Aktuelles, Branche - geschrieben von dp am Montag, April 3, 2017 17:19 - noch keine Kommentare
EU-DSGVO: Geschäftsführern und Mitarbeitern drohen Bußgelder in Millionenhöhe
§§ 41–43 DSAnpUG sehen Sanktionsmöglichkeiten bei Datenschutzverletzungen auch gegenüber natürlichen Personen vor
[datensicherheit.de, 03.04.2017] Der eco – Verband der Internetwirtschaft e.V. weist darauf hin, dass mit der EU-Datenschutz-Grundverordnung das Haftungsrisiko für Datenschutzverletzungen nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte steigen wird.
EU-Datenschutz-Grundverordnung: Bußgelder drastisch erhöht
Die Bundesregierung arbeite „mit Hochdruck“ daran, das nationale Datenschutzrecht neu zu strukturieren und an die EU-Datenschutz-Grundverordnung (EU-DSGVO) anzupassen. Was sich laut eco dabei abzeichnet, ist, dass durch die Neuregelung Bußgeldhöhen für Unternehmen stark angehoben werden. Bislang habe laut Bundesdatenschutzgesetz (BDSG) eine Haftungshöchstgrenze von maximal 300.000 Euro bestanden. Jetzt biete unter anderem Art. 83 Abs. 5 der DSGVO den Aufsichtsbehörden die Möglichkeit, Bußgelder bis zu 20 Millionen Euro beziehungsweise bei Konzernen bis zu vier Prozent des weltweiten Umsatzes des Vorjahres zu verhängen. Diese hohen Bußgelder sollten abschrecken und laut DSGVO vor allem für Unternehmen anfallen, Mitgliedsstaaten könnten „andere Sanktionen“ bei Verstößen festlegen.
Auch natürlichen Personen droht Haftungsverschärfung*
Nach dem nunmehr eingebrachten Entwurf zum Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG) sehe es so aus, als würde der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch machen. Demnach sehen die §§ 41–43 DSAnpUG Sanktionsmöglichkeiten bei Datenschutzverletzungen auch gegenüber natürlichen Personen vor.
„Somit steigt das Haftungsrisiko für Datenschutzverletzungen mit der DSGVO nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte. Sie müssen bei Verstößen gegen die Datenschutzvorschriften oder ihre Aufsichtspflichten mit weitaus höheren Strafen rechnen als bisher“, erklärt RAin Dr. Katharina Küchler, „Legal Department“ beim eco–Verband. „Und nicht nur das: Bei Verstößen im Umgang mit personenbezogenen Daten drohen ihnen laut § 42 DSAnpUG über die Geldbußen hinaus strafrechtliche Sanktionen wie eine Freiheitsstrafe von bis zu drei Jahren.“
Was Unternehmen jetzt tun sollten
Um sich vor den harten Strafen zu schützen, sollten Unternehmen spätestens jetzt eine Compliance-Struktur aufbauen, also konkrete Grundsätze und Maßnahmen zur Einhaltung der Datenschutzregeln festlegen.
Dabei sollten sie beispielsweise genau prüfen, welche Daten es in ihrem Unternehmen gibt, ob diese rechtssicher verarbeitet und gesetzeskonform mit Subunternehmen oder Filialen in anderen Ländern geteilt werden. Wichtig seien hierbei regelmäßige Audits, um zu prüfen, inwieweit das Unternehmen den gesetzlichen, datenschutzrechtlichen Anforderungen entspricht. Entscheidend sei auch, Management und Mitarbeiter in Bezug auf Datenschutz und -sicherheit zu schulen und sie für den Umgang mit personenbezogenen Daten zu sensibilisieren. Zudem könnten technische Lösungen unterstützen, etwa die Implementierung eines Datenmanagementsystems, um Daten sicher zu erfassen, zu speichern, zu verarbeiten und zu analysieren.
Externer Datenschutzbeauftragter: verlagertes Haftungsrisiko
Verarbeitet ein Unternehmen besonders sensible Daten, erhebt/übermittelt es personenbezogene Daten geschäftsmäßig oder beschäftigt es mindestens zehn Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten – dann müsse es einen Datenschutzbeauftragten bestellen. Dieser helfe dem Unternehmen, datenschutzkonform zu agieren.
Gerade für kleine und mittelständische Unternehmen (KMU) sei es oftmals schwierig, eigene Mitarbeiter mit dieser Aufgabe zu betrauen. Interne Datenschutzbeauftragte müssten ihre Arbeit zwischen ihrem eigentlichen Beruf und der neuen Herausforderung aufteilen, aufwändige Schulungs- und Weiterbildungsmaßnahmen absolvieren und vor allem bestehe das Risiko der hohen Bußgelder.
„Die Bestellung eines externen Datenschutzbeauftragten kann eine gute Alternative sein, da diese Herausforderungen dadurch obsolet sind und vor allem das Haftungsrisiko nach außen getragen wird“, betont Küchler. Der größte europäische Verband der Internetwirtschaft, der eco, stelle seinen Mitgliedsunternehmen auf Wunsch diesen externen betrieblichen Datenschutzbeauftragten. Dieser berate unter anderem fachkundig bei der Erfüllung der datenschutzrechtlichen Anforderungen, schule die Mitarbeiter und führe auch Datenschutzaudits durch. Damit erfüllten Unternehmen ihre gesetzlichen Verpflichtungen.
Datenschutzänderungen zeitnah erforderlich!
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) sei schon seit 2016 in Kraft und am 25. Mai 2018 ende die Umsetzungsfrist. Die EU-DSGVO gelte dann in allen EU-Mitgliedstaaten und Bundesdatenschutzgesetz, Landesdatenschutzgesetze sowie die EU-Datenschutzrichtlinie 95/46 seien nicht mehr anwendbar beziehungsweise aufgehoben.
Nachdem die ersten Referentenentwürfe aufgrund der sehr scharfen Kritiken zurückgezogen worden seien, habe das Bundeskabinett am 1. Februar 2017 den Entwurf zum Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Bei der 1. Lesung im Bundestag sei es am 9. März 2017 zu heftigen Debatten gekommen – und am Tag darauf habe der Bundesrat bei seiner 1. Beratung zu dem Thema umfassende Änderungen, beispielsweise im Hinblick auf Auskunfts- und Löschrechte, gefordert. Angestrebt werde aber, bereits im Mai 2017 das deutsche Umsetzungsgesetz zur DSGVO im Bundesgesetzblatt zu veröffentlichen, um allen Beteiligten genug Zeit zu geben, sich auf die neue Rechtslage vorzubereiten.
Dr. Katharina Küchler: Bestellung eines externen Datenschutzbeauftragten als „gute Alternative“
Weitere Informationen zum Thema:
eco – Verband der Internetwirtschaft e.V.
eco externer Datenschutzbeauftragter
datensicherheit.de, 19.10.2016
EU-DSGVO: Neue EU-Datenschutzregeln ab 2018
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren