Die DSGVO – ein leidiges Thema und oft heiß diskutiert im Umgang mit personenbezogenen Daten. Noch immer gibt es viele Unternehmen, die wenige Maßnahmen für die Umsetzung der Datenschutzgrundverordnung getroffen haben und damit die Rechte von Betroffenen kaum schützen. Die Behörden hingegen sind sehr aktiv und ahnden Verstöße mit teilweise empfindlichen Bußgeldern.
Insbesondere seit der Corona-Pandemie sind die Cyberrisiken enorm gestiegen und rangieren laut dem jüngst veröffentlichten Allianz-Risikobarometer 2021 auf Platz 2 der Sicherheitsrisiken. Durch schwere Sicherheitslücken haben Hacker leichtes Spiel und legen mit gezielten Angriffen Unternehmen lahm. Hohe Schäden und Kosten sowie insbesondere Reputationsschäden sind die Folgen.
Wer meldet Verstöße und veranlasst Bußgelder?
Bußgelder veranlassen können Abmahnanwälte, Behörden, Kunden, Konkurrenten, Mitarbeiter, Lieferanten, Dritte … oder auch der Verantwortliche selbst. Wird ein Verstoß oder Schaden im Unternehmen aufgedeckt, kannst Du eine Selbstanzeige platzieren und so das Bußgeld reduzieren.
Die zuständigen Stellen sind der Bundesbeauftragte für den Datenschutz und Informationsfreiheit sowie die zuständige Landesbehörde, die in der Datenschutzerklärung auf der Homepage zu führen ist. Sie prüft eingehende Meldungen und muss jeder Anzeige nachgehen.
Und wie wird gemeldet?
Eine Anzeige kann einfach und anonym bei der zuständigen Behörde – telefonisch oder online – aufgegeben werden, von jedem, der sich ungerecht behandelt fühlt. Daraufhin erfolgen in der Regel eine Überprüfung und eine Anhörung des Unternehmens – im Fachjargon des „Verantwortlichen“, bevor ein Bußgeld festgesetzt wird.
Die Behörden nehmen jedoch auch ohne Anlass stichprobenartig Prüfungen vor. Dabei werden Fragebögen versandt, die bei Unternehmen die Umsetzung der DSGVO prüfen, hier ein Beispiel für KMU. Werden Verstöße festgestellt, können Verantwortliche Rechtsmittel in Anspruch nehmen und Widerspruch einlegen.
Umsetzung der DSGVO – worauf es Behörden ankommt
Die Überprüfung der Umsetzung der DSGVO konzentriert sich auf folgende Fragen und Anforderungen:
- Datenschutzbeauftragte*r und dessen Beratungs- und Kontroll-Aufgaben:
Ist ein Datenschutzbeauftragte*r bestellt und bei der Aufsichtsbehörde gemeldet?
Welche Aufgaben sind dem Datenschutzbeauftragten zugeteilt?
Durchführung u. Dokumentation von Audits und durchgängige Prüfmethodik
Zusammenarbeit des Datenschutzbeauftragten mit dem Betriebsrat, sofern installiert - Einheitliches Datenschutzkonzept aller Standorte eines Unternehmens und Regelung der Zuständigkeiten im Unternehmen
- Vorliegen eines vollständigen Verarbeitungsverzeichnisses:
Fragen nach Interessenabwägung und Einwilligung / Dokumentation - Vorliegen eines IT-Sicherheitskonzepts, oder eine Zusammenfassung dessen, zur Überprüfung geeigneter Security-Maßnahmen
- Existiert ein Löschkonzept, das auch den Umgang mit Archiven und Back-ups regelt?
- Sensibilisierung und Schulung von Beschäftigten in Prozessen:
– zur weisungsgebundenen Verarbeitung personenbezogener Daten
– zur Sicherstellung der Betroffenenrechte - Gibt es Verarbeitungstätigkeiten mit gemeinsamer Verantwortlichkeit und liegt dafür ein Vertrag vor?
- Auskunftsrecht von Betroffenen: Prozessbeschreibung
- DSGVO-konforme Webseiten-Gestaltung
- Betroffenenrechte: Verfahren zur Fristeinhaltung von Antwortzeiten bei Anfragen
- Datenschutzaufsichtsbehörde:
– Verfahren zur Reaktion auf Anfragen zu Datenschutzbeschwerden
– Meldeprozess an Aufsichtsbehörde bei aufgedeckten Datenschutzverletzungen innerhalb 72 Stunden
Für welche Verstöße werden Bußgelder verhängt?
Die Grundlage der DSGVO sind Aufbau und Dokumentation eines Datenschutz-Management-Systems mit den dazugehörigen Regeln und Prozessen. Dabei stellen sich folgende Fragen:
- Wie geht das Unternehmen mit Betroffenenrechten um und wie sind die Prozesse geregelt? Zum Beispiel Recht auf Löschung bzw. Berichtigung, Recht auf Übertragung von Daten, Recht auf Auskunft von gespeicherten Daten und weitere.
- Gibt es eine DSGVO-konforme Marketing-Richtlinie im Umgang mit Versand von Newslettern, Dialogmarketing wie Werbe-Mails, Sammlung und Nutzung von Adressen aus durchgeführten Aktionen etc.?
