| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Nutzen Sie das Potential der Digitalisierung für Ihr Unternehmen bestmöglich aus, um langfristig wettbewerbsfähig zu bleiben. Wir helfen Ihnen dabei mit digitalen Trendthemen praktischen Problemlösungen und innovativen Ansätzen wöchentlich auf dieser Seite sowie auf unseren diesjährigen Digitalisierungskonferenzen smarter_mittelstand.

DSGVO Wie wahrscheinlich sind hohe Strafen wirklich?

  • Serie
Mit Inkrafttreten der neuen Datenschutz-Grundversorgung (DSGVO) müssen Unternehmen noch mehr auf die Sicherheit ihrer Daten achten - sonst drohen saftige Strafen.

Mit Inkrafttreten der neuen Datenschutz-Grundversorgung (DSGVO) müssen Unternehmen noch mehr auf die Sicherheit ihrer Daten achten - sonst drohen saftige Strafen.© PolaRocket / photocase.de

Die neue Datenschutz-Grundverordnung (DSGVO) macht viele Unternehmer nervös: Wie wahrscheinlich ist eine Abmahnung? Wie hoch sind mögliche Bußgelder? Die wichtigsten Fragen und Antworten.

Mit welchen Strafen müssen Unternehmer rechnen?

Die Höhe der Strafen, die bei Verstößen gegen die Datenschutz-Grundverordnung verhängt werden, können sich auf maximal zwei bis vier Prozent des weltweiten Unternehmensumsatz beziehungsweise 10 bis 20 Millionen Euro belaufen. Je nachdem, was höher ist. „Das sind allerdings Höchstwerte“, gibt Michael Neuber, Justiziar beim Bundesverband Digitale Wirtschaft (BVDW), zu bedenken. „Damit wird gern gespielt, um große Aufmerksamkeit zu schaffen.“ Schon nach dem alten Bundesdatenschutzgesetz können die Datenschutzbehörden Strafen bis zu 300.000 Euro aussprechen – theoretisch. „Bußgelder selbst gegen große Unternehmen sind in der Vergangenheit meist nicht höher als 5000 oder 6000 Euro gewesen.“

Millionenbußgelder gab es in der Vergangenheit nur in absoluten Ausnahmefällen, etwa 2009 gegen die Deutsche Bahn und gegen Google. „Der Maximalrahmen wird nur in wirklich krassen Fällen  ausgeschöpft“, sagt Neuber. Stattdessen werde berücksichtigt, welche Daten betroffen waren und ob es sich um den ersten oder einen wiederholten Verstoß handelt. „Die Strafen werden in Zukunft vielleicht etwas höher ausfallen. Aber Millionenbeträge werden nur fällig, wenn es beispielsweise um Millionen Nutzerdaten geht.“

Anzeige

Wer kann wen verklagen und abmahnen?

Die Aufgabe Datenschutzverstößen nachzugehen und gegebenenfalls einzuschreiten liegt bei den Landesdatenschutzbehörden. Allerdings nicht nur. Deutschland hat als einziges EU-Land im Februar 2016 auch ein eigenes Verbandsklagerecht in Datenschutzsachen eingeführt. Das bedeutet: Auch Verbände, zum Beispiele Verbraucherschutzverbände, dürfen Unternehmen wegen Datenschutzverletzungen abmahnen und verklagen.

„Das Klagerecht für Verbände ist ein klarer Systembruch, weil plötzlich Private über öffentlich-rechtliche Normen entscheiden und abmahnen dürfen“,  gibt Neuber zu bedenken. Doch sich darüber aufzuregen bringt nichts: Die Sache ist entschieden.

Darüber hinaus kann natürlich jeder Mensch über seine personenbezogenen Daten und deren Verwendung selbstbestimmen. Sieht er dieses informationelle Selbstbestimmungsrecht verletzt, darf er ein Unternehmen abmahnen. Das war allerdings auch schon nach dem alten Bundesdatenschutzgesetz der Fall.

Wie wahrscheinlich ist eine Abmahnung?

Die Wahrscheinlichkeit, von einem Verband abgemahnt zu werden, ist höher als eine Abmahnung durch die Datenschutzbehörden. „Die Datenschutzaufsichtsbehörden haben ihren Fokus nach wie vor auf ihrer Beratungsfunktion“, erklärt Neuber. Bei den Verbraucherverbänden sei dies anders. „Ihr Fokus liegt auf der Verfolgung von Verstößen. Sie haben auch entsprechende Mittel und Budgets.“

Die Datenschutzbehörden haben hingegen deutlich mehr Rechte, um Datenschutzverstöße überhaupt offen zu legen. Sie können Audits machen, also untersuchen, ob ein Unternehmen die Bestimmungen einhält. Dafür haben sie auch ein Begehungsrecht, dürfen also in die Firma kommen. Die Verbände hingegen können nur solche Datenschutzverletzungen abmahnen, die von außen für jeden sichtbar sind.

