PSW GROUP: Mahnung zur Einhaltung der DSGVO

DSGVO-Bußgelder könnten schnell existenzbedrohend werden

[datensicherheit.de, 18.10.2021] Wenn es um den Datenschutz geht, seien deutsche Behörden alles andere als zimperlich: Seit Inkrafttreten des Datenschutzgesetzes 2018 seien DSGVO-Bußgelder in Höhe von 69 Millionen Euro erlassen worden – Deutschland lande so im europäischen Vergleich direkt nach Italien auf Rang 2. „Ganz offensichtlich läuft auch drei Jahre nach Einführung der DSGVO noch längst nicht alles datenschutzkonform in deutschen Unternehmen“, sagt Patrycja Schrenk, Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Schrenk: Geschäftsführung oder Vorstand müssen Rechte r sowie Datenschutz-Vorschriften kennen!

Das Gros der DSGVO-Sanktionen im Jahr 2020 gegen den Mittelstand

Vor allem seit 2020 stiegen „Strafen und Sanktionen“ empfindlich – sowohl in ihrer Anzahl, als auch in der Höhe der verhängten Bußgelder. So seien – nach Informationen des Datenschutzbeauftragten der Länder und des Bundes – 2019 noch 187 Verstöße gezählt worden, 2020 hingegen bereits 301. Längst seien nicht nur Großkonzerne wie H&M, Google, oder jüngst Amazon, betroffen.
Das Gros der im drei- bis fünfstelligen Bereich liegenden DSGVO-Sanktionen im Jahr 2020 sei gegen kleine und mittlere Unternehmen (KMU) sowie Vereine und Solo-Selbstständige verhängt worden. „Die DSGVO wurde geschaffen, um Datenkraken das Handwerk zu legen. Doch sie gilt auch für Kleinstunternehmen, kleine und mittelständische Betriebe. Und gerade in dieser Unternehmensgröße kann ein DSGVO-Bußgeld schnell existenzbedrohend werden“, warnt Schrenk und mahnt zur Einhaltung des Datenschutzgesetzes. Ein DSGVO-Bußgeld könne für einen Mittelständler schnell existenzvernichtend werden.

Unzählige Gründe, welche zu DSGVO-Bußgeldern führen…

Es gebe unzählige Gründe, welche zu DSGVO-Bußgeldern führen könnten. Darunter befänden sich einige klassische „Fallstricke“, so Schrenk: „Beispielsweise setzt die Unternehmenswebsite Cookies, in die Nutzende nicht eingewilligt haben. Oder die Datenschutzerklärung auf der Website ist fehlerhaft oder fehlt ganz. Verpassen Unternehmen, in denen mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten befasst sind, einen Datenschutzbeauftragten zu stellen, kann auch das ein DSGVO-Bußgeld nach sich ziehen.“
Auch jedem Auskunftsersuchen müsse die notwendige Beachtung geschenkt werden, sollen keine Sanktionen der Aufsichtsbehörden drohen: Artikel 15 der DSGVO spendiere Betroffenen das Recht, über die zu ihrer Person gespeicherten Daten Auskunft zu verlangen. Unternehmen müssten diesem Auskunftsersuchen binnen eines Monats nachkommen.

Jeder DSGVO-Verstoß wird separat betrachtet

Die Höhe eines Bußgeldes werde übrigens von der zuständigen Datenschutzbehörde festgelegt. Feste Rezepte gebe es nicht – jeder Fall werde separat betrachtet. Artikel 83 der DSGVO nenne zwar die „allgemeinen Bedingungen für die Verhängung von Geldbußen“ und halte einen Katalog von Bemessungskriterien zur Kalkulation der Bußgeldhöhe bereit.
Die Datenschutzbehörden hätten aber einen großen Ermessensspielraum in ihrer Bewertung von Datenschutzvorfällen, so dass die Höhe der DSGVO-Bußgelder massiv variieren könne, erläutert Schrenk. Verschiedene Faktoren hätten dabei Einfluss auf die Höhe eines Bußgelds, darunter die Schwere der Datenschutzverletzung oder die Bereitschaft des Unternehmens, die Datenschutzverletzung abzustellen.

Korrekte Umsetzung der DSGVO-Vorschriften beachten, um Risiken zu minimieren

Das Bußgeld an sich sei jedoch nicht das Einzige, was es zu bedenken gelte. Hinzu kämen der Image-Verlust, der nach einem Datenskandal unvermeidbar sei, und der nicht konkret beziffert werden könne, sowie etwaige Schadenersatzansprüche. Auch strafrechtliche Konsequenzen seien denkbar. Es sei daher essenziell, die korrekte Umsetzung der DSGVO-Vorschriften zu beachten, um Risiken zu minimieren.
„Geschäftsführung oder Vorstand müssen die Rechte von Betroffenen sowie die Datenschutz-Vorschriften kennen und sich – falls erforderlich – qualifizierte Unterstützung ins Boot holen. Ich raten jedem, individuelle Anforderungen durch eine Ist-Analyse herauszuarbeiten. Erst dann zeigt sich, wo Lücken bestehen und wie diese sich schließen lassen. Hat das Unternehmen einen Datenschutzbeauftragten benannt, wird dieser helfen können“, so Schrenk. Auch externe Datenschutzbeauftragte seien in diesem Fall hilfreich, denn diese verfügten über das notwendige Know-how und böten transparente Kostenstrukturen, so dass Unternehmen gut planen könnten.

Weitere Informationen zum Thema:

PSW GROUP CONSULTING – BLOG
DSGVO-Bußgelder: Wie hoch sind die Strafen für Datenschutz-Verstöße?

datensicherheit.de, 31.05.2021
3 Jahre DSGVO – auch im Home-Office Datenschutz einhalten / Citrix nimmt Stellung zum Jahrestag der DSGVO

datensicherheit.de, 18.02.2021
BfDI-Kritik: 1.000 Tage DSGVO ohne Anpassung von TKG und TMG / Prof. Ulrich Kelber, der BfDI, moniert Rechtsunsicherheit für Unternehmen und Verbraucher