Warum muss ich die DSGVO ernst nehmen und beachten?

Lesezeit: ca. 5 Minuten

In diesem Abschnitt  soll vorgestellt werden, warum die DSGVO grundsätzlich zu beachten ist. Vielfach herrscht die Auffassung vor, dass die gesetzlichen Regelungen übertrieben sind, Berater die Bedrohungen zu massiv beschreiben und eine Nichtbeachtung der datenschutzrechtlichen Regelungen folgenlos ist. Solche Auffassungen führen in der Praxis dann zu Missachtungen der DSGVO und der gesetzlichen Anforderungen.

Teilweise ist auch zu beobachten, dass zwar externe Unternehmen als Datenschutzbeauftragte mit Gebühren zwischen 100,00 bis 150,00 Euro pro Monat „offiziell“ bestellt werden, faktisch aber keine Umsetzungsmaßnahmen zum Datenschutz ergriffen werden. Unternehmen sind teilweise über die fehlende Unterstützung verärgert, sehen aber die notwendigen Konsequenzen zur Einhaltung der gesetzlichen Vorgaben nicht. Manche Unternehmen sind vielleicht „dankbar“, dass Sie nach der externen Beauftragung mit dem Thema Datenschutz nicht weiter „belästigt“ werden.

Erster Antreiber für die Umsetzung der DSGVO

Der erste Antreiber für die Umsetzung der DSGVO sind die in Art. 83 DSGVO vorgesehenen Bußgelder. Einleitend fordert der Gesetzgeber in Art. 83 Abs. 1 DSGVO, dass Geldbußen wirksam, verhältnismäßig und abschreckend (!) sein sollen. Bemerkenswert ist dabei die Verwendung des Begriffs „abschreckend“.

Offensichtlich ist dem europäischen Gesetzgeber bewusst gewesen, dass eine besondere Betonung der Geldbußen notwendig ist, um bei den Aufsichtsbehörden eine Änderung der bisherigen Bußgeldpraxis zu erreichen. Nach altem Datenschutzrecht war zu beobachten, dass festgesetzte Bußgelder teilweise unter 1.000,00 Euro lagen, und insgesamt Verstöße gegen die Datenschutzgesetze nur zögerlich verfolgt wurden. Dies bestätigte viele Unternehmen in ihrer Vorgehensweise, wegen der geringen Bedrohung seien Umsetzungsmaßnahmen zum Datenschutz nicht notwendig und „sogar“ Zeitverschwendung.

Bereits in den ersten zwölf Monaten seit Inkrafttreten der DSGVO in der Europäischen Union ist zu beobachten, dass die bisherige Bußgeldpraxis heftig verändert wurde. In Portugal hat die Datenschutzaufsicht gegen ein Krankenhaus ein Bußgeld von 400.000,00 Euro festgesetzt, in Dänemark und in Polen wurden Bußgelder von über 100.000,00 Euro gegen Unternehmen festgesetzt und auch in Deutschland liegen erste Bußgelder deutlich über 10.000,00 Euro. Dass es dabei nicht nur Unternehmen trifft, sondern beispielsweise auch Privatpersonen in der Ausübung ihrer ehrenamtlichen Tätigkeit, musste ein Juso-Vorstandsmitglied leidvoll erfahren. In der ehrenamtlichen Tätigkeit wurde ein Bußgeld von über 2.000,00 Euro für einen Datenschutzverstoß festgesetzt. Wenn man diese Bußgelder mit den Geldbußen bei Straßenverkehrsverstößen vergleicht, wird deutlich, dass erheblich andere „Bestrafungs“-Dimensionen erreicht werden.

Der gesetzliche Bußgeldrahmen in den Art. 83 Abs. 4 und Art. 83 Abs. 5 DSGVO gibt den Aufsichtsbehörden die Möglichkeit, Geldbußen von bis zu 10 Millionen Euro oder 20 Millionen Euro festzusetzen. Im Falle eines Unternehmens können Geldbußen von bis zu 2 % oder 4 % des gesamten weltweit erzielten Jahresumsatzes ausgesprochen werden. Zwar ist für viele Unternehmen nicht unmittelbar damit zu rechnen, dass Bußgelder in Millionenhöhe festgesetzt werden. Allerdings würde für viele ein Bußgeld von 10.000,00 Euro oder 100.000,00 Euro schon abschreckend und wirksam genug sein. Ziel der Bußgelder soll es sein, zu einer Verhaltensänderung anzuhalten, sprich, zum einen einen datenschutzkonformen Zustand herzustellen und zum anderen zukünftige Verstöße zu unterbinden.

Die in der Praxis wiederholt anzutreffende Argumentation, dass es billiger sei, ein Bußgeld in Kauf zu nehmen als sich in einem Unternehmen um das Thema Datenschutz zu kümmern, ist in Anbetracht dieser Bußgeldsummen nicht mehr haltbar.

