| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Nutzen Sie das Potential der Digitalisierung für Ihr Unternehmen bestmöglich aus, um langfristig wettbewerbsfähig zu bleiben. Wir helfen Ihnen dabei mit digitalen Trendthemen praktischen Problemlösungen und innovativen Ansätzen wöchentlich auf dieser Seite sowie auf unseren diesjährigen Digitalisierungskonferenzen smarter_mittelstand.

DSGVO Wie wahrscheinlich sind hohe Strafen wirklich?

  • Serie
Mit Inkrafttreten der neuen Datenschutz-Grundversorgung (DSGVO) müssen Unternehmen noch mehr auf die Sicherheit ihrer Daten achten - sonst drohen saftige Strafen.

Mit Inkrafttreten der neuen Datenschutz-Grundversorgung (DSGVO) müssen Unternehmen noch mehr auf die Sicherheit ihrer Daten achten - sonst drohen saftige Strafen.© PolaRocket / photocase.de

Die neue Datenschutz-Grundverordnung (DSGVO) macht viele Unternehmer nervös: Wie wahrscheinlich ist eine Abmahnung? Wie hoch sind mögliche Bußgelder? Die wichtigsten Fragen und Antworten.

Mit welchen Strafen müssen Unternehmer rechnen?

Die Höhe der Strafen, die bei Verstößen gegen die Datenschutz-Grundverordnung verhängt werden, können sich auf maximal zwei bis vier Prozent des weltweiten Unternehmensumsatz beziehungsweise 10 bis 20 Millionen Euro belaufen. Je nachdem, was höher ist. „Das sind allerdings Höchstwerte“, gibt Michael Neuber, Justiziar beim Bundesverband Digitale Wirtschaft (BVDW), zu bedenken. „Damit wird gern gespielt, um große Aufmerksamkeit zu schaffen.“ Schon nach dem alten Bundesdatenschutzgesetz können die Datenschutzbehörden Strafen bis zu 300.000 Euro aussprechen – theoretisch. „Bußgelder selbst gegen große Unternehmen sind in der Vergangenheit meist nicht höher als 5000 oder 6000 Euro gewesen.“

Millionenbußgelder gab es in der Vergangenheit nur in absoluten Ausnahmefällen, etwa 2009 gegen die Deutsche Bahn und gegen Google. „Der Maximalrahmen wird nur in wirklich krassen Fällen  ausgeschöpft“, sagt Neuber. Stattdessen werde berücksichtigt, welche Daten betroffen waren und ob es sich um den ersten oder einen wiederholten Verstoß handelt. „Die Strafen werden in Zukunft vielleicht etwas höher ausfallen. Aber Millionenbeträge werden nur fällig, wenn es beispielsweise um Millionen Nutzerdaten geht.“

Anzeige

Wer kann wen verklagen und abmahnen?

Die Aufgabe Datenschutzverstößen nachzugehen und gegebenenfalls einzuschreiten liegt bei den Landesdatenschutzbehörden. Allerdings nicht nur. Deutschland hat als einziges EU-Land im Februar 2016 auch ein eigenes Verbandsklagerecht in Datenschutzsachen eingeführt. Das bedeutet: Auch Verbände, zum Beispiele Verbraucherschutzverbände, dürfen Unternehmen wegen Datenschutzverletzungen abmahnen und verklagen.

„Das Klagerecht für Verbände ist ein klarer Systembruch, weil plötzlich Private über öffentlich-rechtliche Normen entscheiden und abmahnen dürfen“,  gibt Neuber zu bedenken. Doch sich darüber aufzuregen bringt nichts: Die Sache ist entschieden.

Darüber hinaus kann natürlich jeder Mensch über seine personenbezogenen Daten und deren Verwendung selbstbestimmen. Sieht er dieses informationelle Selbstbestimmungsrecht verletzt, darf er ein Unternehmen abmahnen. Das war allerdings auch schon nach dem alten Bundesdatenschutzgesetz der Fall.

Wie wahrscheinlich ist eine Abmahnung?

