neue Datenschutz-Grundverordnung (DSGVO) macht viele Unternehmer nervös: Wie wahrscheinlich ist eine Abmahnung? Wie hoch sind mögliche Bußgelder? Die wichtigsten Fragen und Antworten.

, von

Mit Inkrafttreten der neuen Datenschutz-Grundversorgung (DSGVO) müssen Unternehmen noch mehr auf die Sicherheit ihrer Daten achten - sonst drohen saftige Strafen.
Mit Inkrafttreten der neuen Datenschutz-Grundversorgung (DSGVO) müssen Unternehmen noch mehr auf die Sicherheit ihrer Daten achten - sonst drohen saftige Strafen.

Mit welchen Strafen müssen Unternehmen bei DSGVO-Verstößen rechnen?

Die Höhe der Strafen, die bei Verstößen gegen die Datenschutz-Grundverordnung verhängt werden, können sich auf maximal zwei bis vier Prozent des weltweiten Unternehmensumsatz beziehungsweise 10 bis 20 Millionen Euro belaufen. Je nachdem, was höher ist. „Das sind allerdings Höchstwerte“, gibt Michael Neuber, Justiziar beim Bundesverband Digitale Wirtschaft (BVDW), zu bedenken. „Damit wird gern gespielt, um große Aufmerksamkeit zu schaffen.“ Schon nach dem alten Bundesdatenschutzgesetz konnten die Datenschutzbehörden Strafen bis zu 300.000 Euro aussprechen – theoretisch. „Bußgelder selbst gegen große Unternehmen sind in der Vergangenheit meist nicht höher als 5000 oder 6000 Euro gewesen.“

Millionenbußgelder gab es in der Vergangenheit nur in absoluten Ausnahmefällen, etwa 2009 gegen die Deutsche Bahn und gegen Google. „Der Maximalrahmen wird nur in wirklich krassen Fällen ausgeschöpft“, sagt Neuber. Stattdessen werde berücksichtigt, welche Daten betroffen waren und ob es sich um den ersten oder einen wiederholten Verstoß handelt. „Die Strafen werden in Zukunft vielleicht etwas höher ausfallen. Aber Millionenbeträge werden nur fällig, wenn es beispielsweise um Millionen Nutzerdaten geht.“

Wer kann wen verklagen und abmahnen?

Die Aufgabe Datenschutzverstößen nachzugehen und gegebenenfalls einzuschreiten liegt bei den Landesdatenschutzbehörden. Allerdings nicht nur. Deutschland hat als einziges EU-Land im Februar 2016 auch ein eigenes Verbandsklagerecht in Datenschutzsachen eingeführt. Das bedeutet: Auch Verbände, zum Beispiele Verbraucherschutzverbände, dürfen Unternehmen wegen Datenschutzverletzungen abmahnen und verklagen.

„Das Klagerecht für Verbände ist ein klarer Systembruch, weil plötzlich Private über öffentlich-rechtliche Normen entscheiden und abmahnen dürfen“,  gibt Neuber zu bedenken. Doch sich darüber aufzuregen bringt nichts: Die Sache ist entschieden.

Darüber hinaus kann natürlich jeder Mensch über seine personenbezogenen Daten und deren Verwendung selbstbestimmen. Sieht er dieses informationelle Selbstbestimmungsrecht verletzt, darf er ein Unternehmen abmahnen. Das war allerdings auch schon nach dem alten Bundesdatenschutzgesetz der Fall.

Wie wahrscheinlich ist eine Abmahnung?

Die Wahrscheinlichkeit, von einem Verband abgemahnt zu werden, ist höher als eine Abmahnung durch die Datenschutzbehörden. „Die Datenschutzaufsichtsbehörden haben ihren Fokus nach wie vor auf ihrer Beratungsfunktion“, erklärt Neuber. Bei den Verbraucherverbänden sei dies anders. „Ihr Fokus liegt auf der Verfolgung von Verstößen. Sie haben auch entsprechende Mittel und Budgets.“

Die Datenschutzbehörden haben hingegen deutlich mehr Rechte, um Datenschutzverstöße überhaupt offen zu legen. Sie können Audits machen, also untersuchen, ob ein Unternehmen die Bestimmungen einhält. Dafür haben sie auch ein Begehungsrecht, dürfen also in die Firma kommen. Die Verbände hingegen können nur solche Datenschutzverletzungen abmahnen, die von außen für jeden sichtbar sind.

Zur Person
Michael Neuber Michael Neuber ist Rechtsanwalt und Justiziar des Bundesverbandes Digitale Wirtschaft (BVDW) e.V.. Er berät die BVDW-Mitglieder in Rechtsfragen vor allem in den Bereichen IT-, Datenschutz-, Urheber- und Medienrecht. Neubar ist auch Autor des BVDW-Praxisleitfadens zum Thema Datenschutz mit Mustertexten und Webinaren, abrufbar unter www.bvdw-datenschutz.de.

Als kleines oder mittelgroßes Unternehmen ist es eher unwahrscheinlich, ins Visier der Aufsichtsbehörden zu gelangen. Daher sollte der Fokus vor allem auch darauf liegen, alle Regeln, die nach außen hin sichtbar sind, einwandfrei einzuhalten. Dazu gehören zum Beispiel das Double-Opt-in bei Newsletter-Anmeldungen, die richtige Datenschutzerklärung auf der Website oder das Widerrufsmanagement für Datenprozesse (das heißt: eine Aufklärung darüber, wie zum Beispiel Kunden die Erlaubnis, ihre Daten zu verarbeiten, widerrufen können).

Wichtig zu wissen: Wird man durch einen Verband abgemahnt und es kommt zum Prozess, dann muss auch die Datenschutzbehörde bei Kenntnisnahme ermitteln, sie hat dann einen Ermittlungszwang. Diese kann dann auch das Unternehmen begehen und interne Verstöße gegen die Datenschutzgrundverordnung abmahnen.

Schreibt das Gesetz vor, wie man seine Daten schützen muss?

Nein, jedenfalls nicht explizit. Unternehmen müssen selbst beurteilen, welche Datenverarbeitungen sie auf welche Rechtsgrundlage stellen können.  Der Schutz muss laut Verordnung auf dem aktuellen Stand der Technik sein. Ob die Einschätzungen richtig sind, bewerten bei einer Prüfung die Datenschutzbehörden. „Wer sich bei allgemeinen Fragen unsicher ist, sollte einfach dort nachfragen“, rät Neuber. Wer besonders sensible Daten verarbeitet, muss eine Datenschutz-Folgenabschätzung machen.

In eigener Sache
Machen ist wie wollen, nur krasser
Machen ist wie wollen, nur krasser
Die impulse-Mitgliedschaften - Rückenwind für Unternehmerinnen und Unternehmer

Um welche Daten geht es bei der DSGVO eigentlich?

Die Datenschutzgrundverordnung beschäftigt sich mit personenbezogenen Daten. In einem Unternehmen sind das z.B.:

  • eigene Kundendaten,
  • eigene Beschäftigtendaten,
  • eigene Daten, die man von Dritten verarbeiten lässt.

Letzteres ist zum Beispiel der Fall, wenn man die Lohnbuchhaltung outsourct oder ein cloudbasiertes Kundenmanagementsystem nutzt. Dann muss ein Auftragsverarbeitungsvertrag geschlossen werden, der zum Beispiel regelt, zu welchem Zweck personenbezogene Daten verarbeitet werden, wie sie geschützt und wann sie gelöscht werden.

Warum gab es so viel Kritik an der DSGVO?

Selbst Juristen halten die Umsetzung für nicht praktikabel, weil eine hundertprozentige Umsetzung im Unternehmen extrem zeit- und ressourcenintensiv wäre. Außerdem ist die Rechtsunsicherheit groß. Denn die Unternehmen müssen beispielsweise selbst einschätzen: Habe ich ein „berechtigtes Interesse“ an den Daten meiner Kunden, so dass die Verarbeitung erlaubt ist? Brauche ich eine Einwilligungerklärung der Kunden? Die Verordnung macht hier keine klaren Angaben. Kommt es zum Streit, geht der Fall vor Gericht – und zwar am Ende zum Europäischen Gerichtshof. Denn die europäische Datenschutzgrundverordnung muss in allen europäischen Ländern gleich angewandt werden. Das heißt, dass die deutschen Gerichte beim EuGH nachfragen müssen. BVDW-Justiziar Neuber ist sich sicher: „Juristen werden ein Heidengeld mit der DSGVO verdienen.“

Was müssen Unternehmen jetzt tun, um Strafen zu vermeiden?

Von der Berufung eines Datenschutzbeauftragten bis zum „Verzeichnis der Verarbeitungstätigkeiten“ – was Unternehmer jetzt tun müssen, lesen Sie in unserer DSGVO Checkliste.

In eigener Sache
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Online-Workshop für Unternehmer
Heben Sie sich bereits von Ihrer Konkurrenz ab?
Im Online Workshop "Zukunft sichern: So entwickeln Sie Ihr Geschäftsmodell weiter" gehen Sie dieses Ziel an.
Mit welchen Strafen müssen Unternehmen bei DSGVO-Verstößen rechnen? Die Höhe der Strafen, die bei Verstößen gegen die Datenschutz-Grundverordnung verhängt werden, können sich auf maximal zwei bis vier Prozent des weltweiten Unternehmensumsatz beziehungsweise 10 bis 20 Millionen Euro belaufen. Je nachdem, was höher ist. „Das sind allerdings Höchstwerte“, gibt Michael Neuber, Justiziar beim Bundesverband Digitale Wirtschaft (BVDW), zu bedenken. „Damit wird gern gespielt, um große Aufmerksamkeit zu schaffen.“ Schon nach dem alten Bundesdatenschutzgesetz konnten die Datenschutzbehörden Strafen bis zu 300.000 Euro aussprechen – theoretisch. „Bußgelder selbst gegen große Unternehmen sind in der Vergangenheit meist nicht höher als 5000 oder 6000 Euro gewesen.“ Millionenbußgelder gab es in der Vergangenheit nur in absoluten Ausnahmefällen, etwa 2009 gegen die Deutsche Bahn und gegen Google. „Der Maximalrahmen wird nur in wirklich krassen Fällen ausgeschöpft“, sagt Neuber. Stattdessen werde berücksichtigt, welche Daten betroffen waren und ob es sich um den ersten oder einen wiederholten Verstoß handelt. „Die Strafen werden in Zukunft vielleicht etwas höher ausfallen. Aber Millionenbeträge werden nur fällig, wenn es beispielsweise um Millionen Nutzerdaten geht.“ Wer kann wen verklagen und abmahnen? Die Aufgabe Datenschutzverstößen nachzugehen und gegebenenfalls einzuschreiten liegt bei den Landesdatenschutzbehörden. Allerdings nicht nur. Deutschland hat als einziges EU-Land im Februar 2016 auch ein eigenes Verbandsklagerecht in Datenschutzsachen eingeführt. Das bedeutet: Auch Verbände, zum Beispiele Verbraucherschutzverbände, dürfen Unternehmen wegen Datenschutzverletzungen abmahnen und verklagen. „Das Klagerecht für Verbände ist ein klarer Systembruch, weil plötzlich Private über öffentlich-rechtliche Normen entscheiden und abmahnen dürfen“,  gibt Neuber zu bedenken. Doch sich darüber aufzuregen bringt nichts: Die Sache ist entschieden. Darüber hinaus kann natürlich jeder Mensch über seine personenbezogenen Daten und deren Verwendung selbstbestimmen. Sieht er dieses informationelle Selbstbestimmungsrecht verletzt, darf er ein Unternehmen abmahnen. Das war allerdings auch schon nach dem alten Bundesdatenschutzgesetz der Fall. Wie wahrscheinlich ist eine Abmahnung? Die Wahrscheinlichkeit, von einem Verband abgemahnt zu werden, ist höher als eine Abmahnung durch die Datenschutzbehörden. „Die Datenschutzaufsichtsbehörden haben ihren Fokus nach wie vor auf ihrer Beratungsfunktion“, erklärt Neuber. Bei den Verbraucherverbänden sei dies anders. „Ihr Fokus liegt auf der Verfolgung von Verstößen. Sie haben auch entsprechende Mittel und Budgets.“ Die Datenschutzbehörden haben hingegen deutlich mehr Rechte, um Datenschutzverstöße überhaupt offen zu legen. Sie können Audits machen, also untersuchen, ob ein Unternehmen die Bestimmungen einhält. Dafür haben sie auch ein Begehungsrecht, dürfen also in die Firma kommen. Die Verbände hingegen können nur solche Datenschutzverletzungen abmahnen, die von außen für jeden sichtbar sind. Als kleines oder mittelgroßes Unternehmen ist es eher unwahrscheinlich, ins Visier der Aufsichtsbehörden zu gelangen. Daher sollte der Fokus vor allem auch darauf liegen, alle Regeln, die nach außen hin sichtbar sind, einwandfrei einzuhalten. Dazu gehören zum Beispiel das Double-Opt-in bei Newsletter-Anmeldungen, die richtige Datenschutzerklärung auf der Website oder das Widerrufsmanagement für Datenprozesse (das heißt: eine Aufklärung darüber, wie zum Beispiel Kunden die Erlaubnis, ihre Daten zu verarbeiten, widerrufen können). Wichtig zu wissen: Wird man durch einen Verband abgemahnt und es kommt zum Prozess, dann muss auch die Datenschutzbehörde bei Kenntnisnahme ermitteln, sie hat dann einen Ermittlungszwang. Diese kann dann auch das Unternehmen begehen und interne Verstöße gegen die Datenschutzgrundverordnung abmahnen. Schreibt das Gesetz vor, wie man seine Daten schützen muss? Nein, jedenfalls nicht explizit. Unternehmen müssen selbst beurteilen, welche Datenverarbeitungen sie auf welche Rechtsgrundlage stellen können.  Der Schutz muss laut Verordnung auf dem aktuellen Stand der Technik sein. Ob die Einschätzungen richtig sind, bewerten bei einer Prüfung die Datenschutzbehörden. „Wer sich bei allgemeinen Fragen unsicher ist, sollte einfach dort nachfragen“, rät Neuber. Wer besonders sensible Daten verarbeitet, muss eine Datenschutz-Folgenabschätzung machen. Um welche Daten geht es bei der DSGVO eigentlich? Die Datenschutzgrundverordnung beschäftigt sich mit personenbezogenen Daten. In einem Unternehmen sind das z.B.: eigene Kundendaten, eigene Beschäftigtendaten, eigene Daten, die man von Dritten verarbeiten lässt. Letzteres ist zum Beispiel der Fall, wenn man die Lohnbuchhaltung outsourct oder ein cloudbasiertes Kundenmanagementsystem nutzt. Dann muss ein Auftragsverarbeitungsvertrag geschlossen werden, der zum Beispiel regelt, zu welchem Zweck personenbezogene Daten verarbeitet werden, wie sie geschützt und wann sie gelöscht werden. Warum gab es so viel Kritik an der DSGVO? Selbst Juristen halten die Umsetzung für nicht praktikabel, weil eine hundertprozentige Umsetzung im Unternehmen extrem zeit- und ressourcenintensiv wäre. Außerdem ist die Rechtsunsicherheit groß. Denn die Unternehmen müssen beispielsweise selbst einschätzen: Habe ich ein „berechtigtes Interesse“ an den Daten meiner Kunden, so dass die Verarbeitung erlaubt ist? Brauche ich eine Einwilligungerklärung der Kunden? Die Verordnung macht hier keine klaren Angaben. Kommt es zum Streit, geht der Fall vor Gericht – und zwar am Ende zum Europäischen Gerichtshof. Denn die europäische Datenschutzgrundverordnung muss in allen europäischen Ländern gleich angewandt werden. Das heißt, dass die deutschen Gerichte beim EuGH nachfragen müssen. BVDW-Justiziar Neuber ist sich sicher: „Juristen werden ein Heidengeld mit der DSGVO verdienen.“ Was müssen Unternehmen jetzt tun, um Strafen zu vermeiden? Von der Berufung eines Datenschutzbeauftragten bis zum „Verzeichnis der Verarbeitungstätigkeiten“ – was Unternehmer jetzt tun müssen, lesen Sie in unserer DSGVO Checkliste.