Im Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO oder GDPR von General Data Protection Regulation) in Kraft getreten.
Die Datenschutz-Grundverordnung (DSGVO) der EU vereinheitlicht die Regeln für die Verarbeitung personenbezogener Daten durch private und öffentliche Unternehmen. Die Verordnung zielt darauf ab, den Schutz von personenbezogenen Daten innerhalb der Europäischen Union sicherzustellen.
Das zugrunde liegende Gesetz wurde am 14. April 2016 angenommen und trat per 25. Mai 2018 in Kraft. Seit diesem Datum kann die EU denjenigen Unternehmen, die sich nicht an die Bestimmungen halten, Bußgelder in Höhe von entweder vier Prozent des jährlichen Umsatzes oder bis zu 20 Millionen Euro (je nachdem, welche Summe höher ausfällt) verhängen. Auch können weitere Sanktionen auferlegt werden. Hiervon betroffen sind nicht nur Unternehmen innerhalb der EU, sondern auch nicht EU-Staaten, die Dienstleistungen oder Services für den EU-Markt bereitstellen.
Gesetzesgrundlagen in Datenschutzfragen
Während die Datenschutz-Grundverordnung die wichtigste Quelle für die Klärung datenschutzrechtlicher Fragen ist, gibt es eine Vielzahl von Öffnungsklauseln, die den EU-Mitgliedstaaten Rechtsetzungsbefugnisse einräumen. Für den DACH-Raum gilt Folgendes:
- Deutschland hat ein entsprechendes DSGVO-Umsetzungsgesetz erlassen, welches ebenfalls seit dem 25. Mai 2018 gilt und das bisherige Bundesdatenschutzgesetz (BDSG) ersetzt.
- Für Österreich wurde die Umsetzung der DSGVO durch mehrere Anpassungsgesetze zum nationalen Datenschutzgesetz
vorgenommen. - Während die DSGVO, anders als die EU-Richtlinie 2016/680 zum Datenschutz in Strafsachen keine Weiterentwicklung des Schengen-Besitzstandes ist, ist sie für die Schweiz nicht direkt verbindlich. Dennoch gilt die DSGVO auch für Unternehmen in der Schweiz, wenn diese Personen in der EU Waren oder Dienstleistungen anbieten oder wenn das Verhalten von Personen in der EU beobachtet wird. Zusätzlich wird in der Schweiz ein Pendant zur DSGVO ausgearbeitet, ein neues Bundesgesetz über den Datenschutz.
Was passiert nun, wenn sich ein Unternehmen nicht an die Vorschriften der DSGVO hält oder auch unbewusst gegen das Gesetz verstößt?
Bußgelder und Strafen
Die nationalen Aufsichtsbehörden sind nach der DSGVO angehalten, für bestimmte Datenschutzverstöße Abmahnungen oder Bußgelder zu verhängen. Zusätzlich hat auch eine jede Person, die glaubt, dass die Verarbeitung der sie betreffenden personenbezogenen Daten nicht rechtmäßig geschieht, das Recht, eine Beschwerde bei der Datenschutzbehörde einzubringen.
Einen Überblick über die Aufsichtsbehörden finden Sie hier: Deutschland, Österreich. Eine europaweite Liste kann hier abgerufen werden.
Zum besseren Verständnis der Konsequenzen eines Verstoßes gegen die DSGVO wird folgendes Fallbeispiel herangezogen.
Deutsche Wohnen SE
Die Immobiliengesellschaft erhielt am 30. Oktober 2019 den bis dato höchsten Bußgeldbescheid aufgrund von Verstößen gegen die DSGVO: 14,5 Millionen Euro. Die Behörde der Berliner Datenschutzbeauftragten hatte bei einem Besuch vor Ort schwere Verstöße festgestellt.
Vorgeworfen wurde dem Unternehmen die Speicherung von Mieterdaten in einem Archivsystem, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Es fehlte ein Prüfung, ob die Speicherung der Daten überhaupt notwendig oder zulässig ist. In Einzelfällen konnten alte private Angaben eingesehen werden, obwohl diese dem Zweck der ursprünglichen Erhebung nicht mehr dienten. Es dürfen nämlich keine personenbezogenen Daten über das Mietverhältnis hinaus gespeichert werden. Inhalt dieser Daten waren persönliche finanzielle Verhältnisse, wie Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.
Bereits 2017 waren diese Missstände im Zuge einer Prüfung durch die Datenschutzbeauftragte aufgefallen. Auch im März 2019, neun Monate nach Inkrafttreten der DSGVO, waren diese noch nicht beseitigt. Die bis dahin getroffenen Maßnahmen waren nicht ausreichend, um einen rechtssicheren Zustand personenbezogener Daten herstellen zu können. Das Bußgeld musste also gemäß Artikel 25 Abs. 1 DSGVO sowie Artikel 5 DSGVO für den Zeitraum von Mai 2018 bis März 2019 verhängt werden.
Da Bußgelder nicht nur verhältnismäßig und wirksam, sondern auch abschreckend sein sollen, wird zur Bemessung der weltweit erzielte Vorjahresumsatz herangezogen. Dementsprechend hätte der gesetzliche Rahmen für dieses Bußgeld sogar bei ca. 28 Millionen Euro gelegen. Mildernd wurde aber berücksichtigt, dass bereits erste Maßnahmen zur Beseitigung des Missstandes eingeführt worden waren. Zudem konnten dem Unternehmen keine missbräuchlichen Zugriffe auf die fälschlich gespeicherten Daten nachgewiesen werden.
