Die neue DSGVO – Eine zwiegespaltene Zwischenbilanz

Die neue DSGVO – Eine zwiegespaltene Zwischenbilanz
© Maksim Kabakou / fotolia.com

Seit über einem Jahr gilt die DSGVO (Datenschutzgrundverordnung). Vorher mussten sich Unternehmen in Deutschland nach dem BDSG (Bundesdatenschutzgesetz) richten. Da die DSGVO eine Verordnung der Europäischen Union ist, muss dieser Vorrang eingeräumt werden. 

Ziel der DSGVO ist es unter anderem, personenbezogene Daten von natürlichen Personen zu schützen (Art. 1 DSGVO). Für Unternehmen bedeutete dies die verpflichtende Umsetzung innerhalb der nächsten Monate seit Mai 2018. Insbesondere Unternehmen, die eine Online-Präsenz und auch sonst einen umfangreichen Umgang mit sensiblen Daten haben, sind von dieser Pflicht betroffen. Neben den persönlichen Daten wie etwa Name, Geburtsdatum und Wohnort fallen darunter auch sämtliche Informationen, die einen Rückschluss auf die Identität einer Person ziehen lassen können.

Konkret bedeutet die Umsetzungspflicht, dass einige Prozesse wie etwa die Datenverwaltung neu angepasst und vor allem überprüft werden mussten.

Knapp ein Drittel aller Unternehmen haben die DSGVO noch nicht umgesetzt

Trotz dieser Umsetzungspflicht haben es nicht alle Unternehmen geschafft, die DSGVO zu implementieren oder haben sie fehlerhaft umgesetzt. Betroffen davon sind fast ein Drittel aller europäischer mittelständiger Unternehmen, die mit der Umsetzung zu kämpfen haben.

Ein größerer Teil aller Unternehmen, die mit den Regelungen der DSGVO nicht konform gehen, sind sich nicht im Klaren, wann die Zustimmung zur Aufbewahrung und Verarbeitung von Daten zwingend notwendig ist. Ein anderer Teil ist unsicher, wie die Verwendung personenbezogener Daten durch ihre Mitarbeiter überwacht werden soll und auch sonst sind sich Unternehmen uneinig, wie sichergestellt werden kann, dass Verträge mit Drittanbietern der DSGVO genüge tun können.

Trotz dieser Bilanz erhielten lediglich knapp vier Prozent der Unternehmen Abmahnungen. Allerdings haben sich die Beschwerden bei den Datenschutzbehörden europaweit nahezu verdreifacht und es wurden mehr als 90.000 Datenschutzverstöße gemeldet. Die fehlende Umsetzung liegt vor allem daran, dass Rechtsunsicherheit besteht, da das Gesetz noch recht jung ist und durch die Gerichte erst noch auszulegen ist.

Positiv ist, dass das Bewusstsein für den Datenschutz gestiegen und Unternehmen aufgeräumt sowie sich zumindest schon mal einen Überblick über das neue Datenschutzrecht verschafft haben.

Was können Sie tun, um die Einhaltung zu gewährleisten?

Vieles war zwar schon nach dem Bundesdatenschutzgesetz Pflicht, doch sollten Sie nunmehr auch folgende Schritte einhalten:

  1. Datenschutzbeauftragten bestellen und diesen der Landesdatenschutzbehörde melden
  2. Datenschutzerklärung gemäß DSGVO einbinden
  3. Kontaktformulare verschlüsseln
  4. Auftragsverarbeitungen prüfen

Einen Datenschutzbeauftragten muss jedes Unternehmen bestellen, in dem mindestens 10 Personen ständig personenbezogene Daten bearbeiten.

Daneben ist zu empfehlen, den Datenschutzstandard durch Sicherheitsmaßnahmen zu gewährleisten. Grundvoraussetzung hierfür ist, alle Mitarbeiter, die Umgang und Kontakt mit personenbezogenen Daten haben, datenschutzrechtlich zu schulen. Auch zu empfehlen sind Verschlüsselungsmechanismen und Zugangsbeschränkungen.

Selbst wenn das Unternehmen nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, lohnt sich die Einstellung von geschultem Fachpersonal, um hohen Strafen entgegenzuwirken.

Was droht bei Verstößen gegen die DSGVO?

Um einen hohen Standard hinsichtlich des Datenschutzes garantieren zu können, hat der europäische Gesetzgeber die Sanktionen erheblich verschärft. Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter gegen die DSGVO, kann dies strenge Sanktionen und hohe Bußgelder zum Nachspiel haben.

Die Obergrenze allgemein für Bußgelder liegt bei 20.000.000 Euro, kann sich aber erhöhen, wenn es sich um ein Unternehmen handelt. Je nach Verstoß und Grad des Verstoßes können bis zu vier Prozent des weltweiten Jahresumsatzes zum Bußgeld deklariert werden, selbst wenn dieser Betrag höher als 20.000.000 Euro ist. Je nach Umstand ist als Berechnungsgrundlage der Umsatz des gesamten Unternehmens heranzuziehen, und nicht lediglich des jeweiligen Teilunternehmens, das am Datenschutzverstoß beteiligt ist.

Daneben muss mit aufsichtsrechtlichen Anordnungen und Abmahnungen durch Konkurrenten gerechnet werden. Auch sind Schadensersatzklagen möglich, die ebenfalls hohe Summen nach sich ziehen können.

Hat eine Person aufgrund eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten, so hat diese Person einen Schadensersatzanspruch gegen das jeweilige Unternehmen beziehungsweise jeden, der an der Verarbeitung der personenbezogenen Daten beteiligt war (Art. 82 DSGVO).

Gegen wen können Sanktionen oder Bußgelder verhängt werden?

Bußgelder und Sanktionen können gegen alle Unternehmen und Auftragsverarbeiter verhängt werden, die ihren Sitz in der EU haben oder Daten von in der EU lebenden Personen speichern und verarbeiten.

Es ist anzuraten, Anfragen und Beschwerden von Kunden ernst zu nehmen und sich um die Anliegen zu kümmern. Sollten Beschwerden von Datenschutzbehörden kommen, ist es ratsam, sich rechtlich umfassend zu informieren und sich anwaltliche Unterstützung zu holen.

Um sicherzugehen, dass Sie die DSGVO einhalten und nicht mit Bußgeldern oder Sanktionen in Millionenhöhe zu rechnen haben, sollten Sie sich gut informieren und am besten von einem Anwalt beraten lassen.

Lassen Sie auf anwalt.de die Einhaltung der DSGVO prüfen!

Quelle: Marjam Amirkhalily, Redakteurin/Content Manager, anwalt.de services AG