DSGVO: Bis zu 20 Millionen Euro Strafe bei Datenschutzverstößen
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist seit vergangenem Jahr in Kraft. Mit dem 25. Mai 2018 endet die Umsetzungsfrist für die EU-DSGVO. Diese gilt dann in allen EU-Mitgliedstaaten. Ab dann sind Bundesdatenschutzgesetz, Landesdatenschutzgesetze sowie die EU-Datenschutzrichtlinie 95/46 nicht mehr anwendbar oder werden durch die neue Regelung aufgehoben.
Nachdem die ersten Referentenentwürfe aufgrund der sehr scharfen Kritiken zurückgezogen wurden, hat das Bundeskabinett am 1. Februar 2017 den Entwurf zum Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Bei der 1. Lesung im Bundestag kam es am 9. März 2017 zu heftigen Debatten. Und am Tag darauf forderte der Bundesrat bei seiner 1. Beratung zu dem Thema umfassende Änderungen, beispielsweise im Hinblick auf Auskunfts- und Löschrechte.
Im Mai 2017 soll das deutsche Umsetzungsgesetz zur DSGVO bereits im Bundesgesetzblatt öffentlich gemacht werden. Betroffene und sollen damit genügend Zeit bekommen, um auf die neuen Verordnungen reagieren zu können.
So arbeitet die Bundesregierung mit Hochdruck daran, das nationale Datenschutzrecht neu zu strukturieren und an die EU-Datenschutz-Grundverordnung (EU-DSGVO) anzupassen. Was sich dabei abzeichnet, ist, dass durch die Neuregelung Bußgeldhöhen für Unternehmen stark angehoben werden, worauf auch der eco – Verband der Internetwirtschaft e. V. explizit hinweist.
Bislang galt laut Bundesdatenschutzgesetz (BDSG) eine Haftungshöchstgrenze von maximal 300.000 Euro. Jetzt bietet unter anderem Art. 83 Abs. 5 der DSGVO den Aufsichtsbehörden die Möglichkeit, Bußgelder bis zu 20 Millionen Euro beziehungsweise bei Konzernen bis zu vier Prozent des weltweiten Umsatzes des Vorjahres zu verhängen. Diese hohen Bußgelder sollen abschrecken und laut DSGVO vor allem für Unternehmen anfallen, Mitgliedsstaaten könnten “andere Sanktionen” bei Verstößen festlegen.
Nach dem nunmehr eingebrachten Entwurf zum Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG) sieht es laut eco so aus, als würde der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch machen. So sehen die §§ 41–43 DSAnpUG Sanktionsmöglichkeiten bei Datenschutzverletzungen auch gegenüber natürlichen Personen vor. Rechtsanwältin Katharina Küchler, Legal Department, eco, warnt: “Somit steigt das Haftungsrisiko für Datenschutzverletzungen mit der DSGVO nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte.”
Bei Verstößen gegen die Datenschutzvorschriften oder ihre Aufsichtspflichten müssen Verantwortliche mit deutlich höheren Strafen als bisher. “Und nicht nur das: Bei Verstößen im Umgang mit personenbezogenen Daten drohen ihnen laut § 42 DSAnpUG über die Geldbußen hinaus strafrechtliche Sanktionen wie eine Freiheitsstrafe von bis zu drei Jahren”, so Küchler weiter.
Mitarbeiter sind heute mit Konnektivität, Mobilität und Video aufgewachsen oder vertraut. Sie nutzen die dazu erforderlichen Technologien privat und auch für die Arbeit bereits jetzt intensiv. Nun gilt es, diese Technologien und ihre Möglichkeiten in Unternehmen strategisch einzusetzen.
Eco rät Unternehmen, spätestens jetzt eine Compliance-Struktur aufbauen, also konkrete Grundsätze und Maßnahmen zur Einhaltung der Datenschutzregeln festzulegen, um sich vor den harten Strafen zu schützen. Dabei sollten sie beispielsweise genau prüfen, welche Daten es in ihrem Unternehmen gibt, ob diese rechtssicher verarbeitet und gesetzeskonform mit Subunternehmen oder Filialen in anderen Ländern geteilt werden. Wichtig sind hierbei regelmäßige Audits, um zu prüfen, inwieweit das Unternehmen den gesetzlichen, datenschutzrechtlichen Anforderungen entspricht. Entscheidend ist auch, Management und Mitarbeiter in Bezug auf Datenschutz und -sicherheit zu schulen und sie für den Umgang mit personenbezogenen Daten zu sensibilisieren. Zudem können technische Lösungen unterstützen, etwa die Implementierung eines Datenmanagementsystems, um Daten sicher zu erfassen, zu speichern, zu verarbeiten und zu analysieren.
Verarbeitet ein Unternehmen besonders sensible Daten, erhebt oder übermittelt es personenbezogene Daten geschäftsmäßig oder beschäftigt es mindestens zehn Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten – dann muss es einen Datenschutzbeauftragten bestellen. Dieser hilft dem Unternehmen, datenschutzkonform zu agieren. Gerade für kleine und mittelständische Unternehmen ist es oftmals schwierig, eigene Mitarbeiter mit dieser Aufgabe zu betrauen. Interne Datenschutzbeauftragte müssen ihre Arbeit zwischen ihrem eigentlichen Beruf und der neuen Herausforderung aufteilen, aufwändige Schulungs- und Weiterbildungsmaßnahmen absolvieren und vor allem besteht das Risiko der hohen Bußgelder.
“Die Bestellung eines externen Datenschutzbeauftragten kann eine gute Alternative sein, da diese Herausforderungen dadurch obsolet sind und vor allem das Haftungsrisiko nach außen getragen wird”, so Küchler. Der Verband eco stellt seinen Mitgliedsunternehmen auf Wunsch diesen externen betrieblichen Datenschutzbeauftragten. Er berät laut eco bei der Erfüllung der datenschutzrechtlichen Anforderungen, schult die Mitarbeiter und führt auch Datenschutzaudits durch.