Die Wahrscheinlichkeit, von einem Verband abgemahnt zu werden, ist höher als eine Abmahnung durch die Datenschutzbehörden. „Die Datenschutzaufsichtsbehörden haben ihren Fokus nach wie vor auf ihrer Beratungsfunktion“, erklärt Neuber. Bei den Verbraucherverbänden sei dies anders. „Ihr Fokus liegt auf der Verfolgung von Verstößen. Sie haben auch entsprechende Mittel und Budgets.“

Die Datenschutzbehörden haben hingegen deutlich mehr Rechte, um Datenschutzverstöße überhaupt offen zu legen. Sie können Audits machen, also untersuchen, ob ein Unternehmen die Bestimmungen einhält. Dafür haben sie auch ein Begehungsrecht, dürfen also in die Firma kommen. Die Verbände hingegen können nur solche Datenschutzverletzungen abmahnen, die von außen für jeden sichtbar sind.

Als kleines oder mittelgroßes Unternehmen ist es eher unwahrscheinlich, ins Visier der Datenschutzbehörden zu gelangen. Daher sollte der Fokus vor allem auch darauf liegen, alle Regeln, die nach außen hin sichtbar sind, einwandfrei einzuhalten. Dazu gehören zum Beispiel das Double-Opt-in bei Newsletter-Anmeldungen, die richtige Datenschutzerklärung auf der Website oder das Widerrufsmanagement für Datenprozesse (das heißt: eine Aufklärung darüber, wie zum Beispiel Kunden die Erlaubnis, ihre Daten zu verarbeiten, widerrufen können).

Wichtig zu wissen: Wird man durch einen Verband abgemahnt und es kommt zum Prozess, dann muss auch die Datenschutzbehörde bei Kenntnisnahme ermitteln, sie hat dann einen Ermittlungszwang. Diese kann dann auch das Unternehmen begehen und interne Verstöße gegen die Datenschutzgrundverordnung abmahnen.

Schreibt das Gesetz vor, wie man seine Daten schützen muss?

Nein, jedenfalls nicht explizit. Unternehmen müssen selbst beurteilen, welche Datenverarbeitungen sie auf welche Rechtsgrundlage stellen können.  Der Schutz muss laut Verordnung auf dem aktuellen Stand der Technik sein. Ob die Einschätzungen richtig sind, bewerten bei einer Prüfung die Datenschutzbehörden. „Wer sich bei allgemeinen Fragen unsicher ist, sollte einfach dort nachfragen“, rät Neuber.

Um welche Daten geht es bei der DSGVO eigentlich?

Die Datenschutzgrundverordnung beschäftigt sich mit personenbezogenen Daten. In einem Unternehmen sind das z.B.:

  • eigene Kundendaten,
  • eigene Beschäftigtendaten,
  • eigene Daten, die man von Dritten verarbeiten lässt.

Letzteres ist zum Beispiel der Fall, wenn man die Lohnbuchhaltung outsourct oder ein cloudbasiertes Kundenmanagementsystem nutzt. Dann muss ein Auftragsverarbeitungsvertrag geschlossen werden, der zum Beispiel regelt, auf welche Daten und zu welchem Zweck ein Daten verarbeitet werden, wie sie geschützt und wann sie gelöscht werden.

Was müssen Unternehmen jetzt tun?

Von der Berufung eines Datenschutzbeauftragten bis zum „Verzeichnis der Verarbeitungstätigkeiten“ – was Unternehmer jetzt tun müssen, lesen Sie in unserer DSGVO Checkliste.

Warum gab es so viel Kritik an der Verordnung?

Unternehmen müssen daher jetzt tätig werden und sich vor allem um die umfangreichen Dokumentationspflichten kümmern. „Diese Pflicht ist noch relativ einfach, auch für kleinere Unternehmen zu erfüllen“, sagt Neuber. Lesen Sie hier, ob Sie jetzt einen Datenschutzbeauftragten brauchen.

 

Mehr zum Thema DSGVO lesen Sie in der impulse-Ausgabe 2/2018

Sie können die Ausgabe als Einzelheft oder als ePaper kaufen. Übrigens: Mitglieder im impulse-Netzwerk erhalten die neueste Ausgabe nach Hause geliefert. Und über die impulse-App für iOS- und Android-Geräte können Sie die neuen Ausgaben bequem auf Tablet oder Smartphone lesen.

Handfeste Tipps für Unternehmer: Jetzt Newsletter abonnieren!
Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)