27. Februar 2019

DSGVO Bußgelder: Was Unternehmen jetzt wissen müssen – Teil 2

Ob deutschen Unternehmen eine Abmahnwelle durch Mitbewerber bevorsteht, ist noch ungewiss. Bußgelder sind aber schon jetzt eine reale Bedrohung. Doch wie schützen sich Unternehmen vor Sanktionen durch die staatliche Aufsicht? Wie vermeidet die Geschäftsleitung einer Firma, dass eine Mitarbeiterin oder ein Mitarbeiter versehentlich und unbeabsichtigt eine Datenschutzverletzung begeht?

1. Wie vermeiden Unternehmen Bußgelder?
Die Datenschutz-Grundverordnung (DSGVO) ist am 4. Mai 2016 in Kraft getreten. Nach langen Verhandlungen hatte der damalige Europaabgeordnete der Grünen, Jan Philipp Albrecht, das Gesetz unter anderem mit Unterstützung des deutschen Abgeordneten Axel Voss, Europäische Volkspartei, erfolgreich durchgesetzt. Der starke Einfluss deutscher Europapolitiker bei der EU-Datenschutzgesetzgebung war darin begründet, dass mit der Geschichte des Datenschutzes in Deutschlands bereits wichtige Grundlagen gelegt worden sind. Die DSGVO führte nahezu bis zum 28. Mai 2018 einen Dornröschenschlaf. Erst wenige Wochen vor inkrafttreten des Paragraphen-Werks entdeckte die Presse das Thema und Geschäftsführern wurde schrittweise klar, dass ihrem Unternehmen erhebliche Bußgelder bis zu 20 Millionen Euro drohen.

Damit Bußgelder vermieden werden, müssen die Spielregeln der DSGVO beachtet und entsprechende Maßnahmen umgesetzt werden. Dabei gibt es scheinbar Interpretationsspielraum. Datenschutzschulungen für Mitarbeiter sind gesetzlich nicht unmittelbar vorgeschrieben. Doch der von der Unternehmensleitung benannte Datenschutzbeauftragte hat die Pflicht, die mit der Verarbeitung personenbezogener Daten betrauten Mitarbeiterinnen und Mitarbeiter durch geeignete Maßnahmen in geeigneter Form zu qualifizieren. Ohne Schulung erhalten die Mitarbeiter kein Zertifikat, dass haftungs entlastend wirkt. Vermutet die entsprechende Behörde einen Verstoß, fallen die Bußgelder erheblich höher aus, wenn keine Qualifizierung der Mitarbeiter nachgewiesen werden kann. Zudem sind Unternehmen verpflichtet, ein professionelles Datenschutzmanagement umzusetzen. Ohne qualifizierte Mitarbeiter kann dies nicht konzeptioniert und umgesetzt werden.

Schulungen der Mitarbeiter durchführen: Schulungen können Sie mittlerweile kostengünstig im Internet buchen. Teure Präsenzseminare sind nicht mehr notwendig. Ihre Mitarbeiter loggen sich über den Browser in die Schulungsplattform ein. Hier lernen sie in einem interaktiven Lernspiel, wie sie die DSGVO umsetzen und einhalten. Solche E-Learnings können Sie über spezialisierte Anbieter in Ihre interne Schulungsplattform einbetten. E-Learnings sind flexibel einsetzbar: Mitarbeiter rufen die Inhalte von Zuhause, im Zug oder im Betrieb auf. Als Arbeitgeber profitieren Sie von dem Reporting solcher Lernplattformen – Ihre Mitarbeiter bekommen ein Zertifikat. Erhalten Sie ein Bußgeld, können Sie dieses Zertifikat als entlastendes Beweismittel anführen. Die Aufsichtsbehörde könnte das Bußgeld nun zurücknehmen oder zumindest niedriger ansetzen.

2. Welche Unternehmen sind besonders gefährdet?
Die Datenschutz-Grundverordnung bereitet Unternehmen aus zwei Gründen Sorge. Zum einen verhängen die Aufsichtsbehörden laufend Bußgelder. Zum anderen drohen auch noch Abmahnungen. Bei Abmahnungen ist die Rechtslage noch weitestgehend ungeklärt. Bei Bußgeldern hat sich aber schon herauskristallisiert, dass die Behörden keine Schonfrist mehr gewähren. Unternehmen, die die DSGVO jetzt nicht umsetzen, müssen Geldbußen bezahlen. Die Aufsichtsbehörden verhängten schon zahlreiche Geldbußen. Es traf beispielsweise Krankenhäuser, Arztpraxen, Banken, Onlineshops und die Feuerwehr. Eine potentielle Gefahrenquelle ist auch die Videoüberwachung in Unternehmen. Richten Unternehmen ihre Kameras nicht DSGVO-konform aus, verletzen sie das Datenschutzrecht. Im Bereich des Arbeitsrechts erhielten einige Unternehmen eine Geldbuße, weil sie Bewerber rechtswidrig behandelten. Manche Unternehmen vergaßen beispielsweise, dass sie für die Datenverarbeitung im Bewerbungsprozess eine Einwilligung des Bewerbers benötigen.

