Die Datenschutz-Grundverordnung (DSGVO) hat das Handeln von Unternehmen europaweit nachhaltig ge\u00e4ndert: Datenschutz-Verst\u00f6\u00dfe werden sanktioniert \u2013 zum Teil werden horrende DSGVO-Bu\u00dfgelder verh\u00e4ngt. War es in den ersten Jahren der DSGVO eher ruhig, ging es ab 2020 mit den DSGVO-Bu\u00dfgeldern los. Aber \u2013 woraus ergeben sich Sanktionen eigentlich? Was wird beim Verh\u00e4ngen der DSGVO-Bu\u00dfgelder ber\u00fccksichtigt und warum werden sie \u00fcberhaupt verh\u00e4ngt? Gibt es L\u00f6sungen, die Unternehmen vor Bu\u00dfgeldern bewahren? Diesen und weiteren Fragen gehen wir heute auf den Grund.<\/p>\n
Nach einer kleinen Schonfrist von etwa zwei Jahren wurden die Aufsichtsbeh\u00f6rden aktiv: Wer sich nun noch immer nicht an die DSGVO hielt, wurde abgestraft. Das traf j\u00fcngst den Versandriesen Amazon<\/a> mit einem DSGVO-Bu\u00dfgeld in H\u00f6he von 746 Millionen Euro. Es traf jedoch auch schon Google: Die franz\u00f6sische Datenschutzbeh\u00f6rde dr\u00fcckte dem Suchmaschinenriesen eine Sanktion von 50 Millionen Euro auf. Hierzulande war man auch nicht zimperlich: 35 Millionen Euro wurden gegen H&M verh\u00e4ngt. Weitere Bu\u00dfgeldf\u00e4lle k\u00f6nnen Sie sich in unserem Beitrag \u201eDSGVO: Bu\u00dfgelder in Anzahl & H\u00f6he deutlich gestiegen\u201c<\/a> ansehen.<\/p>\n Im europ\u00e4ischen L\u00e4ndervergleich zeigt sich, dass die deutschen Datenschutzbeh\u00f6rden die Schonfrist hinter sich gelassen haben: Laut einer Studie von heyData<\/a> verh\u00e4ngte Deutschland seit Inkrafttreten des neuen Datenschutzgesetzes DSGVO-Bu\u00dfgelder in H\u00f6he von 69 Millionen Euro. Damit ist Deutschland \u2013 direkt hinter Italien \u2013 auf Platz 2.<\/p>\n Die H\u00f6he eines Bu\u00dfgeldes wird von der zust\u00e4ndigen Datenschutzbeh\u00f6rde festgelegt. Feste Rezepte gibt es hier nicht \u2013 jeder Fall muss separat betrachtet werden. Art. 83 DSGVO<\/a> nennt die \u201eallgemeinen Bedingungen f\u00fcr die Verh\u00e4ngung von Geldbu\u00dfen\u201c. Ziel des Gesetzgebers war es, mit den Sanktionen empfindlich zu treffen, und so erkl\u00e4rt auch Satz 1 des Artikels 83 DSGVO, dass Bu\u00dfgelder \u201ein jedem Einzelfall wirksam, verh\u00e4ltnism\u00e4\u00dfig und abschreckend\u201c sein sollen. Weiter stellt der Absatz klar, dass zur Kalkulation der Bu\u00dfgeldh\u00f6he verschiedene Faktoren Einfluss haben, mitunter die Schwere der Datenschutzverletzung oder die Bereitschaft des Unternehmens, die Datenschutzverletzung abzustellen.<\/p>\n Die DSGVO erlaubt horrende Sanktionen. Art. 83 Abs. 24 DSGVO h\u00e4lt einen Katalog von Bemessungskriterien bereit. Demnach werden beim Berechnen der DSGVO-Bu\u00dfgelder unter anderem folgende Punkte relevant:<\/p>\n F\u00fcr die Praxis bedeutet dies, dass die Datenschutzbeh\u00f6rden einen gro\u00dfen Ermessensspielraum in ihrer Bewertung von Datenschutzvorf\u00e4llen haben. In der Folge kann die H\u00f6he der DSGVO-Bu\u00dfgelder massiv variieren.<\/p>\n Die Aufsichtsbeh\u00f6rden unterscheiden f\u00fcr die Kalkulation der DSGVO-Bu\u00dfgelder: Kommt ein Unternehmen etwa seinen \u00dcberwachungs- oder Zertifizierungspflichten nicht nach oder werden weitere Vorschriften verletzt, wird ein Bu\u00dfgeld von bis zu 10 Millionen Euro oder 2 Prozent des weltweit erzielten Vorjahresumsatzes f\u00e4llig. Besonders schwerwiegende Vergehen jedoch, das Verletzen der Betroffenenrechte oder auch das Nichtbefolgen von Anweisungen seitens der Aufsichtsbeh\u00f6rden f\u00fchren zu h\u00f6heren Strafen: bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes \u2013 in diesem Rahmen k\u00f6nnen sich die Aufsichtsbeh\u00f6rden bewegen. Dabei wird der Wert ber\u00fccksichtigt, der h\u00f6her ausf\u00e4llt.<\/p>\n Zus\u00e4tzlich zu den Bu\u00dfgeldern k\u00f6nnen Unternehmen von weiteren Sanktionen getroffen werden: Datenschutzvorf\u00e4lle ziehen in der Regel Imageverluste nach sich, au\u00dferdem k\u00f6nnten Betroffene Schadenersatzanspr\u00fcche stellen. Auch strafrechtliche Konsequenzen sind denkbar.<\/p>\n Nun gibt es hierzulande 18 Aufsichtsbeh\u00f6rden und wie eben dargelegt, k\u00f6nnen sich erhebliche Differenzen in der Berechnung der DSGVO-Bu\u00dfgelder ergeben. Um etwas einheitlicher agieren zu k\u00f6nnen, hat die Datenschutzkonferenz (DSK) ein Bu\u00dfgeldbemessungskonzept<\/a> (PDF) ver\u00f6ffentlicht. Dieses Konzept erlaubt es, sich zu informieren, welche Aspekte in die Bu\u00dfgeldkalkulation einflie\u00dfen:<\/p>\n Es gibt unz\u00e4hlige Gr\u00fcnde, die zu DSGVO-Bu\u00dfgeldern f\u00fchren k\u00f6nnen. Darunter befinden sich einige klassische Fallstricke \u2013 deshalb erhalten Sie im Folgenden einen \u00dcberblick \u00fcber die h\u00e4ufigsten Datenschutz-Verst\u00f6\u00dfe.<\/p>\n Dieser Fall geh\u00f6rt wirklich zu den Klassikern: Die Unternehmenswebsite setzt Cookies, in die Nutzende jedoch nicht eingewilligt haben. Tats\u00e4chlich m\u00fcssen Nutzende jedoch einwilligen, bevor Cookies gesetzt werden d\u00fcrfen. Eine Vorbelegung der technisch nicht notwendigen Cookies darf ebenfalls nicht erfolgen. Nutzende m\u00fcssen informiert und aktiv einwilligen. Mittlerweile existieren sinnvolle Einwilligungsl\u00f6sungen, jedoch ist das Thema noch nicht abschlie\u00dfend gekl\u00e4rt: Im TTDSG wird das Einwilligungsmanagement konkretisiert (wir berichteten<\/a>).