Eine neue Dimension

Die EU zwingt Unternehmen, das Thema Datenschutz zur Chefsache zu machen. Doch was genau bedeutet das? Und welche Konsequenzen drohen bei Cyberangriffen, Datenpannen und Verstößen gegen die neuen Vorgaben? Die wichtigsten Antworten.

Seit 25. Mai 2018 gilt in Deutschland die EU-Datenschutz-Grundverordnung (DSGVO) – und sorgt für Chaos. „Viele Unternehmen haben sich in der Vergangenheit zu wenig um das Thema gekümmert und haben jetzt Nachholbedarf“, analysiert Achim Berg, Präsident des Digitalverbands Bitkom. Viel Zeit, den aktuellen Stand zu erreichen, bleibt allerdings nicht. Verstöße gegen die neuen Regeln können schon heute schmerzhafte Folgen haben. Was Unternehmen wissen müssen.

Wann ist eine Cyberattacke meldepflichtig?
Deutlich häufiger als vor der Datenschutz-Grundverordnung. „Wenn ein Vertriebsmitarbeiter seinen Laptop im Zug liegen lässt, wird die Aufsicht ebenso informiert werden müssen wie bei einem Hackerangriff auf die unternehmenseigene Datenbank“, sagt Holger Lutz, IT-Rechtler bei Baker & McKenzie in Frankfurt am Main. Eine Ausnahme gilt nur, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt – und das ist nicht immer leicht zu beurteilen. Auch deshalb sollten Unternehmen die Meldepflicht sehr ernst nehmen. „Wer nicht binnen 72 Stunden nach dem Bekanntwerden der Verletzung Meldung erstattet, riskiert Bußgelder bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Konzernumsatzes“, warnt Lutz.

Was müssen Unternehmen befürchten, wenn, etwa nach einer Cyberattacke, personenbezogene Daten in die falschen Hände geraten?
Wenn das Unternehmen nachweisen kann, dass es an dem Datenklau keinerlei Schuld trifft, ist eine Haftung grundsätzlich ausgeschlossen. „In der ­Praxis wird ein solcher Beweis aber oft schwer zu führen sein“, warnt IT-Rechtler Lutz. Unklar sei zudem, wie in diesem Fall die Konsequenzen aussehen. „Die neuen Regeln sind insofern sehr unglücklich formuliert“, sagt der Jurist. „Man wird abwarten müssen, wie die Rechtsprechung damit umgehen wird.“

» 53 % der Unternehmen in Deutschland waren in den vergangenen zwei Jahren von Wirtschaftsspionage, Sabotage oder Datendiebstahl betroffen. « Quelle: Bitkom 

Wie hoch ist das Risiko, für Datenschutz­verstöße belangt zu werden?
Deutlich höher als bisher. Nach den neuen Regeln können die Behörden Bußgelder von bis zu 20 Millionen Euro beziehungsweise bis zu vier Prozent des weltweit erzielten Konzernumsatzes verhängen. „Zwar hat sich die Aufsicht hier bislang recht zurückhaltend präsentiert“, sagt Lutz. Dabei wird es aber wohl nicht bleiben. „Auf europäischer Ebene dürfte mittelfristig eine Art Standard-Bußgeldkatalog entstehen. Der Rahmen wird sehr wahrscheinlich deutlich oberhalb dessen liegen, was wir in Deutschland gewohnt sind.“ Allerdings sollten Unternehmen den Fokus nicht allein auf die Vermeidung von Bußgeldern richten, denn die Behörden haben noch andere Möglichkeiten, mangelnde Datenschutz-Compliance zu sanktionieren. „Wenn ein Unternehmen vier Millionen Datensätze über Kunden besitzt, aber niemand weiß, wo die eigentlich herkommen, ist Ärger programmiert“, sagt Lutz. „Kommt ein solcher Fall ans Licht – etwa nach einer Kundenbeschwerde oder der Anzeige eines Wettbewerbers –, kann die Aufsicht im Extremfall anordnen, die entsprechenden Daten zu löschen.“ Hinzu kommt die zivilrechtliche Haftung. Die DSGVO gewährt jeder Person, die wegen eines Datenschutzverstoßes einen materiellen oder immateriellen Schaden erlitten hat, einen Anspruch auf Kompensation.

