Die Nervosität bei Unternehmen wird mit dem Näherrücken des 25.05.18 und dem Start der neuen DSGVO immer größer und präsenter. Völlig zu Unrecht! Denn wir wahrscheinlich sind Abmahnungen? Wie hoch sind mögliche Bußgelder? Und was sind die Kriterien für mögliche Bußgelder?

DER STRAFENKATALOG DER DSGVO FÜR UNTERNEHMER

Die Höhe der Strafen, die bei Verstößen gegen die Datenschutzgrundverordnung verhängt werden können, sind maximal zwei bis vier Prozent des weltweiten Unternehmensumsatzes bzw. 10-20 Millionen Euro belaufen. Je nachdem was höher ist. Es handelt sich hierbei aber nur um Höchstwerte. Solche Höchstwerte sind vor allem da um Aufmerksamkeit zu erregen. Selbst nach altem Datenschutzgesetz konnten die Datenschutzbehörden bis zu 300.000 Euro als Strafen verhängen und aussprechen. Jedoch wieder theoretisch: In der Vergangenheit sind die meisten Strafen nicht höher als 5000 oder 6000 Euro ausgefallen. Millionen Bußgelder gab es in der Vergangenheit nur in den absoluten Ausnahmefällen. 2009 mussten die Deutsche Bahn und Google tief in die Tasche greifen. Der Maximalrahmen existiert nur in extremen Fällen. Es wird immer berücksichtigt, welche Art von Daten betroffen sind und ob es sich um den ersten oder einen wiederholten Verstoß handelt.

WER KANN WEN VERKLAGEN UND ABMAHNEN?

Die Aufgabe Datenschutzverstößen nachzugehen und gegebenenfalls einzuschreiten liegt bei den Landesdatenschutzbehörden. Allerdings nicht nur. Deutschland hat als einziges EU-Land im Februar 2016 auch ein eigenes Verbandsklagerecht in Datenschutzsachen eingeführt. Da bedeutet schließlich: Auch Verbände, zum Beispiel Verbraucherschutzverbände, dürfen Unternehmen wegen Datenschutzverletzungen abmahnen und verklagen. Das Klagerecht für Private ist jedoch umstritten. Die Argumentation hierbei liegt vor allem darauf, dass über öffentliche und rechtliche Normen entschieden werden darf. Darüber hinaus kann natürlich jeder Mensch über seine personenbezogenen Daten und deren Verwendung selbstbestimmen. Sieht er dieses informationelle Selbstbestimmungsrecht verletzt, darf er ein Unternehmen abmahnen. Das war allerdings auch schon nach dem alten Bundesdatenschutzgesetz der Fall.

WIE WAHRSCHEINLICH IST EINE ABMAHUNG?

Die Wahrscheinlichkeit, von einem Verband abgemahnt zu werden, ist höher als eine Abmahnung durch die Datenschutzbehörden. Die Datenschutzaufsichtsbehörden haben ihren Fokus nach wie vor auf ihrer Beraterfunktion. Bei Verbraucherverbänden ist dies jedoch ein wenig anders. Hier liegt der Fokus wirklich auf der Verfolgung von Verstößen. Hierfür stehen auch dementsprechend höher Budgetmöglichkeiten zur Verfügung.
Die Datenschutzbehörden haben hingegen deutlich mehr Rechte, um Datenschutzverstöße überhaupt offen zu legen. Sie können Audits machen, also untersuchen, ob ein Unternehmen die Bestimmungen einhält. Dafür haben sie auch ein Begehungsrecht, dürfen also in die Firma kommen. Die Verbände hingegen können nur solche Datenschutzverletzungen abmahnen, die von außen für jeden sichtbar sind.
Als kleines oder mittelgroßes Unternehmen ist es eher unwahrscheinlich, ins Visier der Datenschutzbehörden zu gelangen. Daher sollte der Fokus vor allem auch darauf liegen, alle Regeln, die nach außen hin sichtbar sind, einwandfrei einzuhalten. Dazu gehören zum Beispiel das Double-Opt-in bei Newsletter-Anmeldungen, die richtige Datenschutzerklärung auf der Website oder das Widerrufsmanagement für Datenprozesse (das heißt: eine Aufklärung darüber, wie zum Beispiel Kunden die Erlaubnis, ihre Daten zu verarbeiten, widerrufen können).
Wichtig zu wissen: Wird man durch einen Verband abgemahnt und es kommt zum Prozess, dann muss auch die Datenschutzbehörde bei Kenntnisnahme ermitteln, sie hat dann einen Ermittlungszwang. Diese kann dann auch das Unternehmen begehen und interne Verstöße gegen die Datenschutzgrundverordnung abmahnen.