Die Aufsichtsbehörden betonen in öffentlichen Stellungnahmen, dass zukünftig weniger Zeit in die Beratung von Unternehmen investiert wird, sondern mehr Zeit in die Verfolgung von Datenschutzverstößen.

Zusammenfassend ist also festzustellen, dass die Bußgeldbedrohungen für Unternehmen erheblich gestiegen sind. Zwar ist noch keine flächendeckende Verfolgung von Datenschutzverstößen zu beobachten. Sollte sich aber ein Kunde oder ein Mitarbeiter bei der Aufsichtsbehörde über Datenschutzverstöße beschweren, könnte im Nachgang ein entsprechendes Bußgeldverfahren eingeleitet werden. Es ist also aus Sicht der Unternehmen nicht ratsam, die Bußgeldbedrohungen der DSGVO auf die leichte Schulter zu nehmen.

Zweiter Antreiber für die Umsetzung der DSGVO

Der zweite Antreiber ist der in Art. 82 Abs. 1 DSGVO vorgesehene Schmerzensgeldanspruch bei Datenschutzverstößen. Im Moment liegt dazu noch keine Rechtsprechung vor, die bereits bei kleineren Verstößen gegen die DSGVO Kunden oder Mitarbeitern ein Schmerzensgeld zuspricht. Allerdings ist die europäische Rechtsprechung strenger als die deutschen Gerichte. Es bleibt abzuwarten, ob zu einem späteren Zeitpunkt dieses Thema Fahrt aufnimmt.

Dritter Antreiber für die Umsetzung der DSGVO

Einen dritten Antreiber beobachten wir aktuell bei Unternehmen, die wegen Datenschutzverstößen von der Datenschutzaufsicht näher ins Visier genommen werden. In vielen Veranstaltungen und Vorträgen zur DSGVO wird und wurde betont, dass die Bußgelder die Bedrohung für Unternehmen sind. Wir stellen mittlerweile fest, dass weitere aufsichtsrechtliche Maßnahmen ebenfalls eine erhebliche Bedrohung für ein Unternehmen sein können.

Viele Aufsichtsbehörden gehen bei Datenschutzverstößen dazu über, einen detaillierten Fragenkatalog vorzulegen und beispielsweise abzufragen, wie bestimmte Umsetzungen nach der DSGVO im Einzelnen im Unternehmen erfolgt sind. Wie werden beispielsweise die Kunden nach Art. 13 DSGVO ausreichend über die jeweilige konkrete Datenverarbeitung informiert, wie erfolgt die Dokumentation der Datenverarbeitung in Verzeichnissen der Verarbeitungstätigkeiten und weitere Informationsabforderungen, die beim Unternehmen einen erheblichen Aufwand zur Erstellung entsprechender Dokumente generieren, falls diese noch nicht vorhanden sind. Dies umso mehr, da bei einer unzureichenden Darstellung der Umsetzung der DSGVO mit einem Bußgeld in der zuvor beschriebenen Höhe zu rechnen ist. Fehlende Dokumente belegen aus Sicht einer Datenschutzaufsicht die Unzulänglichkeiten im Datenschutz nachweislich und können als Begründung für ein Bußgeld genutzt werden.

Rechenschaftspflicht gem. DSGVO

Gemäß Art. 5 Abs. 2 DSGVO hat jedes Unternehmen eine sog. Rechenschaftspflicht. Nach dieser gesetzlichen Regelung muss ein Verantwortlicher, sprich die Unternehmensleitung, die Einhaltung der DSGVO und der Grundsätze der DSGVO nachweisen können. Genau dies fragen die Aufsichtsbehörden ab. Um hier noch einmal den Vergleich mit dem Straßenverkehrsrecht zu bemühen: Eine solche gesetzliche Anforderung würde bedeuten, dass im Falle einer Polizeikontrolle der betroffene Autofahrer darlegen und beweisen muss, dass er sich an die Verkehrsregeln halten muss, und nicht die Polizei dem Autofahrer beweisen muss, dass er einen Rechtsverstoß begangen hat.

Untersagung der Datenverarbeitung

Neben den Bußgeldern drohen auch Untersagungen von Datenverarbeitungen. Hier mag sich die Unternehmensleitung nur einen Moment vorstellen, wie sich eine Untersagung einer bestimmten   Datenverarbeitung in der Praxis auswirkt. Zwar gibt es gegen entsprechende Untersagungsanordnungen Rechtsmittel. Die verwaltungsgerichtlichen Verfahren dauern aber Wochen und Monate, sodass die wirtschaftlichen und finanziellen Auswirkungen einer solchen Anordnung der Aufsichtsbehörde erheblich sind.

All dies zeigt, dass die DSGVO ernst zu nehmen ist und von Unternehmen unbedingt beachtet werden sollte.

 

 

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen