Bei DSGVO-Verstoß droht Bußgeld

Bei DSGVO-Verstoß droht Bußgeld

Datenschutzaufsichtsbehörden möchten annehmen, dass Unternehmen, die Dienstleistungen oder Produkte auf dem EU-Markt vertreiben und/oder in der EU ansässig sind, ein verlässliches Datenschutzmanagement eingeführt haben. Wenn man sich aber Deutschland allein ansieht, wird klar, dass dies nicht der Fall ist (Link).

Die DSGVO und ihre Regelungen

Die DSGVO ist seit dem 25. Mai 2018 offiziell anzuwenden. Sie regelt die Verarbeitung personenbezogener Daten und dient der Vereinheitlichung des Schutzes dieser in der Europäischen Union (mehr dazu in unserem Beitrag hier). Ihr Inkrafttreten ist inzwischen über zwei Jahre her, aber dennoch gibt es weiterhin eine Vielzahl an Unternehmen, die noch kein Datenschutzmanagement implementiert haben. Wer die Risiken eines Verstoßes gegen die Datenschutzgrundverordnung kennt, fragt sich, warum ein Unternehmen bereit ist, gerade dieses einzugehen.

Gründe für einen fehlenden Datenschutz

Fehlende Regelungen zum Datenschutz in einem Unternehmen können viele Gründe haben. Um diese genau herauszufinden, müsste man den Geschäftsführer wahrscheinlich selbst fragen. Wir selbst können dazu nur Vermutungen anstellen:

Falsches Denken über den Nutzen des Datenschutzes

Für so manchen Unternehmer erscheint die Implementierung eines Datenschutzmanagements als Geldverschwendung. Der Grund dafür ist, dass er sich nicht über die Vorteile im Klaren zu sein scheint.

Mangelndes Erkennen der Bedeutsamkeit der DSGVO

Möglicherweise ist auch die rechtliche Bedeutsamkeit nicht klar. Bei einem Unternehmen ohne Rechtsabteilung kann es passieren, dass die Einführung der DSGVO an der Firma sozusagen lautlos vorbeigegangen ist. Von Juristen beispielsweise erwartet man, dass sie sich über gesetzliche Änderungen und Ergänzungen auf dem Laufenden halten. Bei einem 1-Mann-Unternehmen findet solch eine Einführung aber möglicherweise keine oder fehlende Beachtung.

Inkorrektes Denken, dass das Unternehmen zu klein für Datenschutzbeachtung ist

Zum anderen könnte ein Einzelunternehmer denken, dass die DSGVO tatsächlich für sein Unternehmen unwichtig ist. Er ist schließlich der einzige und verarbeitet nur seine Daten und denkt nicht an etwaige Kunden, deren personenbezogenen Daten er zu schützen hat. Vielleicht ist ihm nicht bewusst, dass er auch eine Routine einführen muss für den Fall, eine betroffene Person tritt an ihn mit einem Auskunfts- oder Löschbegehren o. A. heran. Die meisten Firmen heutzutage – auch wenn der Geschäftsführer sozusagen der einzige Beschäftigte ist – haben mindestens auch eine Webseite. Hierfür muss es einen Datenschutzhinweis (allgemein bekannt als Datenschutzerklärung) geben.

Profit über Datenschutz

Wer die Regelungen der DSGVO dann doch kennt, weiß, dass prä-DSGVO-Praktiken wie Kaltakquise nicht mehr umzusetzen sind. Man kann einen potentiellen Kunden nicht mehr einfach aus dem Himmel heraus anrufen, mit dem Ziel, diese Person zu einem Vertragsabschluss zu bringen. Man braucht also eine Rechtsgrundlage (Art. 6 DSGVO), um jemanden kontaktieren zu können und meist überwiegen die zu schützenden Interessen der betroffenen Person. Dies bedeutet, dass ein Unternehmen sich auf oftmals langsamere Erfolgswege einstellen muss, welche den Eindruck von weniger Profit erwecken.

Risikobereitschaft

Damit geht manchmal auch das Wiegen in falscher Sicherheit einher, dass ein Unternehmen denkt, dass sich schon niemand beschweren wird und somit kein Bußgeld auf sie zukommt. Alternativ kann es auch sein, dass ein Unternehmen tatsächlich bereit ist, dieses Risiko einzugehen. Vielleicht ist der anvisierte Gewinn höher als das mögliche Bußgeld – vorausgesetzt das rechtswidrige Vorgehen kommt ans Tageslicht.

Mangelndes Wissen über Risiken

Begeht ein Unternehmen einen Verstoß gegen die DSGVO, kann es auch auf Unwissenheit beruhen. Eventuell sind die Risiken gar nicht bekannt. Möglicherweise denkt ein Unternehmen auch, dass das mögliche Bußgeld schon nicht so gravierend sein wird.

Mangelnde Bereitschaft für Ausgaben für den Datenschutz

Ein Grund für ein nicht vorhandenes Datenschutzmanagement kann auch sein, dass ein Unternehmen schlichtweg nicht bereit ist, die Kosten dafür aufzubringen. Auch hier kann es nachteilig sein, wenn das jeweilige nötige Wissen nicht vorhanden ist und durch einen Datenschutzvorfall oder ein negatives Urteil nach einer Prüfung der Datenschutzaufsichtsbehörde ein Bußgeldverfahren bevorsteht.

Fazit

All die oben genannten Gründe können durch technische Fehler, menschliches Versagen oder Lücken im System zu einem Datenschutzvorfall führen. Je nachdem, ob dieser meldepflichtig ist, kann es ein Bußgeld durch die Datenschutzaufsichtsbehörde nach sich ziehen. Dasselbe kann passieren, wenn ein unzufriedener Kunde von so etwas erfährt oder ein ehemaliger Beschäftigter Rache üben möchte und der Behörde von jeglichen Vorfällen, Fehlern o. Ä. berichtet. Hierbei sollte auch erwähnt werden, dass das Bußgeld weitaus höher ausfallen wird, wenn die Datenschutzaufsichtsbehörde bemerkt, dass für den Datenschutz keine Maßnahmen ergriffen, keine entsprechenden Verträge aufgesetzt und keine nötigen Dokumentationen aufgezeichnet worden sind.

Die Behörde entschuldigt es, wenn in einem Unternehmen, einer Arztpraxis oder Verein das spezielle Wissen zum Datenschutz fehlt. In solch einem Fall verlangt sie aber, dass das Unternehmen sich externe Unterstützung besorgt. Dabei können wir helfen: der Datenschutz ist unser Spezialgebiet. Wir können die technische, juristische und organisatorische Seite des Datenschutzes bei Ihnen abdecken. Kontaktieren Sie uns. Wir erstellen gern ein unverbindliches Angebot für Sie.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.