Die Datenschutz-Grundverordnung ist ein EU-weites Gesetz, das den Schutz personenbezogener Daten sicherstellen soll. Es legt fest, wie Unternehmen und Organisationen Daten sammeln, speichern und verwalten müssen, um die Privatsphäre der Bürger*innen zu schützen. Dazu gehört beispielsweise der Grundsatz der Transparenz (Art. 12 ff. DSGVO), der besagt, dass alle Verarbeitungsprozesse für die betroffenen Personen nachvollziehbar sein müssen.
Mögliche Bußgelder bei Verstößen
Bei Nichteinhaltung der DSGVO drohen erhebliche Bußgelder. Diese können je nach Schwere des Verstoßes variieren. Sie liegen bei maximal 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Unternehmens – je nachdem, welcher Betrag höher ist.
Das höchste bislang verhängte Bußgeld in Deutschland betrug 14,5 Millionen Euro und wurde 2019 gegen die Deutsche Wohnen SE verhängt, weil das Unternehmen nicht mehr benötigte, personenbezogene Mieterdaten ohne rechtliche Grundlage speicherte.
Der EuGH hat am 5. Dezember 2023 entschieden, dass Bußgelder nach der DSGVO nur dann gegen Unternehmen verhängt werden dürfen, wenn nachgewiesen ist, dass der Verstoß vorsätzlich oder fahrlässig begangen wurde. Der EuGH lehnte eine verschuldensunabhängige Haftung („strict liability“) somit ab. Außerdem muss der Verstoß einer identifizierten natürlichen Person zugerechnet werden können. Die „strict liability“- Entscheidung des EuGH basiert auf dem Fall der Deutsche Wohnen SE, die sich gegen das Rekordbußgeld zur Wehr setzte. Die Grundsatzentscheidung stärkt die Durchsetzung von Sanktionen gegenüber Unternehmen und bestätigt die Praxis der deutschen Datenschutzbehörden.
Gemäß Art. 83 DSGVO können grundsätzlich Bußgelder verhängt werden bei:
Bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes (Art. 83 Abs. 4 DSGVO) für weniger schwerwiegende Verstöße, wie z.B.:
Bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes (Art. 83 Abs. 5 DSGVO) für gravierende Verstöße, die die Rechte und Freiheiten der betroffenen Personen erheblich beeinträchtigen, wie z.B.:
Die Durchsetzung der DSGVO durch die Aufsichtsbehörden zieht erhebliche Bußgelder nach sich, wenn Unternehmen und Organisationen ihre Datenschutzverpflichtungen verletzen. Nachfolgend werden einige Beispiele aus der Rechtsprechung genannt, bei denen unterschiedliche Verstöße und daraus resultierende Bußgelder dokumentiert wurden. Von technischen und organisatorischen Mängeln bis hin zu Interessenkonflikten bei der Bestellung von Datenschutzbeauftragten und grundlegenden Verstößen gegen die Prinzipien der Datenverarbeitung wurden bereits zahlreiche Verstöße mit einem Bußgeld geahndet.
– Technische und organisatorische Maßnahmen
– Bestellung von Datenschutzbeauftragten (Art. 37 DSGVO)
– Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 DSGVO)
a) Bußgelder gegen Verantwortliche:
b) Bußgelder gegen Mitarbeiter (Mitarbeiterexzess): (Höhe nicht genannt)
Bestandsaufnahme und Dokumentation
Unternehmen sollten alle Datenverarbeitungsprozesse dokumentieren und sicherstellen, dass diese den DSGVO-Anforderungen entsprechen. Ein Verzeichnis der Verarbeitungstätigkeiten ist dabei unerlässlich. Diese Dokumentation hilft nicht nur dabei, den Überblick über die Datenflüsse im Unternehmen zu behalten, sondern dient auch als Nachweis im Falle einer Datenschutzprüfung. Zudem ermöglicht sie es, eventuelle Datenschutzrisiken frühzeitig zu erkennen und entsprechende Maßnahmen zur Risikominderung zu ergreifen. Eine regelmäßige Überprüfung und Aktualisierung der Dokumentation stellt sicher, dass alle neuen oder geänderten Verarbeitungsprozesse ordnungsgemäß erfasst werden.
Datenschutzbeauftragter
Ab einer bestimmten Unternehmensgröße oder bei sensiblen Datenverarbeitungen ist die Bestellung eines Datenschutzbeauftragten Pflicht. Dieser stellt sicher, dass das Unternehmen die DSGVO einhält und sensibilisiert die Mitarbeiterinnen für Datenschutzthemen. Bei der Auswahl des Datenschutzbeauftragten sollten Unternehmen auf dessen Fachkunde und Zuverlässigkeit achten. Der Datenschutzbeauftragte sollte umfassende Kenntnisse im Datenschutzrecht sowie in der Handhabung von IT-Systemen und Datensicherheitsmaßnahmen besitzen. Neben der Beratung und Überwachung ist der Datenschutzbeauftragte auch ein wichtiger Ansprechpartner für Aufsichtsbehörden und Betroffene, die Auskunft über die Datenverarbeitung verlangen. Zudem führt er regelmäßig Schulungen durch, um das Bewusstsein der Beschäftigten hinsichtlich Datenschutzbestimmungen zu stärken und über aktuelle Entwicklungen zu informieren.
Schulungen und Sensibilisierung
Regelmäßige Schulungen für alle Mitarbeiterinnen helfen, das Bewusstsein für Datenschutz im Unternehmen zu erhöhen und Fehler zu vermeiden. Solche Schulungen sollten praxisnah und an die spezifischen Bedürfnisse des Unternehmens angepasst sein. Sie decken wesentliche Themen wie den sicheren Umgang mit personenbezogenen Daten, die Erkennung und Meldung von Datenschutzverstößen sowie die Einhaltung interner Datenschutzrichtlinien ab. Durch die Sensibilisierung der Belegschaft wird das Risiko von Datenschutzverletzungen erheblich reduziert. Darüber hinaus fördert kontinuierliche Schulung eine Unternehmenskultur, in der Datenschutz als gemeinschaftliche Verantwortung wahrgenommen wird. Es ist auch sinnvoll, spezielle Fortbildungen für Mitarbeiterinnen in sensiblen Abteilungen wie Personalwesen, IT und Marketing anzubieten, da diese häufig mit vertraulichen Daten arbeiten. Durch die Kombination aus allgemeiner Sensibilisierung und gezieltem Fachwissen wird die Datensicherheit im gesamten Unternehmen nachhaltig gestärkt.
Technische und organisatorische Maßnahmen (TOMs)
Durch den Einsatz von Verschlüsselungstechnologien, regelmäßigen Sicherheitsüberprüfungen und klaren Zugangsregelungen können Unternehmen die Datensicherheit verbessern. Verschlüsselung stellt sicher, dass sensible Daten selbst bei unbefugtem Zugriff geschützt bleiben. Regelmäßige Sicherheitsüberprüfungen, wie Penetrationstests und Schwachstellenanalysen, helfen dabei, potenzielle Sicherheitslücken frühzeitig zu identifizieren und zu beheben. Klare Zugangsregelungen wie die Vergabe von Rechten und Rollen stellen sicher, dass nur autorisierte Personen Zugriff auf bestimmte Daten haben.
Darüber hinaus sollten Unternehmen auch Maßnahmen zur Sicherung der physischen Infrastruktur treffen, beispielsweise durch Zutrittskontrollen zu Serverräumen und die Überwachung von Servern und Netzwerken. Notfallpläne und regelmäßige Backups sind ebenfalls wesentliche Bestandteile, um im Falle eines Datenverlusts schnell und effizient reagieren zu können. Eine weitere Schutzvorkehrung ist die Verwendung von Firewalls und Anomalieerkennungssystemen, um unbefugte Zugriffe frühzeitig zu erkennen und abzuwehren.
Auch organisatorische Maßnahmen spielen eine entscheidende Rolle: Durch die klaren Definitionen von Verantwortlichkeiten und Prozessen können Sicherheitsvorfälle und Bedrohungen wie Phishing oder Social Engineering effizienter gehandhabt werden.
Eine gründliche Vorbereitung und kontinuierliche Überprüfung der Datenschutzmaßnahmen sind unerlässlich, um Bußgelder zu vermeiden. Wer die Regelungen der DSGVO versteht und umsetzt, oder sich hierfür professionelle Unterstützung holt, hat nichts zu befürchten. Er schützt die Daten der Kundschaft und die eigenen Daten gleichermaßen und schützt damit auch das eigene Unternehmen vor finanziellen Repressalien und Reputations- und Vertrauensverlust.