Wirtschaft & Recht

Bei der DSGVO grei­fen die Auf­sichts­be­hör­den stär­ker durch

Erste Buß­gel­der für Ver­stöße ge­gen die DSGVO zei­gen, dass die Da­ten­schüt­zer ernst ma­chen. Mil­de kann er­war­ten, wer sich ums Ein­hal­ten der Vor­ga­ben be­müht. Das muss aber um­fas­send ge­tan und do­ku­men­tiert wer­den. Hier­für soll­ten Fir­men­chefs un­be­dingt ih­ren An­walt um Rat fragen.

Teilen auf

LinkedIn Xing Whatsapp

Passend zum europäischen Datenschutztag 2019 am 28. Januar hat die Datenschutz-Grundverordnung (DSGVO) noch Futter für Diskussionen geliefert. Das erste hierzulande nach DSGVO verhängte hohe Bußgeld traf die Chat-Plattform knuddels.de. Es kostete sie 20.000 Euro, dass Hacker bei einem Angriff personenbezogene Daten von 330.000 Nutzern erbeutet hatten, darunter Passwörter und E-Mail-Adressen. Frühere Bußgeldbescheide gegen Firmen und Vereine waren eher im dreistelligen Bereich geblieben. Europaweit hatte es zuvor nur zwei substanzielle Geldstrafe wegen Verstoßes gegen die DSGVO gegeben. In Frankreich soll Google 50 Millionen Euro zahlen, in Portugal ein Krankenhaus 400.000 Euro, weil neben Ärzten auch Mitarbeiter mit dem Profil „Techniker“ auf Patientendaten zugreifen konnten. Außerdem fanden sich im System 985 aktive Benutzer mit dem Profil „Arzt“, obwohl dort nur 296 Mediziner tätig waren. Die Klinik kann die Entscheidung anfechten. Grundsätzlich zeigen diese Bußgelder: Mit den Bußgeldbestimmungen der DSGVO haben die Datenschutzbehörden ein ernstzunehmendes Instrument, um Datenpannen zu ahnden.

Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg

Erste Buß­gel­der ge­mäß DSGVO sind Warn­schuss für Be­triebe

Praktiker geben trotz der 20.000 Euro gegen knuddels.de erstmal Entwarnung. Sie sind weit entfernt von 20 Millionen Euro oder vier Prozent des globalen Umsatzes, den ein Verstoß gegen die DSGVO kosten könnte. Im DsiN-Blog, dem IT-Sicherheitsblog für den Mittelstand des Vereins „Deutschland sicher im Netz“ heißt es, das Bußgeld sei „im Rahmen des alten Bundesdatenschutzgesetzes aus der Vor-DSGVO-Zeit“. Schlussfolgerung eins: „Die noch im ersten Halbjahr 2018 für erhebliche Verunsicherung oder gar Panik in Unternehmen sorgende Befürchtung, es würden zukünftig nur noch Bußgelder in Millionenhöhe verhängt, hat sich (natürlich) nicht bewahrheitet.“ Schlussfolgerung zwei: „Eine gem. Art. 33 Abs. 1 DSGVO notwendige, unverzügliche Meldung einer Datenpanne an die zuständige Datenschutzaufsichtsbehörde führt nicht automatisch zu einer Sanktionsbefreiung, wenn im Rahmen der Aufklärung des Sachverhalts Verstöße gegen datenschutzrechtliche Pflichten des Verantwortlichen festgestellt werden.“ Aber ehrlich: Beim Versagen im Datenschutz straffrei zu bleiben, nur weil dies rechtzeitig gemeldet wird – das sollte man wirklich nicht erwarten.

DSGVO stellt tech­ni­sche und or­ga­ni­sa­to­ri­sche An­for­derungen

Wichtig ist eine Klarstellung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI), der das knuddels.de-Bußgeld verhängt hatte. „Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen“, so der Landesbeauftragte Stefan Brink. „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“ Wer sich rechtzeitig und nachweislich umfassend um Datenschutz kümmert, kann bei einer Datenpanne auf Milde hoffen. Die Behörde weiß, dass es keine hundertprozentige Sicherheit gibt. Sie honoriert allerdings nur vorbildliche Reaktionen auf Schwachstellen beim Datenschutz und sofortige Verbesserungen. Firmenchefs sollten sich daher fragen, ob sie alle technischen und organisatorischen Maßnahmen umgesetzt haben, die die DSGVO erfordert. Das kann mehr sein, als in vielen Betrieben unter Zeitdruck beim DSGVO-Endspurt bis Mai 2018 womöglich getan wurde.

Vorgaben der DSGVO für den Be­trieb mit An­walt be­sprechen

Breit diskutiert werden Datenschutz und DSGVO vor allem, wenn ein Aspekt aufregt und Emotionen ins Spiel kommen. Rasterfahndung beim Popkonzert durch eine Software für Gesichtserkennung, um Stalker zu entdecken. Automatische Erfassung von Nummernschildern, um Diesel-Fahrverbote zu kontrollieren. Klingeln an Mietshäusern, auf denen kein Name stehen darf. Smartes Spielzeug, dass Lauschangriffe auf Kinder ermöglicht. E-Autos deutscher Hersteller, die chinesischen Behörden den Zugriff auf Standortdaten erlauben. Interessant, aber für Inhaber kleiner und mittlerer Betriebe im geschäftlichen Alltag irrelevant. Sie müssen vor allem klären, wie sich die für sie aus der DSGVO entstehenden Pflichten im Umgang mit personenbezogenen Daten erfüllen lassen. Dafür empfiehlt sich ein Gespräch mit dem Anwalt. Er kann beurteilen, ob alle organisatorischen Aspekte berücksichtig sind, die die DSGVO anspricht. Das reicht von der Einwilligung in die Datenerhebung über das Verarbeitungsverzeichnis, das Löschkonzept und die Datenschutzerklärung auf der Webseite bis zur Frage, ob ein Datenschutzbeauftragter zu berufen ist.

Wer mit einem durchdachten, alle wichtigen Aspekte abdeckenden Plan für Datenschutz punkten und ein sauberes Verarbeitungsverzeichnis vorlegen kann, hat sicher bessere Karten als DSGVO-„Ignorierer“

Frederick Richter, Vorstand der Stiftung Datenschutz in Leipzig

Wer die DSGVO ig­no­riert, darf bei Pan­nen kei­ne Mil­de erwarten

Ein Tipps für alle, die sich immer noch nicht mit der DSGVO beschäftigt haben: Mit Checklisten des Bayerischen Landesamts für Datenschutzaufsicht für ausgewählte Wirtschafts- oder Tätigkeitsbereiche lässt sich prüfen, welche Anforderungen die Datenschutz-Grundverordnung stellt. Das gibt einen Überblick, ersetzt aber nicht das Gespräch mit einem Anwalt oder Datenschutzexperten. Im direkten Austausch lässt sich klären, welche DSGVO-Bestimmungen einen Betrieb betreffen und wie Anforderung am besten zu erfüllen ist. Allen Anforderungen gerecht zu werden und dies zu dokumentieren, ist wiederum Voraussetzung für Nachsicht seitens die Behörden nach einer Datenpanne. Und in absehbarer Zeit auch darüber hinaus. Frederick Richter, Vorstand der Stiftung Datenschutz in Leipzig, erwartet, dass die Prüfer bald in Betriebe gehen, um die Einhaltung der DSGVO zu kontrollieren: „Wer mit einem durchdachten, alle wichtigen Aspekte abdeckenden Plan für Datenschutz punkten und ein sauberes Verarbeitungsverzeichnis vorlegen kann, hat sicher bessere Karten als DSGVO-„Ignorierer“.

Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.