Credit: Adobe Stock
Ein Verstoß gegen den Datenschutz ist kein Kavaliersdelikt – und wird in Zeiten der DSGVO immer häufiger mit einem Bußgeld belegt. Das kann je nach Größe des Unternehmens und Schwere des Verstoßes immens hoch sein.
Die Lagerung von Steuerakten in einem Parkhaus kostete einen Steuerberater knapp 6.000 Euro. Schmerzhaft höher war das Bußgeld, das die AOK Baden-Württemberg wegen eines Verstoßes gegen die Datenschutz- Grundverordnung (DSGVO) zahlen musste: rund 1,2 Millionen Euro.
Spektakulär der Fall Hennes & Mauritz: Das Mode-Unternehmen hatte 35,2 Millionen Euro an die Staatskasse zu zahlen, da es mehrere hundert Mitarbeiterinnen und Mitarbeiter in einem seiner Service-Center bespitzelt hatte. Unternehmerinnen und Unternehmer, die gegen die Maßgaben der DSGVO verstoßen – oder, wie es die Behörden nennen: bei denen es zu einem
Datenschutzvorfall kommt –, müssen also mit einem Bußgeld rechnen. Treffen kann es jeden: Zwar bitten die Aufsichtsbehörden
eher größere Unternehmen zur Kasse, aber auch kleine und mittlere müssen zahlen.
Datenpannen auch im Kleinen möglich
Der Schutz personenbezogener Daten ist verletzt, wenn Daten, zum Beispiel durch einen Hackerangriff, verloren gegangen sind oder wenn sie ohne Einwilligung verändert oder offengelegt wurden. Unbefugte Personen haben Zugriff auf Akten? Bei einer Sammel-E-Mail wurden Adressen für jeden lesbar in das „An“- oder „Cc“-Feld gesetzt? Ein Firmen-Mobiltelefon ist verloren gegangen und die Daten darauf waren unverschlüsselt?
Fehler passieren, auch bei Transport- und Logistik-Unternehmen. Wichtig ist, dass der oder die Datenschutzbeauftragte von solchen Vorfällen erfährt – was wiederum bedingt, dass die Mitarbeitenden dafür sensibilisiert sind, was Datenschutz bedeutet und wie schnell er verletzt ist.
Es gilt die Devise: Jeder Mitarbeitende sollte eine vermeintliche Kleinigkeit lieber melden, als sie zu verschweigen. Der oder die Datenschutzbeauftragte – beziehungsweise in kleinen Unternehmen die verantwortliche Führungsperson – wägt das Risiko des Vorfalls ab. Kommt er oder sie zu dem Schluss, dass es sich um einen Datenschutzvorfall handelt, muss er oder sie diesen
bei der jeweiligen Landesdatenschutzbehörde melden. Dabei kommt es darauf an, in welchem Bundesland der Firmensitz angemeldet ist, und nicht, in welchem Bundesland es zu dem Verstoß gekommen ist.
Vorgaben besser beachten
Dass im Fall der Fälle ein Bußgeld verhängt wird, ist nicht neu. Schon bevor die DSGVO in Kraft trat, mussten Unternehmen und Organisationen nach dem Bundesdatenschutzgesetz viele Vorgaben einhalten, wenn sie personenbezogene Daten verarbeiteten. Mit der DSGVO hat die EU die Bestimmungen erweitert und auch verschärft, Geldbußen sind damit wahrscheinlicher.
Deren Betrag kann empfindlich hoch sein: Bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweiten Umsatzes eines Unternehmens können zu Buche schlagen, je nachdem, welcher Betrag größer ist. Derart hohe Strafen sind dann der Fall, wenn ein Unternehmen eine „Todsünde“ in Sachen Datenschutz begangen hat: Wenn es zum Beispiel die in der DSGVO geregelten Grundsätze zur Datenverarbeitung wie Transparenz oder Zweckbindung nicht einhält oder wenn es bereits erteilte Anweisungen der Aufsichtsbehörde missachtet. „Nur“ maximal zehn Millionen Euro oder zwei Prozent des Jahresumsatzes werden fällig, wenn ein Unternehmen beispielsweise nicht die erforderlichen technisch-organisatorischen Maßnahmen für den Datenschutz trifft.
Deutsche Unternehmen bei Datenpannen vorn
Im europaweiten Vergleich ist Deutschland ganz vorn, was die Zahl der gemeldeten Datenschutzverstöße betrifft: In den vergangenen drei Jahren, also seit Inkrafttreten der DSGVO, liefen bei den Behörden knapp 78.000 Verstöße gegen die DSGVO auf, so viele wie nirgends sonst in ganz Europa. Unternehmen zahlten dafür 69 Millionen Euro an Bußgeld.
Wie hoch das verhängte Bußgeld jeweils ist, hängt von der Art und dem Umfang der Datenschutzverletzung ab. Die zuständige Behörde schaut sich jeden Fall einzeln an und berücksichtigt dabei mehrere Faktoren. Sie prüft unter anderem, wie viele Personen von der Datenschutzverletzung betroffen sind, welcher Schaden dabei entstanden ist und ob das Unternehmen etwas unternommen hat, um den Schaden einzudämmen. Hat das Unternehmen absichtlich den Datenschutz verletzt, und das vielleicht
sogar schon mehrmals? Liegen gleich mehrere Verstöße vor oder hat das Unternehmen den Vorfall gar verschleiert? Die Antworten auf diese und weitere Fragen fließen in die Beurteilung des Vergehens ein – und damit in die Höhe eines eventuellen Bußgeldes.
Kontrolle mit oder ohne Anlass
Bleibt die Frage, wie die Information über einen Datenschutzvorfall überhaupt an die zuständige Behörde gelangt beziehungsweise auf welcher Grundlage sie ein Unternehmen auf das Einhalten des Datenschutzes kontrolliert. Die Information über einen möglichen Datenschutzverstoß kommt entweder aus dem Unternehmen selbst – zum Beispiel von einem Fahrer oder einer Fahrerin – oder von einer externen Person, die einen Verstoß vermutet oder ihn gar belegen kann. Für die Kontrolle gibt es dann einen konkreten Anlass, der eine Vorgeschichte hat, und die Behörde fordert das Unternehmen auf, zum Vorwurf beziehungsweise Vorfall schriftlich Stellung zu beziehen.
Auf der anderen Seite stehen die sogenannten anlasslosen Kontrollen. Diese flattern in der Regel per Brief ins Haus und fordern das Unternehmen auf, einen Fragebogen auszufüllen. Grund dafür kann zum Beispiel sein, dass sich in der Branche Beschwerden häufen oder dass die Behörde zu bestimmten Aspekten des Datenschutzes den Status quo erfassen will. Es kommen auch Kontrollen vor Ort vor, allerdings meist nur dann, wenn die Behörde den Verdacht hegt, ein Unternehmen nehme es mit dem Datenschutz nicht so ernst.