Wer genau haftet bei Datenschutzverstößen?
Grundsätzlich haftet nach der DSGVO die Gesellschaft, also zum Beispiel die GmbH oder AG. Daneben müssen nach deutschem Recht auch die handelnden Personen für Fehler geradestehen. So hat beispielsweise das Bayerische Landesamt für Datenschutz­aufsicht die Mitarbeiterin eines Unternehmens mit einem Bußgeld belegt: Diese hatte in einem Kundenmailing den fast zehnseitigen Verteiler mit den Adressen der Empfänger statt ins BCC- ins CC-Feld eingesetzt und damit für alle sichtbar gemacht.

Wie groß ist die Gefahr, wegen Datenschutzverstößen abgemahnt zu werden?
Rechtsanwalt Lutz geht davon aus, dass zumindest Wettbewerber in diesem Bereich nicht übermäßig aktiv sein werden. „Niemand kann sich derzeit sicher sein, dass das eigene Unternehmen zu 100 Prozent den neuen Anforderungen genügt. Das dürfte für eine gewisse Zurückhaltung sorgen.“ Problematischer sei im Moment aber „die missbräuchliche Anspruchsstellung“. Unternehmen erhalten dabei ein Anwaltsschreiben, das wegen einer (vermeintlich) ungerechtfertigten Datenverarbeitung Schadenersatz von einigen Zehntausend Euro verlangt und eine Beschwerde bei der Datenschutzbehörde in den Raum stellt, sollte keine Zahlung erfolgen.

Wer hat einen Datenschutzverstoß zu beweisen?
Anders als bisher muss nach den neuen Regeln nicht mehr der betroffene Kunde oder Mitarbeiter darlegen, dass seine Rechte verletzt sind, sondern das Unternehmen muss beweisen, dass die Datenverarbeitung rechtskonform war. Susanne Dehmel, Geschäftsleiterin Recht und Sicherheit beim Bitkom rät deshalb dringend, ein Verfahrensverzeichnis zu erstellen, in dem die internen Prozesse für die Verarbeitung personenbezogener Daten dokumentiert sind.

Kann ein Datenschutzbeauftragter das Haftungsrisiko minimieren?
Ein Datenschutzbeauftragter ändert nichts daran, dass das Unternehmen bei Verstößen in der Verantwortung steht. Dennoch ist es sinnvoll, einen Mitarbeiter oder Externen mit dieser Aufgabe zu betrauen „Die Erfahrung lehrt, dass sich die Datenschutz-Compliance fast immer verbessert, wenn sich jemand intensiv mit dem Thema auseinandersetzt“, sagt Rechtsanwalt Lutz. Beschäftigt ein Unternehmen zehn oder mehr Mitarbeiter, die sich mit der automatisierten Verarbeitung von Kunden- und Personaldaten befassen, ist die Benennung eines Datenschutzbeauftragten in Deutschland ohnehin vorgeschrieben.

Welche Qualifikationen muss ein guter Datenschutzbeauftragter mitbringen?
Einen verbindlichen Anforderungskatalog gibt es derzeit (noch) nicht. Entsprechend vage formuliert die DSGVO: „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“ Zu diesen Aufgaben zählen unter anderem die Beratung der Verantwortlichen sowie die Überwachung des datenschutzkonformen Verhaltens im Unternehmen. „Wer einen guten Datenschutzbeauftragten sucht, kann sich derzeit am ehesten an Empfehlungen orientieren“, sagt Experte Lutz. Zertifikate, etwa vom TÜV oder Verbänden, stellen zudem sicher, dass bestimmte Mindeststandards gehalten werden. 

Quelle: Creditreform Magazin
Text: Catrin Gesellensetter

© 2018 Verband der Vereine Creditreform e.V.

Sollte dieses Formular nicht richtig dargestellt werden, klicken Sie bitte hier.

Kontakt

allgemeineskontaktformular

Allgemeines Kontaktformular
Kontakt