Datenschutz Strafen

Datenschutz Strafen: Wie teuer werden Verstöße wirklich?

Wir kennen sie alle besser, als uns lieb ist: Bußgelder wegen Verkehrsverstößen. Es gibt sie aber auch in anderen Bereichen.

Etwa für Datenschutzverstöße und das kann richtig teuer für Sie werden! Aktuell beträgt der Bußgeldrahmen für Datenschutzverstöße bis zu 300.000 Euro. Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 wird dieser Bußgeldrahmen drastisch erhöht auf bis zu 20.000.000 Euro und darüber hinaus.

 

Wie werden Verstöße gegen das Datenschutzgesetz aktuell geahndet?

Der aktuelle Bußgeldrahmen ergibt sich aus § 43 Bundesdatenschutzgesetz (BDSG). Abhängig von dem Verstoß gibt es Bußgeldrahmen von bis zu 50.000 Euro und bis zu 300.000 Euro – pro Verstoß. Soweit mit einem Datenschutzverstoß ein wirtschaftlicher Vorteil erlangt wird, kann das Bußgeld sogar noch darüber hinausgehen.

Für die Verfolgung von Datenschutzverstößen sind die Datenschutzaufsichtsbehörden der Länder (in der Regel die Landesdatenschutzbeauftragten) bzw. in besonderen Fällen die Bundesdatenschutzbeauftragten zuständig. Welche Rolle hier auch das digitale Clearing-Haus spielen könnte, erfahren Sie in dem Artikel „Digitales Clearing-Haus: Datenschutz-Kontrolleure kämpfen vereint“.

Stellen diese Instanzen Verstöße gegen das Datenschutzrecht fest, können sie Anordnungen treffen, damit der Verstoß abgestellt wird, und dazu Bußgelder verhängen.

Jeder Verstoß eine Strafe?

Auch wenn längst nicht jede Kontrolle durch eine Datenschutzaufsichtsbehörde mit einem Bußgeldbescheid endet, können leider auch vermeintlich kleine Verfehlungen Ihrerseits zu einem Bußgeldverfahren führen.

Das bayerische Landesamt für Datenschutz hat etwa gegen eine Sekretärin ein Bußgeld verhängt, weil diese einen größeren E-Mail-Verteiler, statt über die Bcc-Funktion (Blind Carbon Copy), über die Cc-Funktion (Carbon Copy) ihres E-Mail-Programms versendet hat.

Wie hoch ist das Bußgeld?

Die Höhe des Bußgeldes hängt natürlich von der Schwere des Verstoßes ab. Im Fall der Sekretärin ist nicht bekannt, wie hoch das Bußgeld tatsächlich war, es dürfte aber im Bereich einiger Hundert bis weniger Tausend Euro gelegen haben.

Bei schweren und wiederholten Verstößen können Bußgelder trotz des Bußgeldrahmens von bis zu 300.000 Euro wegen einer Vielzahl von Verletzungen Millionenhöhe erreichen.

In der jüngeren Vergangenheit haben einige Fälle für besonderes Aufsehen gesorgt:

Beispiel: Deutsche Bahn

Die Deutsche Bahn (DB) hat gegen das Datenschutzgesetz verstoßen, indem sie ihre Mitarbeiter in großem Stil überwacht hat. 2009 musste die Deutsche Bahn AG dann ein Bußgeld in Höhe von 1,12 Mio. Euro zahlen.

Ohne konkreten Tatverdacht wurden rund 173.000 Mitarbeiter auf Korruption überprüft. Medien und Politiker sprachen damals von einer „Rasterfahndung“.

Ein weiterer schwerwiegender Verstoß bestand darin, dass die DB ohne konkreten Anlass den gesamten E-Mail-Verkehr derjeniger Mitarbeiter überwachte, die einen externen Mail-Anschluss am Arbeitsplatz hatten.

Beispiel: Lidl

2010 mussten 35 Lidl Vertriebsgesellschaften insgesamt Bußgelder in Höhe von 1,46 Mio. Euro zahlen. Das Unternehmen hatte Detektive in verschiedene Filialen berufen. Allein die Einbestellung ist natürlich noch nicht strafbar.

Allerdings wurden im Zuge dieser Beauftragung die Mitarbeiter der Filialen mit versteckten Kameras beobachtet. Das ist ein klarer Verstoß gegen das Datenschutzgesetz.

Hinzu kommt noch, dass diese 35 Vertriebsgesellschaften bis Juni 2008 keinen betrieblichen Datenschutzbeauftragten hatten. Dazu waren sie aber laut Gesetz verpflichtet.

Wenn Sie sich dafür interessieren, welche Pflichten ein Datenschutzbeauftragter in einem Unternehmen erfüllt, lesen Sie doch auch den Artikel „Datenschutzbeauftragter: Bestellen Sie den richtigen!“.

Beispiel: Debeka

2014 wurde gegen die Debeka-Krankenversicherungsverein a. G. ein Bußgeld in Höhe von 1,3 Mio. Euro verhängt. Grund dafür war, dass Mitarbeiter des Versicherers gegen Geld an die Daten von angehenden Beamten gekommen sind. Die davon betroffenen Personen wussten nicht, was mit ihren Daten geschieht.

 

Welche Neuerungen kommen mit der DSGVO 2018?

Mit Inkrafttreten der DSGVO im Mai 2018 werden die Bußgeldrahmen drastisch erhöht. Gemäß Art. 83 DSGVO können, abhängig vom Verstoß, Bußgelder von bis zu 10.000.000 Euro oder bis zu 20.000.000 Euro verhängt werden.

