Welche Strafen drohen bei Datenschutzverstößen?

Am 25. Mai 2018 lief die Übergangsfrist zur Umsetzung der europäischen Datenschutzgrundverordnung (kurz DSGVO) aus. Praktisch jedes Unternehmen – egal welcher Größe – musste bis dahin eine geeignete Compliance Struktur installiert haben. Dazu gehören insbesondere die Einführung einer Datenschutzrichtlinie, die Erstellung eines umfassenden Verarbeitungsverzeichnisses und die Vereinbarung von Verträgen zur Auftragsdatenverarbeitung. Zudem ist eine Risikoabschätzung durchzuführen sowie so genannte TOMs (technische und organisatorische Maßnahmen) umzusetzen. Bei einem Datenschutzverstoß drohen hohe Bußgelder.

Immer wieder werden wir von unseren Mandanten gefragt, mit welchen Bußgeldern konkret zu rechnen ist und ob diese tatsächlich verhängt werden. In der Vergangenheit wurden Bußgelder nämlich selten oder nur bei schweren Verstößen ausgesprochen.

Leider können wir unseren Mandanten bislang noch keine konkrete Einschätzung vorlegen, welche Bußgelder für welchen Verstoß zu erwarten sind. Es gibt schlichtweg keinen Bußgeldkatalog und auch noch keine Präzedenzfälle. Insofern können wir nur auf unsere Erfahrung zurück greifen und auf die Informationen, die unter den „Fachleuten“ gehandelt werden. Die durchgesickerten Informationen geben jedoch Grund zur Sorge für solche Unternehmen, die mit einer Umsetzung bislang noch immer nicht begonnen haben:

Höhe der Bußgelder

Nach dem “alten” BDSG konnten Bußgelder in Höhe von bis zu 300.000 Euro pro Einzelfall ausgesprochen werden. Die DSGVO hebt diese Grenzen deutlich an und zeigt bereits damit, welche Relevanz Datenschutz seit Mai 2018 in Europa hat. Es können nun Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Jahresumsatzes (des Gesamtkonzerns) ausgesprochen werden.

Gemäß Art. 84 DSGVO müssen Sanktionen wirksam, verhältnismäßig und abschreckend sein. Die Hinzunahme des Kriteriums abschreckend bedeutet, dass ein Bußgeld für ein Unternehmen spürbar sein muss. Es ist damit zu rechnen, dass also auch bei kleineren Verstößen und auch bei Kleinunternehmen die Untergrenze eines Bußgeldes bei über 5.000 Euro liegen dürfte, auch bereits bei geringen Verstößen.

Häufigkeit von Überprüfungen

Es ist mit regelmäßigen Überprüfungen zu rechnen. Art. 24 DSGVO normiert eine konkrete Nachweispflicht, dass eine Datenschutz-Struktur im Unternehmen installiert wurde. Die Aufsichtsbehörden können dies bereits durch das einfach Abfragen von Dokumenten überprüfen.

Bußgeld-Pflicht

Nach Art. 83 DSGVO muss ein Datenschutzverstoß zukünftig geahndet werden. Die entsprechende Norm wandelt sich von einer Kann- zu einer Muss-Vorschrift. Es besteht insofern für die Behörde kein Ermessensspielraum mehr, ob tatsächlich ein Bußgeld verhangen wird.

Anschwärzen durch Dritte

Zuletzt ist zudem damit zu rechnen, dass das Anzeigen (oder Anschwärzen) von Datenschutzverstößen ein beliebtes Mittel werden wird, um einem Wettbewerber “eins auszuwischen“. Verstöße können einfach und anonym zur Anzeige gebracht werden und lösen automatisch eine Überprüfung des betroffenen Unternehmens aus.

Zusammenfassung

Mit der endgültigen Einführung der DSGVO darf das leidige Thema Datenschutz durch Unternehmen nicht mehr vernachlässigt werden. Die Höhe der angedrohten Bußgelder und die konkrete Pflicht, bestimmte Maßnahmen auf Nachfrage nachweisen zu können, stellen ein hohes unternehmerisches Risiko dar.

Benötigen Sie Hilfe bei der Umsetzung, dann nehmen Sie gerne mit uns Kontakt auf.

GoldbergUllrich Rechtsanwälte durch Rechtsanwalt Martin Wagner, LL.M
Master of Laws für gewerblichen Rechtsschutz
Zertifizierter Datenschutzbeauftragter (TÜV NORD)

Siegel