dsgvo - konformität - bewahrt - mittelständler - vor - existenzbedrohenden - bußgeldern

Am 25. Mai müssen Unternehmen im Geltungsbereich der DSGVO (Datenschutz-Grundverordnung) alle ihre Anforderungen umgesetzt haben. Sonst drohen sehr hohe Bußgelder und weitere Sanktionen. Gerade für kleinere Unternehmen ist das eine erhebliche Herausforderung.

Das in Deutschland bislang geltende Bundesdatenschutzgesetz (BDSG) wird am 24. Mai 2018 weitgehend durch die Regeln der EU-DSGVO (Europäische Datenschutz-Grundverordnung) abgelöst. Diese Verordnung wurde am 4. Mai 2016 von der EU veröffentlicht (eur-lex.europa.eu ), trat am 24. Mai 2016 in Kraft und wird nun, nach Ablauf der zweijährigen Übergangsfrist, unmittelbar geltendes Recht im gesamten EU-Bereich.

Warum DSGVO?

Viele werden sich fragen, warum eine solche Verordnung überhaupt nötig ist – schließlich hat Deutschland ja anerkanntermaßen mit dem BDSG eines der besten und strengsten Datenschutzgesetze der Welt. Doch im Zeitalter von Digitalisierung, Europäisierung und Globalisierung reicht das nicht mehr. Der Vorläufer der Verordnung, die 1995 erlassene Europäische Datenschutzrichtlinie (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) ließ den EU-Ländern einen recht weiten Spielraum bei der Umsetzung, was zu unterschiedlichen Rechtspraxen und Gesetzen in den europäischen Ländern führte. Das erschwerte Unternehmen, die Aktivitäten in mehr als einem Land unterhielten, die Entfaltung, weil sie die Gesetze mehrerer Länder beachten mussten. Zudem war der Schutzstandard für die Bürgerinnen und Bürger in jedem Land anders, was gerade finanzkräftige Großunternehmen durch entsprechende Ansiedlungsstrategien für sich nutzen konnten und eher nachteilig für den Mittelstand war.

Kurz: Die herrschende Realität widersprach gravierend dem Vorhaben der EU, einen einheitlichen Wirtschaftsraum für den digitalen Handel aufzubauen, der auch mittelständischen Unternehmen neue Chancen eröffnen würde. Gleichzeitig sollen durch die neue Norm die europäischen Werte und Vorstellungen hinsichtlich der Autonomie des Einzelnen und des Rechtes auf Datenschutz gestärkt werden.

Unter der neuen Regelung gibt es zwar noch immer einige Umsetzungsspielräume für das nationale Recht, jedoch sind sie erheblich kleiner. Nationale Gesetze dürfen das allgemeine Schutzniveau nicht absenken, sondern höchstens Bestimmungen der DSGVO konkretisieren. Das strenge deutsche Datenschutzrecht wurde durch die DSGVO zwar in einigen Bereichen abgeschwächt, im Großen und Ganzen aber in seinem Wesenskern erhalten.

Für wen gilt die DSGVO?

Die Regeln der DSGVO müssen grundsätzlich alle einhalten, die im Geltungsbereich der Verordnung, also in Europa, personenbezogene Daten zu geschäftlichen Zwecken verarbeiten, egal, ob es sich um öffentliche oder nicht-öffentliche Stellen handelt. Eine Ausnahme gilt nur für eine private und mit keinerlei geschäftlichen Interessen verbundene Verarbeitung persönlicher Daten, beispielsweise den Aufbau eines innerfamiliären Mailverteilers oder den Versand eines Rundbriefs für einen gemeinnützigen Verein.

Wichtig für IT-Dienstleister und Cloud-Service-Provider: Wer als Auftragsdatenverarbeiter tätig wird, trägt zukünftig eine Mitverantwortung für die ordnungsgemäße Verarbeitung der Daten seiner Kunden, soweit sie bei ihm erfolgt. Findet also ein Datenschutzverstoß durch ein Kundenunternehmen bezüglich der Daten statt, die bei einem bestimmten Cloudprovider lagern, kann dieser Provider in Sanktionen einbezogen werden. Bisher waren Cloud-Provider als Auftragsdatenverarbeiter nur für die Sicherung ihrer Infrastruktur verantwortlich, nicht aber dafür, wie die Kunden Daten bei ihnen verarbeiten ließen.

Im Gegensatz zum bisherigen Stand der Dinge gilt nach der DSGVO das Marktortprinzip: Wo der Kunde den Service erwirbt, entscheidet über die anzuwendenden Gesetze. Auch ausländische Unternehmen fallen also unter die DSGVO, sobald sie europäischen Kunden Waren oder Dienstleistungen liefern. Wer etwa als IT-Dienstleister datenschutzrelevante Produkte nicht-europäischer Anbieter im Programm hat, etwa den Cloud-Service eines amerikanischen Serviceanbieters, muss sich darüber im Klaren sein, dass auch diese Produkte dem europäischen Datenschutzrecht unterliegen. Auch wenn ein Anwender Services direkt, also ohne Integrator oder IT-Dienstleister, von einem US-Cloud-Dienstleister bezieht, ist dieser zukünftig bezüglich der europäischen Kunden gezwungen, die DSGVO einzuhalten.

Nach dem BDSG gilt dagegen innerhalb der EU das Sitzprinzip: Auf EU-Unternehmen, die ihre digitalen Services deutschen Kunden anbieten, wird das Recht des Herkunftslandes des Unternehmens angewandt, selbst wenn sie an deutsche Kunden verkaufen. Für Unternehmen aus Nicht-EU-Ländern, die deutsche Kunden bedienen, gilt allerdings nach dem BDSG das deutsche Datenschutzrecht und sie müssen wie auch unter der neuen DSGVO einen Rechtsvertreter in Deutschland benennen.

Das BDSG unterscheidet zudem zwischen öffentlichen und nicht-öffentlichen Unternehmen, wobei öffentliche Unternehmen, die mit Unternehmen konkurrieren, wie nicht-öffentliche Akteure behandelt werden. Insbesondere müssen nicht-öffentliche Stellen mit mehr als 10 Mitarbeitern, die personenbezogene Daten digital verarbeiten einen Datenschutzbeauftragte ernennen. Das wird wohl auch in Zukunft so bleiben – hier konkretisiert das BDSG nämlich die Anforderungen der DSGVO.

BDSG und DSGVO definieren Unternehmen unterschiedlich!

Unangenehme Konsequenzen kann es haben, dass DSGVO und BDSG den Begriff „Unternehmen“ unterschiedlich definieren. Das BDSG versteht unter einem Unternehmen eine rechtliche Einheit, etwa eine GmbH oder eine Personengesellschaft. Konzerne sind nach dem BDSG nicht gesamtverantwortlich und können auch nicht als Einheit in Haftung genommen werden, sofern sie nicht als Gesamtheit handeln. Vielmehr trifft die Verantwortung bei Konzernverbünden immer die handelnde Einheit, also beispielsweise ein bestimmtes Tochterunternehmen – der Konzern bleibt von Sanktionen unbehelligt.

In der DSGVO dagegen wird die gesamte wirtschaftliche Einheit in den Blick genommen – Verstöße der deutschen GmbH eines multinationalen Konzerns, etwa das deutsche Tochterunternehmen eines US-IT-Integrators oder -Cloud-Providers, können dem Gesamtkonzern angerechnet werden. Besonders relevant ist das für die Berechnung von Bußgeldern.

Wer nicht hören will, muss fühlen: Bußgelder unter der DSGVO und dem BDSG

Das BDSG regelt die Erteilung von Bußgeldern in §43 BDSG. Verglichen mit den Bußgeldern, die die DSGVO vorsieht, ist deren Höhe recht übersichtlich: Für einfache Verstöße (§43, Abs. 1 BDSG), beispielsweise gegen die Meldepflicht bei Datenschutzzwischenfällen, fallen Bußgelder bis 50.000 Euro an, für schwerere, etwa die unerlaubte Erfassung personenbezogener Daten, die nicht allgemein zugänglich sind, bis zu 300.000 Euro (§43, Abs, 2 BDSG). Nur, wenn der wirtschaftliche Vorteil des Fehlverhaltens durch die Buße nicht ausgeglichen wurde, sind höhere Strafen möglich. Dazu konnten allerdings bei schwereren Verstößen gemäß §43, Abs. 2 BDSG als strafrechtliche Konsequenz bis zu zwei Jahre Haft bei betrügerischer Absicht  (§44BDSG) treten.

Die neue EU-DSGVO langt bei Verstößen erheblich kräftiger zu – so kräftig, dass gerade kleinere Unternehmen in ihrem Bestand bedroht sein können. Denn Ziel der neuen Bestimmung ist ausdrücklich nicht nur, unrechtmäßig erworbene Gewinne abzuschöpfen, sondern auch, andere vom Übertreten der DSGVO-Regeln abzuschrecken. Erhoben werden können Bußgelder bis 2 Prozent des weltweiten Umsatzes des Vorjahres oder 10 Millionen Euro, bei besonders schwerwiegenden Verstößen 4 Prozent oder 20 Millionen Euro vom weltweiten Umsatz des Vorjahres, wobei jeweils die höhere Summe gewählt werden soll.

Besonders gravierend ist, dass als Maßstab der Bußgeldbemessung der Umsatz der gesamten wirtschaftlichen Einheit herangezogen werden kann, nicht nur der rechtlichen Einheit, die den Verstoß begangen hat. Gehört also ein Marketingdienstleister zu einem Agenturverbund, der gemeinsam wirtschaftet, kann bei Verstößen gegen die Handhabung persönlicher Daten dieses Dienstleisters der weltweite Umsatz des gesamten Verbundes herangezogen werden, um das Bußgeld zu berechnen – möglicherweise ein existenzgefährdendes Risiko gerade bei kleineren Unternehmen. Dazu kommt in der Regel ein erheblicher Reputationsverlust, wenn die Ursache des Bußgeldes öffentlich meldepflichtig ist.

Dazu können Auflagen treten, etwa die Behebung des Übertretungstatbestandes oder als letzte Konsequenz ein zeitweiliges Verbot der Verarbeitung persönlicher Daten. Das bedeutet heute bei nahezu jedem Unternehmen, vor allem aber bei ganz oder vorwiegend aufs digitale Geschäft ausgerichteten, kompletten Stillstand.

Doch das ist noch nicht alles: Laut Art. 84 DSGVO, einer der wenigen Öffnungsklauseln der Verordnung für nationales Recht, können die Mitgliedstaaten ergänzend weitere Strafvorschriften erlassen, die dann zusätzlich auf das betroffene Unternehmen zukommen. Diese ergänzenden Strafvorschriften müssen lediglich wirksam, angemessen und abschreckend sein.

Zuständig sind die nationalen Aufsichtsbehörden

Verhängt werden Bußgelder und Sanktionen von den im jeweiligen EU-Land zuständigen Aufsichtsbehörde (Art. 55 DSGVO), in Deutschland also von den jeweiligen Landesdatenschutzämtern, wenn es sich bei dem Regelbrecher um ein Unternehmen handelt. Um das Verhalten von Bundesbehörden kümmert sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI).

Geht es um Verstöße bei internationalen Datentransfers, sind mehrere Aufsichtsbehörden zuständig. Dann übernimmt die Federführung die Behörde des Landes, wo sich die Hauptniederlassung des Verantwortlichen oder seines Auftragsdatenverarbeiters befindet. Anders ist es, wenn eine Beschwerde wegen der Übertretung einer DSGVO-Regelung ausschließlich oder überwiegend Betroffene in dem Land schädigt, in dem der Verstoß gemeldet wird. Dann reicht es bei Verstößen im internationalen Datenverkehr aus, wenn sich die dortige Aufsichtsbehörde damit beschäftigt.

Die Aufsichtsbehörden müssen nicht auf Beschwerden von Nutzern warten, bis sie gegen Regelverletzer tätig werden können. Auch unbeteiligte Dritte – etwa Konkurrenten – können Regelverletzungen anzeigen. Und schließlich können und sollen die Behörden auch selbst Prüfungen auf DSGVO-Konformität bei Unternehmen durchführen.

Es ist also in Zukunft auch für kleine Unternehmen existentiell, die zahlreichen Tatbestände zu kennen, die zur Verhängung von Bußgeldern führen können, um risikoreiche Bußgeldverfahren zu verhindern. Die Tatbestände hier aufzuführen, würde den Rahmen des Beitrags sprengen. Eine Liste finden Sie hier ((Link einfügen)).

Vorbeugen statt zahlen

Doch können Bußgelder und Sanktionen selbst bei Verstößen erheblich weniger schweriwiegend ausfallen. Denn die Aufsichtsbehörden sollen in jedem Einzelfall überprüfen, ob entlastende Umstände geringere Zahlungen und weniger schwerwiegende Konsequenzen rechtfertigen.

