Um die 158,5 Millionen Euro waren im letzten Jahr an Bußgeldern fällig, so berichtet die Kanzlei DLA Piper. Das ist im Vergleich zum Vorjahr sind die DSGVO-Bußgelder damit um ca. 39% angestiegen. Und dieser Trend bricht auch im Jahr 2021 nicht ab.

Die Europäischen Datenschutzbehörden treten zunehmend auf den Plan, wenn es um Datenschutzverstöße im Unternehmen geht. Zuletzt wurde beispielsweise ein Bußgeld in Höhe von ca. 9,6 Millionen Euro gegen die Dating-Plattform Grindl angekündigt. Vorgeworfen wird dem norwegischen Unternehmen, dass es unerlaubt Nutzdaten zu Marketingzwecken weitergegeben hat.

Aber auch in Deutschland gab es einige gravierende Fälle. So musste etwa das Unternehmen Hennes & Mauritz eine Strafe in Höhe von 35 Millionen Euro akzeptieren. Begründung dafür: Unzulässige Speicherung von Mitarbeiterdaten. Beispielsweise Religion, Urlaubsverhalten und Krankheiten wurden in eine Datenbank eingetragen. Klarer Verstoß gegen den Beschäftigtendatenschutz, so die Hamburger Datenschutzbehörde.

Androhung der DSGVO-Bußgelder

Wer sich nicht an die strengen Anforderungen an den Datenschutz im Betrieb hält, muss mit scharfen Sanktionen rechnen. Die Datenschutzgrundverordnung (DSGVO) regelt empfindliche Strafen. So sind gemäß Art. 83 Abs. 4 DSGVO Bußgelder in Höhe von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich. Der jeweils höhere Betrag bildet die Obergrenze, sozusagen das Strafmaß. Die finanziellen Auswirkungen sind daher auch für kleinere und mittlere Unternehmen nicht zu unterschätzen. Gerade sie sollten für einen rechtssicheren Datenschutz sorgen und die Vorgaben der DSGVO und des BDSG umsetzen.

Kriterien für die Höhe des Bußgeldes

 Die konkrete Höhe des Bußgeldes richtet sich nach dem mittleren Jahresumsatz. Hieraus wird ein wirtschaftlicher Grundwert gebildet, der dann – je nach Schwere des Verstoßes – mit einem Faktor von 1-12 multiplizert wird. Maßgeblich ist also insbesondere wie intensiv die gesetzlichen Pflichten vernachlässigt wurden.

Ein sehr schwerer Verstoß liegt etwa vor, wenn vor der Datenerhebung nicht rechtmäßig eine erforderliche Einwilligung des Betroffenen eingeholt wurde. Auch die mangelnde Einhaltung der Betroffenenrechte aus Art. 12 bis 22 DSGVO werden besonders hart bestraft. Dafür reicht es schon aus, wenn die Person, deren personenbezogenen Daten erhoben werden, vor der Datenerhebung nicht hinreichend informiert wird. Dazu kann schon eine fehlende oder fehlerhafte Datenschutzerklärung ausreichen.

DSGVO und BDSG einhalten

Auch Kleinstbetriebe müssen die Regelungen der DSGVO einhalten. Und für die meisten ist die Stellung eines Datenschutzbeauftragten Pflicht. Dazu reicht es bereits aus, dass die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 b DSGVO). Wie viele Mitarbeiter das Unternehmen beschäftigt, ist in diesem Fall unerheblich. Und zur Kerntätigkeit gehört beispielsweise in der Regel gerade auch die Bereiche Marketing und Vertrieb. Wer also personenbezogene Daten für Werbemaßnahmen wie Newsletter und Co. nutzt, hat in der Regel einen Datenschutzbeauftragten zu benennen.

Bußgelder vermeiden

Um der Gefahr von Sanktionen zu entgehen, empfiehlt sich daher die Bestellung eines internen oder externen Datenschutzbeauftragten. Dieser sollte hinreichend geschult sein und im besten Fall über Erfahrung mit den Themen Datenschutz- und Datensicherheit verfügen. Der Datenschutzbeauftragte sollte dann zunächst über ein Audit den Ist-Zustand des Datenschutzes in der Firma feststellen. Der Soll-Zustand ergibt sich aus der Vielzahl an datenschutzrechtlichen Pflichten und Regelungen. Schließlich ist dieser Zustand schnellst möglich und vollständig herzustellen.

Außerdem hat der Datenschutzbeauftragte unverzüglich alle erforderlichen Dokumente anzufertigen und fortlaufend aktuell zu halten. Dazu gehören insbesondere ordnungsgemäße Datenschutzerklärungen, ein vollständiges Verfahrensverzeichnis, ein Verzeichnis über die technischen und organisatorischen Maßnahmen (TOM-Liste) und nicht zuletzt auch gesetzeskonforme Verträge über die Auftragsdatenverarbeitung. Um eine unzulässige Datenspeicherung zu vermeiden, gilt es zudem ein Löschungskonzept auf- und umzusetzen. Hier sind auch steuer- und handelsrechtliche Aufbewahrungspflichten zu beachten.