<\/p>\n Ist die Datenschutzerkl\u00e4rung auf der Website fehlerhaft oder fehlt sie ganz, kann eine Information von Betroffenen nicht stattfinden. Die DSGVO verlangt jedoch genau diese Informationen. Fehler in der Datenschutzerkl\u00e4rung k\u00f6nnen dar\u00fcber hinaus ein Versto\u00df gegen das UWG (Gesetz gegen unlauteren Wettbewerb) bedeuten. Wie Sie Ihre Datenschutzerkl\u00e4rung rechtssicher formulieren, erkl\u00e4ren wir Ihnen in unserem Beitrag \u201eBetroffenenrechte & Datenschutzerkl\u00e4rung nach DSGVO\u201c<\/a>.<\/p>\n Art. 15 DSGVO<\/a> spendiert Betroffenen das Recht, \u00fcber die zu ihrer Person gespeicherten Daten Auskunft zu verlangen. Unternehmen m\u00fcssen diesem Auskunftsersuch binnen einen Monats nachkommen; Fristverl\u00e4ngerungen sind \u2013 begr\u00fcndet und unter bestimmten Umst\u00e4nden \u2013 m\u00f6glich. Kommt das Unternehmen dem Auskunftsersuch jedoch gar nicht nach, k\u00f6nnen Sanktionen folgen. Deshalb ist jedem Auskunftsersuch die notwendige Beachtung zu schenken. Weitere Informationen \u00fcber das Auskunftsrecht betroffener Personen finden Sie im oben verlinkten Artikel \u201eBetroffenenrechte & Datenschutzerkl\u00e4rung nach DSGVO\u201c sowie in unserem Beitrag \u201eAuskunftsrecht: Welche Rechte haben Betroffene?\u201c<\/a><\/p>\n Den Datenschutzbeauftragten (DSB) gab es zwar auch schon vor der DSGVO, jedoch wurde seine Stellung seit dem neuen Datenschutzrecht gest\u00e4rkt. Unternehmen, in denen mindestens 20 Personen st\u00e4ndig mit der Verarbeitung personenbezogener Daten befasst sind, sind in der Pflicht, einen DSB zu bestellen. Verpassen betroffene Unternehmen dies, kann das DSGVO-Bu\u00dfgelder nach sich ziehen.<\/p>\n Gehen wir noch einmal in die Praxis und sehen uns ein konkretes Beispiel und damit einen der h\u00e4ufigsten Gr\u00fcnde f\u00fcr DSGVO-Bu\u00dfgelder an: Kunde M\u00fcller des Beispiel-Unternehmens m\u00f6chte die ihm zustehende Auskunft gem\u00e4\u00df Art. 15 DSGVO und sendet ein entsprechendes Auskunftsersuchen an die allgemeine E-Mail-Adresse des Beispiel-Unternehmens. Diese allgemeine E-Mail-Adresse wird vom Sekretariat verwaltet \u2013 die Stelle ist ungeschult und wei\u00df daher nichts mit der Anfrage anzufangen. Im Stress des Alltags ger\u00e4t das Auskunftsersuchen in Vergessenheit \u2013 Kunde M\u00fcller hat nun sechs Wochen lang keine Auskunft erhalten. Frustriert wendet er sich an die zust\u00e4ndige Aufsichtsbeh\u00f6rde, die nun bereits DSGVO-Bu\u00dfgelder verh\u00e4ngen kann.<\/p>\n Die L\u00f6sung f\u00fcr diese Herausforderung ist recht simpel: Es ist am Verantwortlichen, also der Gesch\u00e4ftsf\u00fchrung oder dem Vorstand, die Rechte von Betroffenen sowie die Datenschutz-Vorschriften zu kennen und sich \u2013 falls erforderlich \u2013 qualifizierte Unterst\u00fctzung ins Boot zu holen. Es w\u00e4re angeraten, individuelle Anforderungen durch eine Ist-Analyse herauszuarbeiten. Erst dann zeigt sich, wo L\u00fccken bestehen und wie diese sich schlie\u00dfen lassen. Hat das Unternehmen einen DSB benannt, wird dieser helfen k\u00f6nnen. Auch externe Datenschutzbeauftragte sind in diesem Fall hilfreich: sie verf\u00fcgen \u00fcber das notwendige Know-how und bieten transparente Kostenstrukturen, sodass Unternehmen gut planen k\u00f6nnen.