Hohe Bußgelder auch in Deutschland nur eine Frage der Zeit

Montag, 19. August 2019


Bisher waren die deutschen Datenschutzaufsichtsbehörden mit hohen Bußgeldern beim Datenschutz zurückhaltend. Doch es ist nur eine Frage der Zeit, bis auch in Deutschland Strafen in Millionenhöhe gegen Unternehmen verhängt werden. So kündigte die Berliner Beauftragte für Datenschutz und Informationsfreiheit Medienberichten zufolge an, ein Bußgeld in zweistelliger Millionenhöhe verhängen zu wollen. Um welches Unternehmen es sich handelt, könne aus rechtlichen Gründen im laufenden Verfahren nicht gesagt werden, erklärte einer Sprecherin der Behörde. Sie teilte aber mit, dass Berlin wegen Verstößen gegen den Datenschutz bereits vergangene Woche zwei Bußgelder in Höhe von 200.000 Euro gegen ein Unternehmen erlassen habe. Daher gilt umso mehr: Vorsorge ist besser als Nachsorge. Wer sich gut in Sachen Datenschutz aufstellt, hat wenig zu befürchten.

Vorsorge ist besser als Nachsorge

Unternehmen können sich gegen hohe Bußgelder vor allem durch eine gute Vorbereitung wappnen. Vor Gericht entscheide oft die Beweislage über Erfolg und Misserfolg, erklärt Tim Wybitul, Datenschutzexperte der Kanzlei LATHAM & WATKINS LLP im Interview mit der Börsen-Zeitung. Nach der DSGVO müssten Unternehmen nachweisen können, "dass sie alle Vorgaben des Datenschutzes richtig umgesetzt haben". In der Praxis sei das eine hohe Hürde, "die umfangreiche Dokumentation und Planung" erfordere.

Risiken identifizieren

Zunächst müssten Unternehmen problematische beziehungsweise risikobehaftete Vorgänge und Geschäftsbereiche identifizieren. Sie sollten Lücken bei der Umsetzung der DSGVO schließen, rät Wybitul. Zudem sollte die Dokumentation zum Datenschutz so vorbereitet werden, "dass ein Richter sie verstehen kann".

Verteidigungshandbuch für Krisenfälle

Vor allem sollten Unternehmen ein "Verteidigungshandbuch" haben, "das Vorgehen, Abläufe und Zuständigkeiten klar regelt, wenn die Behörde vor der Tür steht oder ein Anhörungsbogen in der Post ist". Auch an mögliche Schadensersatzansprüche von Verbrauchern, deren Daten man verarbeitet, müsse man denken, erläutert Wybitul. In Berlin biete ein erstes Unternehmen Verbrauchern an, DSGVO-Ansprüche einzuklagen. Das Unternehmen prüfe mögliche Ansprüche und vermittele bei guten Erfolgsaussichten einen Anwalt. Dabei trage die Gesellschaft die Anwalts- und Gerichtskosten und behalte dafür 25 Prozent von den erfolgreich eingeklagten Schadenersatzforderungen, so Wybitul.

Lücken bei der Umsetzung der DSGVO schließen

Es führt also kein Weg daran vorbei, den Datenschutz ernst zu nehmen. Wer personenbezogene Daten verarbeitet, müsse sicherstellen, dass die Datenschutzanforderungen erfüllt sind. Dazu gehöre auch die regelmäßige Überprüfung der eigenen Datenverarbeitung, mahnt Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein in einer aktuellen Stellungnahme der Behörde.

Hansen gibt Unternehmen wichtige Tipps mit auf den Weg, worauf besonders zu achten ist:

  • Ihre Webseite wirkt wie eine Visitenkarte. Informieren Sie die Nutzerinnen und Nutzer in einer verständlichen Datenschutzerklärung.
  • Sofern Sie Formulare für die Eingabe von Kundendaten anbieten, sorgen Sie für eine Verschlüsselung auf Ihrem Webserver.
  • Dokumentieren Sie die Rechtsgrundlagen (Vertrag, Einwilligung oder berechtigte Interessen) für Ihre Verarbeitungstätigkeiten.
  • Legen Sie in Ihrem Unternehmen die Zuständigkeiten für Datenschutz und Datensicherheit fest, auch wenn Sie nicht verpflichtet sein sollten, einen Datenschutzbeauftragten zu benennen. Richten Sie standardisierte Abläufe ein, damit Sie problemlos auf Anfragen von Betroffenen reagieren können, die ihre Rechte wahrnehmen wollen.
  • Prüfen Sie die Verträge mit Dienstleistern, die in Ihrem Auftrag personenbezogene Daten verarbeiten, hinsichtlich der festgelegten Datenschutzanforderungen.
  • Achten Sie bei Beschaffungen und Ausschreibungen darauf, dass Produkte und Dienste datenschutzkonform sind.
  • Denken Sie an die Informationssicherheit: Vom Schutz gegen Viren und Trojaner über Firewall-Absicherung bis hin zu regelmäßigen Datensicherungen.
  • Schärfen Sie bei Ihren Beschäftigten das Bewusstsein für Datenschutzfragen und schulen Sie sie im Umgang mit Daten. Ermutigen Sie dazu, Verbesserungsmöglichkeiten oder Datenschutzpannen rasch zu melden.

Sollten dennoch Datenschutz-Abmahnungen eintreffen, rät Hansen zu einer genauen Prüfung dieser Abmahnungen – ggf. auch mit anwaltlicher Hilfe. Auf keinen Fall sollte ungeprüft der geforderte Betrag gezahlt werden.

Hansen betont:

"Wird man auf vorhandene Datenschutz-Fehler hingewiesen, muss man dem nachgehen und Maßnahmen treffen, um im grünen Bereich zu sein. Achtung: Falls Datenpannen passiert sind und daraus ein Risiko für die betroffenen Personen folgt, muss dies bei der Datenschutzaufsichtsbehörde gemeldet werden. In Fällen mit hohem Risiko müssen außerdem die Betroffenen benachrichtigt werden."

Fazit

Kein Unternehmen ist perfekt. Doch das Ziel muss klar sein: Lücken bei der Umsetzung der DSGVO sollten geschlossen werden. Jedes Unternehmen sollte zudem nachweisen können, im Einklang mit den Vorgaben der Datenschutzbestimmungen zu handeln. Das setzt eine lückenlose und nachvollziehbare Dokumentation sämtlicher Maßnahmen im Datenschutz voraus. Datenschutzfehler und Datenschutzpannen lassen sich nicht immer vermeiden. Doch auch hier hilft eine gute Vorbereitung, um für den Fall der Fälle vorbereitet zu sein. procado unterstützt Sie gerne bei der Umsetzung. (fl)

Quellen:

Datensicherheit.de vom 15.08.2019: Datenschutz: Latham & Watkins rät Unternehmen zu guter Vorbereitung

Berliner Morgenpost vom 13.08.2019: Berlin will Datenschutz-Bußgeld in Millionenhöhe verhängen

Börsen-Zeitung vom 10.08.2019: Fehler beim Datenschutz eröffnen Möglichkeiten zu Massenklagen – Interview mit Tim Wybitul

Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein vom 09.08.2019: Datenschutz: Vorsorge ist besser als Nachsorge – auch ohne Abmahnwelle