Weitere DSGVO-Verstöße
DSGVO-Verstöße sind keine Seltenheit und treffen unterschiedlichste Unternehmen, so wurden im Herbst 2019 auch Bußgelder gegen das Telekommunikationsunternehmen 1&1 sowie gegen den Online-Lieferdienst Delivery Hero. Das liegt zwar auch an der Komplexität des Datenschutzgesetzes, hängt aber oft mit Unwissen bzw. mangelnder Sorgfalt der Unternehmen in Datenschutzbelangen zusammen.
Nachdem ein DSGVO-Verstoß ein jedes Unternehmen treffen kann, ist es wichtig, über die Schritte und Vorgehensweisen im Falle eines Verstoßes Bescheid zu wissen sowie über relevante Krisenkommunikationsstrategien zu verfügen.
Was müssen Sie tun, falls es doch mal zu einem DSGVO-Verstoß kommt?
Im Fall eines DSGVO-Verstoßes, stellen Sie sicher, dass Sie Ihr Vorgehen auf Artikel 33 und 34 der DSGVO stützen. Für Unternehmen jeglicher Größe und Handelsstufe kann bei einer Datenschutzpanne geraten werden, nicht zu verzweifeln oder in Panik zu geraten, sondern mit der jeweiligen Ordnungsbehörde zusammenzuarbeiten. Wichtig ist es auch, Transparenz und Aufklärungsbemühungen zu signalisieren und klar zu kommunizieren, dass Sie nicht nur zur Schadenswiedergutmachung bereit sind, sondern auch gewillt sind, die dem Verstoß zugrunde liegende Technik, auf den neuesten Stand zu bringen. Das kam auch der Deutschen Wohnen bei der Bemessung der Bußgeldhöhe zugute.
Wie melden Sie einen DSGVO-Verstoß?
Ob durch einen Cyberangriff, Softwarefehler, Hardwareausfall oder durch menschliches Versehen verursacht, Unternehmen sind nach Art. 33 Abs. 5 DSGVO verpflichtet, sogenannte Verletzungen des Schutzes personenbezogener Daten bei der zuständigen Datenschutz-Aufsichtsbehörde zu melden. Theoretisch klingt das einleuchtend, aber wie sieht dieser Vorgang in der Praxis aus?
Während hinsichtlich der Form der Meldung keine gesetzlichen Vorgaben existieren, macht es aus Beweisgründen Sinn, die Meldung in Textform einzubringen. Die verantwortlichen Aufsichtsbehörden haben hierfür Meldeformulare erstellt, welche online abrufbar sind.
Hier finden Sie eine Liste der Behörden, mit den jeweiligen Formularen, gelistet für alle deutschen Bundesländer. Für Österreich bietet die Website des Bundeskanzleramts ein Formular der Datenschutzbehörde.
Generell besagt Artikel 33 der DSGVO, dass die Meldung einer Verletzung des Schutzes personenbezogener Daten durch den Verantwortlichen unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerdung bei der zuständigen Aufsichtsbehörde zu einzugehen hat. Im Falle einer Verzögerung der Meldepflicht muss eine Begründung für die Verzögerung beigelegt werden.
Die Meldung hat folgende Informationen zu enthalten:
- Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien sowie der geschätzten Anzahl an betroffenen Personen
- Name und Kontaktdaten des Datenschutzbeauftragten
- Beschreibung der wahrscheinlichen Folgen des DSGVO-Verstoßes
- Skizzierung der geplanten Maßnahmen zur Behebung der DSGVO-Verletzung sowie Maßnahmen zur Milderung möglicher Auswirkungen
Wichtig ist auch, dass nach Art. 33 Abs. 5 DSGVO eine Dokumentationspflicht besteht, daher muss der Verantwortliche sicherstellen, dass alle Faktoren, die zum DSGVO-Verstoß geführt haben, klar aufbereitet und dokumentiert werden.
Nachdem rasches Handeln nach Bekanntwerden einer DSGVO-Verletzung höchste Priorität hat, lohnt es sich, einen Krisenkommunikationsplan für den Fall eines DSGVO-Verstoßes zu haben. Je besser Ihr Unternehmen auf die Eventualität eines DSGVO-Verstoßes vorbereitet ist, desto höher sind Ihre Chancen, mit einem geringen Bußgeld oder gar „nur“ einer Abmahnung davon zu kommen.
Prävention
Während unserer Recherche haben wir gelernt, dass ein DSGVO-Verstoß jedem Unternehmen passieren kann. Um das Risiko einer DSGVO-Verletzung und die damit einhergehenden Folgen zu minimieren, macht es Sinn, Präventionsmaßnahmen zu ergreifen. Neben einer soliden Krisenkommunikationsstrategie sollte ein Datenschutzbeauftragter ernannt werden. Um Datensicherheit in allen Bereichen Ihres Unternehmens sicherzustellen und einem DSGVO-Verstoß aktiv entgegenzuwirken, sollten Sie alle von Ihrem Unternehmen verwendeten Applikationen und Softwareprodukte auf DSGVO-Konformität überprüfen.
