Hohe Bußgelder beim Verstoß gegen DSGVO
02. Dezember 2016
Verfasst von Sarah Schaudel
Bild: © Alexey Laputin - Fotolia.com
Am 14. April 2016 verabschiedete das EU-Parlament die EU-Datenschutz- Grundverordnung, kurz: DSGVO. Ziel der DSGVO ist die Vereinheitlichung des Datenschutzrechts innerhalb Europas. Zum einen sollen Einzelpersonen mehr Kontrolle über ihre Daten bekommen und zum anderen sollen datenschutzrechtliche Rückzugsgebiete innerhalb der europäischen Gemeinschaft aufgelöst werden. So gelten in Bezug auf den Datenschutz für alle die gleichen Wettbewerbsbedingungen.
Alle Unternehmen sind betroffen
Diese neuen Regelungen gelten allerdings nicht nur für in Europa ansässige Unternehmen, sondern für alle Unternehmen, die ihre Dienste auf dem europäischen Markt anbieten wollen. Das heißt auch Unternehmen aus den USA, wie bspw. Facebook, sind an die DSGVO gebunden, oder müssen ihren Dienst in Europa einstellen.
Unschuldsbeweis
Die Beweislast wird umgekehrt: Unternehmen müssen zukünftig nachweisen, dass sie die Regelungen einhalten. Bisher mussten Verstöße erst von der zuständigen Behörde nachgewiesen werden.
Schmerzlich hohe Bußgelder
Nach geltendem Datenschutzrecht wurden von deutschen Aufsichtsbehörden Bußgelder in Höhe von unter 2 Mio. € verhängt. In Zukunft liegt die maximale Geldbuße für Verstöße gegen den Datenschutz bei 20 Mio. €.
Unternehmen werden richtig zur Kasse gebeten
Bis zu 4% des weltweiten Umsatzes aus dem vorangegangenen Geschäftsjahr können drohen - je nachdem, welcher Wert höher ist. Bei großen Internetkonzernen sprechen wir hier von mehreren Milliarden €.
Durch die empfindlichen Strafen sollen Verstöße gegen die DSGVO verhindert werden und zudem auch vermitteln, dass ein Verstoß gegen die DSGVO mit der Verletzung der Grundrechtecharta der EU gleichzusetzen ist.
Einwilligung erst ab 16 Jahren
Eine Studie von DIVSI zeigt, dass in Deutschland mehr als die Hälfte der 8-Jährigen (55 %) und bereits fast ein Drittel (28 %) der 6jährigen im weltweiten Netz unterwegs sind. Bei über 14jährigen liegt die Internetnutzung bereits bei 95 %.
Möchte ein Unternehmen personenbezogene Daten verarbeiten, ist dies nur legitim, wenn die Einwilligung der betroffenen Person vorliegt oder eingeholt wird.
Bisher konnte man diese Einwilligung mit 13 Jahren abgeben. Dieses Mindestalter wird nach der DSGVO auf 16 erhöht. Dadurch wird Kindern und Teenagern die Anmeldung bei Social Media Portalen zukünftig erschwert. Es ist allerdings damit zu rechnen, dass viele Anmeldungen schon vor Erreichen des 16. Lebensjahr und ohne Einwilligung der Eltern, also rechtswidrig, durchgeführt werden.
Stärkere Rechte für betroffene Personen
Grundsätzlich müssen betroffene Personen sofort bei der Erhebung von personenbezogenen Daten, z.B. bei einer Newsletter Anmeldung, über Folgendes informiert werden:
- Name und Kontaktdaten des Verantwortlichen und ggf. des Vertreters
- Kontaktdaten des Datenschutzbeauftragten, soweit einer bestellt wurde
- Zweck und Rechtsgrundlage für die Verarbeitung
- Bei Verarbeitung nach Art. 6, Abs. 1f gegebenenfalls die berechtigten Interessen, die verfolgt werden
- Die Empfänger oder Kategorien von Empfängern
- Die Übermittlung an ein Drittland oder eine internationale Organisation
- Dauer der Speicherung
- Das Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch sowie das Rechts auf Datenübertragbarkeit
- Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
- Informationen darüber, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsabschluss erforderlich ist, eine Verpflichtung besteht und welche Folgen die Nichtbereitstellung hätte
- Das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
- Informationen über die Änderung des Zweckes zur Weiterverarbeitung
Eine grundsätzliche Neuerung bringt das Recht auf Datenübertragbarkeit und stärkt das Recht der betroffene Personen, ihre bereitgestellten personenbezogenen Daten, bspw. Foto-Uploads etc., direkt und automatisiert auf einen neuen Verantwortlichen übertragen zu lassen, soweit dies technisch machbar ist.
Datenschutzbeauftragter
Viele deutsche Unternehmen müssen schon heute einen Datenschutzbeauftragten schriftlich bestellen. Mit der DSGVO wird die Pflicht auf ganz Europa ausgeweitet, sobald das Unternehmen einer Tätigkeit nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf. Der Datenschutzbeauftragte muss eine gewisse berufliche Qualifikation, Fachwissen im Bereich Datenschutz und Datenschutzpraxis sowie die Fähigkeit der Erfüllung der gesetzlich definierten Aufgaben mitbringen. Eine Benennung kann intern oder extern erfolgen, allerdings müssen Interessekonflikte dabei unterbunden werden, z.B. wenn Geschäftsführer, Personaler oder IT-ler sich selbst kontrollieren müssten.
Nach der neuen Regelung ist es nicht mehr notwendig, den Datenschutzbeauftragten schriftlich zu bestellen, eine Benennung ist ausreichend und die Kontaktdaten des Datenschutzbeauftragten müssen der Aufsichtsbehörde mitgeteilt werden.
Kommt man dieser Pflicht nicht nach drohen auch hier hohe Bußgelder von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.
Unternehmen müssen sich vorbereiten
Nutzen Sie die Übergangsfrist um Ihre Prozesse auf die Verordnung einzustellen. Es kommt viel Arbeit auf Sie zu, denn DSGVO stellt neben alten Pflichten auch neue Anforderungen an die Unternehmen.
Abgesehen von einer möglichen Bestellpflicht eines betrieblichen Datenschutzbeauftragten empfehlen wir dies, um die Anforderungen der DSGVO im Unternehmen reibungslos bis zum 25. Mai 2018 umsetzen zu können.
Bedenken Sie, dass es nicht nur darum geht hohe Bußgelder zu vermeiden, sondern auch um das Image Ihres Unternehmens sowie den Schutz Ihrer Mitarbeiter und Kunden.
Der Aufwand für die Umstellung hängt vom Unternehmen ab. Aber eines ist sicher: Für alle Unternehmen besteht Handlungsbedarf um künftig die Datenschutz-Grundverordnung einzuhalten.