Die Gesetzesgrundlage
Alle Unternehmen, unabhängig von deren Größe, müssen die Datenschutzvorgaben beachten. Firmen, die zehn oder mehr Mitarbeiter beschäftigen, die personenbezogene Daten verarbeiten, sind zudem verpflichtet einen Datenschutzbeauftragten zu bestellen. Zudem besteht eine Bestellungspflicht, wenn die sogenannte „Wahrscheinlichkeit eines hohen Eintrittsrisikos“ gegeben ist.
Von wem wird die Einhaltung dieser Gesetze kontrolliert?
Fast alle privaten Unternehmen (bis auf Telekommunikation und Post) unterliegen der Aufsicht der Datenschutzaufsichtsbehörden für den nichtöffentlichen Bereich. Diese sind beim jeweiligen Landesdatenschutzbeauftragten oder bei den Landesbehörden (z. B. Innenministerium) angesiedelt. Die Kontrollgremien sind hierbei verpflichtet, allen Meldungen nachzugehen, diese zu bewerten und wenn nötig mit einem Bußgeld zu ahnden.
Seit der massiven Verschärfung der Datenschutzanforderungen im September 2009, die von allen Unternehmen deutlich mehr Transparenz in Bezug auf Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten fordern, werden bereits aktive Kontrollen durchgeführt. Verstärkt werden diese Kontrollen ab Mai 2018 stattfinden, da die Aufsichsbehörden mit Inkrafttreten der neuen Datenschutzvorschriften (EU-DSGVO, BDSG-neu) deutlich mehr Personalressourcen zur Verfügung haben werden.
„Egal, ob Kleinunternehmer oder Großkonzern – eine Prüfung kann jederzeit unangekündigt ins Haus stehen.“
So werden bereits seit 2010 in allen Bundesländern stichprobenartige Prüfungen durchgeführt. Hierbei wird unter anderem abgefragt, wer als Datenschutzbeauftragter bestellt ist und seit wann, ob die Tätigkeit hauptberuflich durchgeführt wird, weiteres Personal zur Umsetzung der Vorgaben zur Verfügung steht und wie die nötige Fachkunde erworben wurde, bzw. kontinuierlich ausgebaut wird.
Wer haftet bei Datenschutzverstößen?
Sobald personenbezogene Daten nicht rechtmäßig erhoben, verarbeitet oder genutzt werden, kann dies empfindliche Strafen nach sich ziehen und Folgen für die Verantwortlichen und das Unternehmen haben. Unternehmer sind hierbei immer für die Sicherheit ihrer Datenprozesse verantwortlich und haftbar, unter Umständen sogar mit dem Privatvermögen.
Wie hoch könnten mögliche Bußgelder sein?
Eine allgemeine Formel, nach der man das Bußgeld eines Datenschutzverstoßes berechnen könnte, gibt es nicht. Es existiert auch kein Bußgeldkatalog. Hierzu sind die Unternehmen und die zu erwartenden Schäden zu vielfältig und somit hängt die Bewertung immer von vielen individuellen Faktoren ab.
Prinzipiell spielen die gesetzlichen Vorgaben eine große Rolle. Beachtet man diese, handelt nach bestem Wissen und Gewissen und dokumentiert seine Entscheidungen, wird dies positiv berücksichtigt. Hier kommt man oft mit einer kostenneutralen Abmahnung aus. Wird aber beispielsweise bewusst kein Datenschutzbeauftragter bestellt oder man beachtet Vorgaben wissentlich nicht, liegt automatisch ein vorsätzlich in Kauf genommenes Verschulden vor.
Empfindlichere Bußgelder (EU-DSGVO)
Die Sanktionen für Datenschutzverstöße werden mit Einführung der EU-DSGVO drastisch erhöht. Waren Bußgelder in der aufsichtsbehördlichen Praxis eher die Ausnahme, können diese zukünftig wesentlich häufiger verhängt werden.
Im BDSG sind noch Bußgelder bis zu 300.000 Euro vorgesehen, bei wirtschaftlichem Vorteil in Einzelfällen auch schon mal mehr. Zukünftig können Bußgelder bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes gegen Unternehmen verhängt werden. Die Berechnung des Umsatzes knüpft dabei an den Umsatz der gesamten Unternehmensgruppe, nicht nur allein an der juristischen Person, die den Datenschutzverstoß zu verantworten hat. Die konkrete Bußgeldhöhe wird von den Umständen des jeweiligen Einzelfalls abhängen und kann auch deutlich unter den Höchstgrenzen liegen.
Neu in der Gesetzgebung der EU-DSGVO sind der Direktanspruch des Betroffenen auch gegen den Auftragsverarbeiter und die Beweislastumkehr. So muss zukünftig nachgewiesen werden, dass das Unternehmen alle nötigen Schritte eingeleitet hat. Dies könnte zu vermehrten Beschwerden und Klagen führen. Unternehmen sollten sich daher darauf einstellen, indem Sie ihre datenschutzrechtlichen Prozesse gut dokumentieren, um sich gegen unbegründete Beschwerden ohne erhöhten Aufwand verteidigen zu können.
Potentieller Imageschaden
Abgesehen vom finanziellen Risiko sollte man eine weitere Komponente nicht außer Acht lassen – den guten Ruf des Unternehmens. Dieser kann aufgrund der Veröffentlichungspflicht, die eine Datenschutzmissachtung nach sich zieht, nachhaltig Schaden nehmen.
Fazit: Unabhängig davon, ob ein Datenschutzbeauftragter bestellt werden muss oder nicht, ist man auf jeden Fall verpflichtet, die Datenschutzvorgaben zu beachten. Falls man dies bewusst nicht tut, setzt man sich automatisch einem hohen unternehmerischen Risiko aus, welches sich existenzgefährdend auswirken könnte. Abhilfe können hier zum Teil schon kleinere Maßnahmen schaffen, wie z.B. Mitarbeiterunterweisungen, bzw. -unterlagen, die dazu verpflichten, die Datenschutzvorgaben des Unternehmens zu beachten.