Besonders brisant für große Unternehmen ist, dass dieser hohe Bußgeldrahmen sogar noch überschritten werden kann, indem bis zu zwei Prozent bzw. bis zu vier Prozent des weltweiten Unternehmensumsatzes als Bußgeld verhängt werden. Damit sind sogar Bußgelder in Milliardenhöhe denkbar!

Höheres finanzielles Risiko?

Wie die Datenschutzaufsichtsbehörden mit diesem neuen Bußgeldrahmen genau umgehen werden, ist offen. Sie können aber damit rechnen, dass jedenfalls schwerwiegende Datenschutzverstöße mit Millionen-Bußgeldern geahndet werden.

Die wirtschaftlichen Risiken wegen Datenschutzverstößen steigen damit für Unternehmen drastisch.

Anders als bisher sieht die DSGVO vor, dass sich die europäischen Datenschutzaufsichtsbehörden bei der Anwendung des Datenschutzrechts stärker untereinander abstimmen. Man kann daher erwarten, dass sich deutlich stärker als bisher, europaweit einheitliche Bußgeldrahmen durchsetzen werden.

 

Welche Auswirkungen können solche Strafen auf Unternehmen haben?

Aktuell sind Bußgelder wegen Datenschutzverstößen für betroffene Unternehmen lästig, in der wirtschaftlichen Betrachtung aber meist nicht empfindlich genug, um bei der Gestaltung von Geschäftsprozessen eine relevante Rolle zu spielen.

Als wahres Risiko nehmen Unternehmen die Gefährdung ihrer Reputation durch schlechten Datenschutz wahr. So war in den „Datenskandalen“ bei Lidl oder der Deutschen Bahn die Unternehmensreputation Triebfeder für Veränderungen – und nicht das Bußgeld in Höhe eines kleinen Millionenbetrags.

Das wird sich mit der Datenschutzgrundverordnung ändern! Bußgelder in hohen Millionenbeträgen oder bis zu vier Prozent des weltweiten Unternehmensumsatzes treten nun als scharfes Schwert der Aufsichtsbehörden zur Durchsetzung des Datenschutzrechts auf den Plan.

Egal, wie groß Ihr Unternehmen also ist, Sie sollten die Anforderungen des Datenschutzrechts bei der Gestaltung Ihrer Unternehmensorganisation in jedem Fall ernst nehmen!

 

Wie kann man (versehentlichen) Datenschutzverstößen vorbeugen?

Rechtliche Anforderungen des Datenschutzrechts sind vielfältig, betreffen praktisch jeden Bereich eines Unternehmens und lassen sich nicht nebenbei erledigen.

Um Bußgelder zu vermeiden, ist bereits heute ein planmäßiges Vorgehen Ihrerseits erforderlich – also der Aufbau einer Datenschutz-Organisation, die systematisch Anforderungen des Datenschutzrechts analysiert, konkrete Risiken für Ihr Unternehmen identifiziert und diesen effektiv begegnet.

Nur so lässt sich das Risiko von Datenschutzverstößen angemessen reduzieren!

Wie hilft ein Datenschutzaudit?

Ein erster Schritt auf dem Weg zu einer guten Datenschutz-Organisation ist die Durchführung eines Datenschutzaudits.

Wenn Sie wissen möchten, was es bei der Durchführung eines Audits zu beachten gilt, könnte Sie demnächst auch unser Artikel zum Datenschutzaudit interessieren.

Der Versuch besser als kein Versuch?

Auch eine vorbildliche Datenschutz-Organisation wird das Risiko von Datenschutzverstößen nicht vollständig ausschließen. Sie lohnt sich für Sie aber trotzdem! Bei der Entscheidung ob und in welcher Höhe ein Bußgeld verhängt wird, muss die Datenschutzaufsichtsbehörde nämlich die Umstände des Einzelfalls betrachten. Das ist insbesondere auch das Verschulden der handelnden Personen.

Gelingt es Ihnen, die Datenschutzaufsichtsbehörde von der Effizienz der Datenschutz-Organisation im Allgemeinen zu überzeugen, werden Bußgelder die Ausnahme bleiben – und deren Höhe überschaubar sein.

 

Wieso lohnt es sich, jetzt schon mit der Vorbereitung zu beginnen?

Schon jetzt bestehen umfangreiche datenschutzrechtliche Anforderungen und die Verletzung entsprechender Pflichten kann zur Verhängung von Bußgeldern führen.

Diese Pflichten werden mit der Datenschutzgrundverordnung verschärft. Nur wenn Sie jetzt die Voraussetzungen schaffen, um die Anforderungen der Datenschutzgrundverordnung zu erfüllen, können Sie mit deren Inkrafttreten eine Datenschutz-Organisation haben, die Bußgeldrisiken effektiv verringert.

Sich rechtzeitig auf die neuen Anforderungen der Datenschutzgrundverordnung einzustellen, bringt Ihnen und Ihrem Unternehmen nur Vorteile: sei es für Ihre Unternehmensstruktur oder im Wettbewerb.

Sie interessieren sich dafür, wie man bei der Datenschutz-Organisation, insbesondere in Bezug auf notwendige Neuerungen, am besten vorgeht? Dann werfen Sie doch einen Blick in mein eBook „Neuer Datenschutz: Gut vorbereitet auf die DSGVO 2018“.