Als entlastender Umstand darf zum Beispiel bewertet werden, wenn sich Unternehmen nachweisbar bemüht haben, Verstöße gegen das Datenschutzrecht zu verhindern (Art. 83, Abs 2c, d ). Man kann davon ausgehen, dass eines der wichtigsten Indizien dafür sein wird, ob ein Unternehmen aktive Bemühungen im Vorfeld des Inkrafttretens der DSGVO nachweisen kann, seine Schwachstellen zu analysieren und gezielt Abhilfe zu schaffen. Das gilt auch für Auftragsdatenverarbeiter, da sie stärker als bisher Mitverantwortung auch für das Verhalten ihrer gewerblichen Kunden übernehmen müssen, die ihrerseits personenbezogene Daten mit Hilfe entsprechender digitaler Services verarbeiten lassen.

Viele kleine und mittelständische Unternehmen dürften allerdings mit einer umfassenden Analyse ihres Unternehmens auf Schwachstellen, die zu Verstößen gegen die DSGVO führen könnten, überfordert sein. Genauso gilt das für die Ableitung notwendiger Maßnahmen und deren Umsetzung – schließlich ist Datenschutz für die meisten Firmen nicht das Kerngeschäft.

Vielmehr handelt es sich um eine übergeordnete Querschnittsaufgabe, deren Bewältigung unter Umständen vom kritischen Blick eines fachkundigen Beraters stark profitieren kann. Denn solche Berater kennen aus Erfahrung die möglichen Schwachstellen einer Datenschutzstrategie, die datenschutzrechtlich relevanten Zusammenhänge zwischen einzelnen Unternehmensbereichen und die Hindernisse bei der Umsetzung einer rechtskonformen Strategie.

Entscheidend für die Auswahl eines Beratungspartners ist, dass er seine Fähigkeiten durch entsprechende Zertifizierungen und praktische Erfahrungen nachweisen kann. Ein Beratungshaus, das helfen soll, ein Unternehmen fit für die DSGVO zu machen, sollte sich nicht nur in der Technik, sondern auch im aktuellen Recht auskennen, am besten nachgewiesen durch Fachleute mit entsprechendem Studienabschluss und Spezialisierung auf Rechtsgebiete wie den Datenschutz.

Besonders vorteilhaft dürfte es sich auswirken, wenn zu technischem und juristischem Wissen gezielte Kenntnisse bestimmter Branchen treten. Nur dann nämlich wird es gelingen, die abstrakte Information in gezielten Handlungsanweisungen oder -vorschläge in Gestalt von Best Practises oder Templates umzusetzen, die eine wirkliche praktische Hilfe für den jeweiligen Anwender bedeuten. Ein guter Berater wird neben Analysen und Implementierungen stets auch das nötige Change Management im Unternehmen inklusive Schulungen der Mitarbeiter berücksichtigen.

Oft zahlt sich auch die Implementierung eines Datenschutzmanagementsystems (DSMS) aus. Es automatisiert weitgehend die laufenden Datenschutzaufgaben. So werden Bedrohungen rechtzeitig erkannt, Termine zeitgerecht wahrgenommen und Reports im gewünschten Format automatisiert erstellt, sobald sie fällig sind.

Für kleine und mittelständische Unternehmen ist es bei der Auswahl des Beratungsunternehmens zudem wichtig, dass es die speziellen Herausforderungen und Grenzen seiner mittelständischen Kunden versteht. Dazu gehören der notorische Personalmangel und die in der Regel begrenzten Investitionsmöglichkeiten. Ein geeignetes Beratungsunternehmen sollte darauf reagieren entsprechende Angebote für diese Zielgruppe konzipieren.

Sind potentielle Quellen von DSGVO-Verstößen analysiert und wurden entsprechende Gegenmaßnahmen ergriffen, steht endlich wieder das Kerngeschäft im Fokus – sei dies nun, Cloud-Services bereitzustellen, IT zu implementieren oder zu verwalten, Autos zu reparieren, Energie zu verkaufen oder Werbeaktionen durchzuführen.

 

Verwendetes Bildmaterial:
succo, Hammer Geld Euro, © pixabay.com

0 Comments

Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

© 2018 Der Datenschutzbeauftragte - Memex consulting GmBH

Log in with your credentials

Forgot your details?