3. Welche Standardfehler sollten vermieden werden?
Datenschutzverletzungen sind vermeidbar: Gute Datenschutzerklärungen sind klar und einfach formuliert, wichtige und für den Nutzer relevante Informationen finden sich schon auf der ersten Seite.
Für notwendige Zustimmungsverfahren bietet sich das Opt-in Verfahren an. Innerhalb dieses Verfahrens, bestätigt der Nutzer, dass er mit einer Datenverarbeitung einverstanden ist. Das Einverständnis wird durch klicken erteilt. Im Gegensatz dazu ist es, seit Inkrafttreten der DSGVO, nicht mehr zulässig eine Vorauswahl für den Nutzer zu treffen. Dieses sogenannte Opt-out Verfahren ist Vergangenheit.
Zusätzlicher Schutz von Daten lässt sich durch gezielte Zugriffsberechtigungen bei den Mitarbeiterinnen und Mitarbeitern erreichen. So haben die Kollegen nur die Berechtigung auf die Daten zuzugreifen, die sie für ihre Arbeit benötigen. Damit ist ein zentrales Leitprinzip der DSGVO umgesetzt. Daten die benötigt werden, dürfen auch verwendet werden. So darf die Privatadresse eines Kunden von einem Energieanbieter genutzt werden, damit dieser Strom- und Gasverbrauch in Rechnung stellen kann.
Einen zuverlässigen Schutz vor Datenmissbrauch bieten verschlüsselte Daten. Komplexe Passwörter sichern externe Festplatten und USB-Sticks. Schriftliche Dokumente gehören nicht in den Papierkorb, sondern in die verschlossene Datenschutztonne, die von Spezialanbietern oder der heimischen Müllabfuhr gestellt wird.
Qualifizierte Mitarbeiter machen keine Standardfehler. Vollumfängliche Datenschutzschulungen für Mitarbeiter verhindern Fehler, die Datenpannen auslösen, reale wirtschaftliche Schäden verursachen und einen Imageschaden als Folge haben.

4. Standardisierter Datenschutz im Unternehmen
DSGVO Geldbußen lassen sich vermeiden. Solider Datenschutz fordert ein professionelles Datenschutzmanagement. Fehler müssen unbedingt frühzeitig gesichtet werden. Ein Teil dieses Konzepts können Online-Schulungen und damit verbundene haftungsentlastende Zertifikate bilden.
Interne oder externe Datenschutzbeauftragte übernehmen dabei die Kontrolle für die Unternehmen und sorgen für die Einhaltung des Datenschutzmanagements.

5. Fortsetzung – drohen auch Abmahnungen?
Der dritten Teil unserer Serie „DSGVO Bußgelder“ befasst sich mit dem Thema Abmahnungen und damit, was im Falle einer Abmahnung unbedingt beachtet werden sollte.
+Lesen Sie >>> hier <<< weiter.

Über uns

lawpilots wurde 2017 in Berlin als Legaltech gegründet. Ziel des Innovationsführers für Online-Schulungen ist: Die digitale Bildungsrevolution aktiv gestalten. Recht.Einfach.Verstehen und Zukunftskompetenz sind unsere Vision und unser zentrales Versprechen. Über unsere digitale Lernplattform schult lawpilots europaweit Führungskräfte und Mitarbeiter von mehr als 500 Unternehmen, Verbänden und Verwaltungen. Leitthemen sind Online-Schulung, Arbeitsschutz, Compliance, Datenschutz und Informationssicherheit.

lawpilots setzt für die lernpsychologisch optimierten Online-Kurse auf modernste interaktive Lernspiele, Experteninterviews und innovative Videos. Die digitalen Lerninhalte berücksichtigen die neueste Gesetzgebung auf europäischer und nationaler Ebene sowie stets die aktuelle Rechtsprechung. Unsere Kunden bekommen in konzentrierter Form relevantes Wissen; die gesetzlichen Nachweis- und Unterweisungspflichten werden erfüllt. Durch die innovativen Online-Kurse von lawpilots sind unsere Kunden vor unliebsamen Überraschungen durch Aufsichtsbehörden und Abmahnungen durch Wettbewerber geschützt.

01. März 2019
lawpilots-Serie zu DSGVO Bußgeldern, Teil 3: Abmahnwelle - Ruhe vor dem Sturm?
22. Februar 2019
DSGVO Bußgelder: Was Unternehmen jetzt wissen müssen – Teil 1

Newsletter abonnieren

Rufen Sie uns an oder schreiben Sie uns:

+49 (0)30 217 8066
[email protected]

Andreas Grau
Leiter Kundenservice und sein Team sind
Mo – Fr von 8:30 – 19:00 Uhr für Sie da.

Abonnieren Sie unseren monatlichen Newsletter (mit Infos zu unseren Schulungen, Fachartikeln und Veranstaltungen). Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Ihre Angaben werden selbstverständlich vertraulich behandelt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.