Als kleines oder mittelgroßes Unternehmen ist es eher unwahrscheinlich, ins Visier der Datenschutzbehörden zu gelangen. Daher sollte der Fokus vor allem auch darauf liegen, alle Regeln, die nach außen hin sichtbar sind, einwandfrei einzuhalten. Dazu gehören zum Beispiel das Double-Opt-in bei Newsletter-Anmeldungen, die richtige Datenschutzerklärung auf der Website oder das Widerrufsmanagement für Datenprozesse (das heißt: eine Aufklärung darüber, wie zum Beispiel Kunden die Erlaubnis, ihre Daten zu verarbeiten, widerrufen können).

Wichtig zu wissen: Wird man durch einen Verband abgemahnt und es kommt zum Prozess, dann muss auch die Datenschutzbehörde bei Kenntnisnahme ermitteln, sie hat dann einen Ermittlungszwang. Diese kann dann auch das Unternehmen begehen und interne Verstöße gegen die Datenschutzgrundverordnung abmahnen.

Schreibt das Gesetz vor, wie man seine Daten schützen muss?

Nein, jedenfalls nicht explizit. Unternehmen müssen selbst beurteilen, welche Datenverarbeitungen sie auf welche Rechtsgrundlage stellen können.  Der Schutz muss laut Verordnung auf dem aktuellen Stand der Technik sein. Ob die Einschätzungen richtig sind, bewerten bei einer Prüfung die Datenschutzbehörden. „Wer sich bei allgemeinen Fragen unsicher ist, sollte einfach dort nachfragen“, rät Neuber.

Um welche Daten geht es bei der DSGVO eigentlich?

Die Datenschutzgrundverordnung beschäftigt sich mit personenbezogenen Daten. In einem Unternehmen sind das z.B.:

  • eigene Kundendaten,
  • eigene Beschäftigtendaten,
  • eigene Daten, die man von Dritten verarbeiten lässt.

Letzteres ist zum Beispiel der Fall, wenn man die Lohnbuchhaltung outsourct oder ein cloudbasiertes Kundenmanagementsystem nutzt. Dann muss ein Auftragsverarbeitungsvertrag geschlossen werden, der zum Beispiel regelt, auf welche Daten und zu welchem Zweck ein Daten verarbeitet werden, wie sie geschützt und wann sie gelöscht werden.

 

Warum gab es so viel Kritik an der Verordnung?

Selbst Juristen halten die Umsetzung für nicht praktikabel, weil eine hundertprozentige Umsetzung im Unternehmen extrem zeit- und ressourcenintensiv wäre. Außerdem ist die Rechtsunsicherheit groß. Denn die Unternehmen müssen beispielsweise selbst einschätzen: Habe ich ein „berechtigtes Interesse“ an den Daten meiner Kunden, so dass die Datenverarbeitung erlaubt ist? Brauche ich die Einwilligung der Kunden? Die Verordnung macht hier keine klaren Angaben. Kommt es zum Streit, geht der Fall vor Gericht – und zwar am Ende zum Europäischen Gerichtshof. Denn die europäische Datenschutzgrundverordnung muss in allen europäischen Ländern gleich angewandt werden. Das heißt, dass die deutschen Gerichte beim EuGH nachfragen müssen. BVDW-Justiziar Neuber ist sich sicher: „Juristen werden ein Heidengeld mit der DSGVO verdienen.“

Was müssen Unternehmen jetzt tun?

Von der Berufung eines Datenschutzbeauftragten bis zum „Verzeichnis der Verarbeitungstätigkeiten“ – was Unternehmer jetzt tun müssen, lesen Sie in unserer DSGVO Checkliste.

 

Mehr zum Thema DSGVO lesen Sie in der impulse-Ausgabe 2/2018

Sie können die Ausgabe als Einzelheft oder als ePaper kaufen. Übrigens: Mitglieder im impulse-Netzwerk erhalten die neueste Ausgabe nach Hause geliefert. Und über die impulse-App für iOS- und Android-Geräte können Sie die neuen Ausgaben bequem auf Tablet oder Smartphone lesen.

Handfeste Tipps für Unternehmer: Jetzt Newsletter abonnieren!
1 Kommentar
  • Udo Schreck 22. Mai 2018 15:59

    Also ich habe noch immer keine Ahnung wie und was ich zukünftig tun muss.
    Das ist mir alles zu komlpziert.
    Bin ich Programmierer und dazu noch Rechtsanwalt?

    Ich habe seit 25 Jahren eine Handwerksfirma, und meine Websitewar eine reine Infoseite, jetzt stelle ich sie eben offline.
    Die Bundesregierung wird meiner Erfahrung nach alle Möglichkeiten ausschöpfen möglichst viele Betriebe mittels Bußgeldern auszusaugen, parallel dazu werden Abmahnanwälte ermutigt Websites machinell auf DSGVO – Verstöße zu checken.
    Ich mache einfach dieses Jahr meine Klitsche zu; habe keine Lust mehr mich von diesen I***ten aus Berlin kriminalisieren zu lassen.
    Mein Gewerk ist/war ein Besonderes, da gibts nicht so viele davon. Dann müssen meine Kunden eben einen neuen Deppen suchen, – der von weit herkommt und viel mehr Geld kostet, keine Ahnung mehr von seinem Handwerk hat, – dafür eine DSGVO-sichere Website.
    [Rest entfernt, siehe auch unsere Netiquette]

Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)