<\/p>\n Die DSGVO wurde geschaffen, um Datenkraken das Handwerk zu legen. Doch sie gilt auch f\u00fcr Kleinstunternehmen, kleine und mittelst\u00e4ndische Betriebe. Und gerade in dieser Unternehmensgr\u00f6\u00dfe k\u00f6nnen DSGVO-Bu\u00dfgelder schnell existenzbedrohend werden. W\u00e4hrend Amazon die 746 Millionen Euro DSGVO-Strafe mit verh\u00e4ltnism\u00e4\u00dfiger Leichtigkeit zahlt, w\u00e4re dieser Betrag \u2013 oder auch nur die H\u00e4lfte davon \u2013 f\u00fcr einen Mittelst\u00e4ndler bereits existenzvernichtend.<\/p>\n Die DSGVO-Bu\u00dfgelder sind jedoch nicht das einzige, was es zu bedenken gilt: Die Image-Verluste, die nach Datenskandalen unvermeidbar sind, sind nicht konkret zu beziffern. Etwaige Schadenersatzanspr\u00fcche k\u00f6nnen hinzukommen. Es ist daher essenziell, dass Sie die korrekte Umsetzung der DSGVO-Vorschriften beachten, um Risiken zu minimieren.<\/p>\n Wir, die PSW Consulting, verstehen uns als Ihr Datenschutz-Partner<\/a>: Gerne unterst\u00fctzen wir Sie mit Verstand und Hand dabei, den Datenschutz in Ihrer Organisation optimal umzusetzen. Optimal bedeutet: Individuell auf Ihren Bedarf zugeschnitten. Wir k\u00f6nnen Ihnen nicht nur einen externen Datenschutzbeauftragten stellen, sondern beraten auch umfassend zum Datenschutz. Dar\u00fcber hinaus bieten wir Awareness-Trainings zur Sensibilisierung Ihrer Mitarbeitenden<\/a>. Treten Sie einfach in Kontakt zu uns<\/a> \u2013 unsere zertifizierten Datenschutz-Experten sind gerne f\u00fcr Sie da!<\/p>\n","protected":false},"excerpt":{"rendered":" Die Datenschutz-Grundverordnung (DSGVO) hat das Handeln von Unternehmen europaweit nachhaltig ge\u00e4ndert: Datenschutz-Verst\u00f6\u00dfe werden sanktioniert \u2013 zum Teil werden horrende DSGVO-Bu\u00dfgelder verh\u00e4ngt. War es in den ersten Jahren der DSGVO eher ruhig, ging es ab 2020 mit den DSGVO-Bu\u00dfgeldern los. Aber \u2013 woraus ergeben sich Sanktionen eigentlich? Was wird beim Verh\u00e4ngen der DSGVO-Bu\u00dfgelder ber\u00fccksichtigt und warum … <\/p>\nWie hoch k\u00f6nnen DSGVO-Bu\u00dfgelder ausfallen?<\/h2>\n
\n
Konkret: Welche DSGVO-Bu\u00dfgelder f\u00fcr welche Verst\u00f6\u00dfe?<\/h3>\n
\n
Datenschutzverst\u00f6\u00dfe und L\u00f6sungen<\/h2>\n
Cookie-Einsatz ohne Einwilligung<\/h3>\n
Keine oder fehlerhafte Datenschutzerkl\u00e4rung<\/h3>\n
Missachtung des Auskunftsrechts von Betroffenen<\/h3>\n
Fehlende DSB-Bestellung<\/h3>\n
Praxisbeispiel DSGVO-Versto\u00df mit L\u00f6sungen<\/h3>\n
DSGVO-Bu\u00dfgelder k\u00f6nnen besonders f\u00fcr KMU bedrohlich sein<\/h2>\n