- Existiert eine DSGVO-konforme Regelung von Videoüberwachung der Geschäfts- und Produktionsräume?
- Existiert ein Informations-Sicherheits-Management-System und sind die technischen und organisatorischen Maßnahmen umgesetzt, dokumentiert und sicher?
- Ist ein Datenschutzbeauftragte*r bestellt, sind dessen Aufgaben und die Zusammenarbeit mit dem Betriebsrat, sofern vorhanden, definiert?
Geahndete Abweichungen zur DSGVO:
- vor allem in der Datenschutzerklärung der Webseiten
- Fehlende Verschlüsselung, versteckte Menüs, keine Nennung der verantwortlichen Stelle bzw. Person, keine Nennung des Ansprechpartners für Datenschutz, Tracking-Tools, Cookies etc.
- Erkannte Sicherheitslücken wie unterlassene Updates und Neuinstallationen etc. und mangelnder Schutz von Daten mangels organisatorischer Maßnahmen
- Verstöße gegen Mitarbeiterdatenschutz wie Bespitzelung von Mitarbeitern, nicht erlaubte oder ungeregelte Video-Überwachung
- Unerlaubte Videoaufnahmen und deren Veröffentlichung
- Vorsätzliche oder fahrlässige Veröffentlichung personenbezogener Daten
- Unverschlüsselte Übermittlung personenbezogener Daten
- Unerlaubte und unerwünschte Werbeaktivitäten wie Telefonwerbung ohne Einwilligung und trotz Widerspruch der Betroffenen oder Verwendung von personenbezogenen Daten aus Gewinnspielen
- Verletzung von Archivierungspflichten
- Verletzung der Meldefristen bei Datenpannen
Wie hoch sind Bußgelder und wie werden sie berechnet?
Das Bußgeld wird nach Formel berechnet, die von der Umsatzgröße und den beeinflussenden Faktoren abhängt. Die Formel des Bußgelds lautet: durchschnittlicher Tagesumsatz des Vorjahres weltweit x Multiplikatoren zwischen 1,0 und 14,4. Der Multiplikator wird nach Schweregrad bemessen.
Beeinflussende Faktoren können sein:
- Art und Dauer des Verstoßes
- Vorsatz oder Fahrlässigkeit
- Frühere Verstöße
- Getroffene Maßnahmen zur Schadensminderung
- Zusammenarbeit mit der Aufsichtsbehörde
- Anzahl der betroffenen Personen
Diese Berechnungsformel ist für alle 16 Landesbehörden verbindlich. 2020 wurden in Deutschland laut Statistiken Bußgelder in Höhe von 48 Millionen Euro erhoben. Pro Fall waren es durchschnittlich zwischen 500 und 7.500 Euro. Die Faustformel lautet 4 % des Vorjahresumsatzes. Bei (mehrfachen) Wiederholungen und je nach Grad des Verschuldens kommen weitere Zuschläge hinzu. Hier kannst Du ein mögliches Bußgeld selbst ausrechnen.
Seit Mai 2018 bis Ende 2020 wurden in Deutschland rund 77.000 Verstöße gegen die Datenschutz-Grundverordnung gemeldet. Allein in Bayern wurden im vergangenen Jahr 5.294 Datenpannen gemeldet, das ist ein Anstieg von etwa 60 % zum Vorjahr.
Worauf kommt es beim Aufdecken eines Vorfalls an?
Schritt 1
Erstellen einer Risikofolgen-Abschätzung / Risikoeinstufung-Matrix
- Bei geringen oder ohne Risiken: nur interne Dokumentationspflicht
- Bei mittleren Risiken: Meldepflicht an die zuständige Aufsichtsbehörde
- Bei hohen Risiken: Meldepflicht an die zuständige Aufsichtsbehörde und Benachrichtigungspflicht gegenüber den betroffenen Personen (verbunden mit hohem Reputationsverlust).
Schritt 2
Es empfiehlt sich eine Selbstanzeige durch das betroffene Unternehmen – als Mittel zur Reduzierung von Bußgeldern beim Verdacht zum Verstoß gegen die DSGVO, z. B. bei Verlust oder Entwendung personenbezogener Daten oder bei einem Cyber-Angriff.
Besser Vorsorge statt Nachsicht
Verstöße gegen die DSGVO werden geahndet und können für Unternehmen richtig teuer werden. Deshalb solltest Du lieber vorher in ein gutes Datenschutzkonzept investieren und Dich von Experten beraten lassen.
Eine gute Datenschutz-Beratung ist kein Hexenwerk und durchaus erschwinglich. Sie beginnt mit einem Honorar von 3.000 Euro für KMU, möglicherweise sogar mit einer 50 % Förderung. Mit der Beratung erlangst Du ein gutes Datenschutzniveau und erhältst auch anpassbare Dokumentvorlagen, Unterstützung bei der Umsetzung, Zusammenarbeit mit der IT-Abteilung sowie die Sensibilisierung und Schulung Deiner Mitarbeiter.
Dieser Text wurde von Karin Scherer verfasst.