DSGVO Unternehmen lassen gefährliche Lücken beim Datenschutz klaffen.

Die Datenschutzgrundverordnung und das neue Bundesdatenschutzgesetz (BDSG-neu) sind seit dem 25. Mai 2018 in Kraft. Trotz mangelhafter Umsetzung bei vielen Unternehmen, hat es bisher noch keine wesentlichen Strafen wegen Nichteinhaltung der Datenschutzvorschriften gegeben.

Mittlerweile liegen den zuständigen Landesdatenschutzbeauftragten aber zahlreiche Beschwerden wegen Datenschutzverstößen vor und erste Verfahren sind bereits anhängig. Man kann daher mit hoher Wahrscheinlichkeit davon ausgehen, das bei künftigen Verstößen entsprechend höhere Bußgelder als bisher nicht mehr lange auf sich warten lassen. Verschärfend kommt noch hinzu, das in Deutschland seit Februar 2016 auch Verbände, beispielsweise Verbraucherschutzverbände, ein eigenes Verbandsklagerecht bei Verstößen gegen den Datenschutz haben. Das ist EU-weit einmalig und gibt Verbänden die rechtliche Möglichkeit Unternehmen wegen Datenschutzverletzungen abzumahnen und zu verklagen. Unternehmen die mit der Umsetzung der DSGVO bisher zu oberflächlich und eher nachlässig umgegangen sind, nehmen ein erhebliches finanzielles Risiko in Kauf.

Welche Sanktionen drohen bei datenschutzrechtlichen Verstößen ?

Die Datenschutz-Grundverordnung kann Verstöße mit maximalen Strafen von zwei bis vier Prozent des weltweiten Unternehmensumsatz bzw. 10 bis 20 Millionen Euro ahnden, je nachdem was höher ist. Hohe Bußgelder hat es bereits in der Vergangenheit gegeben. So musste die Deutsche Bahn im Jahr 2009 ein gegen sie verhängtes Bußgeld in Höhe von 1,12 Millionen Euro bezahlen. Doch es ist davon auszugehen, dass solche extrem hohe Strafen die Ausnahme bleiben. Die Datenschutzbehörden werden bei der Strafbemessung die Höhe der Bußgelder wohl eher von der Art der betroffenen Daten abhängig machen und auch davon, ob es sich um den ersten oder einen wiederholten Verstoß handelt. Doch auch wenn der von der Datenschutzgrundverordnung erlaubte Strafrahmen nicht ausgeschöpft wird, drohen dennoch immer noch empfindliche Bußgelder.

Was ist zu tun um Strafen zu vermeiden ?

Wenn Unternehmen juristische Auseinandersetzungen und Ärger vermeiden wollen, sind mehrere Anforderungen zu erfüllen, sofern noch nicht geschehen.

  • Datenschutzbeauftragten benennen: Gemäß § 38 BDSG-neu ist die Benennung eines Datenschutzbeauftragten zwingend erforderlich, wenn die datenverarbeitende Stelle in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen, ist ein Datenschutzbeauftragter immer auch zu benennen, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen, oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Liegt keiner dieser Fälle vor, ist die Benennung eines Datenschutzbeauftragten zwar freiwillig, doch trotzdem zu empfehlen.

 

  • Verzeichnis der Verarbeitungstätigkeiten erstellen: Das Verzeichnis der Verarbeitungstätigkeiten nach § 70 BDSG-neu dient dem Nachweis der Einhaltung der Datenschutzgrundverordnung und kann nach Aufforderung von der Datenschutzbehörde eingesehen werden.

 

  • Implementierung eines Datenschutzmanagementsystems: Dieses dient der datenschutzkonformen Planung, Organisierung, Steuerung und Kontrolle aller mit der Datenverarbeitung verbundenen Prozesse. Als Basis und erste Orientierungshilfe sollte das Bundesdatenschutzgesetz genutzt werden.

 

  • Datenschutz-Folgenabschätzung durchführen: Gemäß § 67 BDSG-neu ist eine Datenschutz-Folgenabschätzung immer dann durchzuführen, wenn bei der Verarbeitung von personenbezogenen Daten voraussichtlich ein hohes Risiko für die von dieser Verarbeitung betroffenen Personen besteht. Die Datenschutz-Folgenabwägung soll diese Risiken frühzeitig erkennen, bewerten und geeignete Maßnahmen zu deren Eindämmung bzw. Verhinderung treffen.