Ein Jahr DSGVO – Drohen auch kleinen Mittelständlern Bußgelder?

Seit gut einem Jahr wenden wir nun alle die Bestimmungen der Datenschutzgrundverordnung (DSGVO) an. Viele kleine und mittelständische Unternehmen haben seither eine Menge zusätzlicher Arbeit gehabt, um den Bestimmungen und Vorschriften nachzukommen. Sie haben geprüft, ob und wo personenbezogen Daten im Unternehmen vorhanden sind, haben die Prozesse beschrieben, eine Risikoeinschätzung gemacht, Verarbeitungsverzeichnisse angelegt, Datenschutzhinweise auf der Internetseite aktualisiert, Antworten auf Auskunftsersuchen vorbereitet, Einverständniserklärung zur Datenspeicherung eingeholt und so weiter und so weiter.

Ob es uns gefiel oder nicht, wir haben die Bestimmungen umgesetzt. Sicher haben wir uns gelegentlich gefragt, ob die EU mit der EU-DSGVO nicht über das Ziel hinausgeschossen ist.

Und es gab und gibt immer noch einzelne Unternehmer, die die Umsetzung der DSGVO und den Datenschutz als weniger wichtig ansehen. Erst kürzlich sagte jemand hinsichtlich der Anwendung der DSGVO zu mir: Ich lebe in meiner selbst gewählten Gesetzlosigkeit. Bei Bußgeldern die Existenzbedrohend sein können, ist das eine interessante Aussage. Betrachten wir die vielen Meldungen von Datenmissbrauch, so stimmt mich eine solche Aussage bedenklich.

Erinnern wir uns noch an das Ziel der DSGVO?

Ziel der DSGVO ist der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere hier der Schutz personenbezogener Daten. In einer Zeit der Digitalisierung und Automatisierung in allen Lebensbereichen war es der EU wichtig, die Verarbeitung personenbezogener Daten zu Regeln. Nachdem schon die ersten großen Unternehmen mit ungewolltem Datenhandel und ungewollter Datenauswertung beträchtliche Schäden verursacht haben und dadurch gezielt ganze Personengruppen manipulierten, wurde der Ruf nach einer gesetzlichen Regelung hinsichtlich der Verarbeitung von personenbezogenen Daten lauter. Allein in den Jahren 2010 bis 2015 ist die Anzahl der jährlichen Cyberangriffe lt. de.statista.com von 9,4 Mio. auf 59,1 Mio. gestiegen. Die Anzahl der gestohlenen Daten geht in die Milliarden, hierbei werden unter anderem persönliche Kontodaten und Kreditkarteninformationen aber auch Zugangsdaten zu Onlineplattformen gestohlen. Selbst in der jüngeren Vergangenheit gibt es reichlich Fälle von Datenklau. Seien es die Bank und Kreditkarteninformationen von British Airways und Mariott Kunden, oder die vielen Datendiebstähle von Zugangsdaten zu Online Accounts bei Facebook, Google und Co. Die Angst davor, Opfer von Internetkriminalität zu werden steigt stetig.

Betrifft die Datenkriminalität nur große Unternehmen?

Bei all den obigen Beispielen kann man schnell der Meinung sein, dass alles betrifft mich nicht. Wir sind ein kleiner Mittelständler. Uns passiert das nicht. An uns hat doch kein Hacker Interesse. Ob das wirklich so ist? Der IT-Branchenverband Bitkom und das Bundesamt für Verfassungsschutz haben nach einer Untersuchung in 2018 festgestellt, dass insbesondere kleine und mittlere Unternehmen die Ziele beim Datenklau persönlicher Daten anderer Personen waren (Phishing Attacken). 68% aller befragten Unternehmen mit 20 bis 99 Mitarbeiter wurden in den letzten 2 Jahren Opfer von Datendiebstahl. Im Vergleich dazu waren Unternehmen mit 500 und mehr Mitarbeitern zu 50% Opfer von Datendiebstählen. Wir sehen also, dass keineswegs nur große Unternehmen angegriffen werden. Eher das Gegenteil ist der Fall.

Müssen denn auch kleinere Unternehmen mit Bußgeldern rechnen?

Auch hier wieder lesen wir in der Presse überwiegend von großen Konzernen gegen die Strafen in Millionenhöhe verhängt werden. Erst kürzlich wieder verhängte Frankreich gegen Google ein Bußgeld in Höhe von 50 Millionen € wegen Verletzung der DSGVO. Der Eindruck, dass nur die großen Konzerne im Visier der Datenschützer sind, entsteht auch hier. Eine Anfrage des Handelsblatts bei den Datenschutzbeauftragten der Länder hat ergeben, dass derzeit bundesweit bereits 41 Bußgeldbescheide verhängt wurden. Die meisten Bußgelder verhängte Nordrhein-Westfalen (33), gefolgt von Hamburg (3) und Baden-Württemberg und Berlin (jeweils 2) und dem Saarland (1). Davon ausgehend, dass Ermittlungsverfahren in aller Regel mehrere Monate andauern, zeigt dies bereits, dass die Behörden Verstöße gegen die Datenschutzgrundverordnung zunehmend ahnden werden. Schauen wir nur einmal nach Bayern. Hier wurden nach Auskunft des Bayerischen Landesamts für Datenschutzaufsicht über 2.500 Datenpannen gemeldet. Derzeit laufen bereits 85 Bußgeldverfahren wegen Verletzung der DSGVO geführt. Ein ähnliches Bild zeigen auch die anderen Bundesländer. Wir sehen also, dass es keineswegs nur die großen Konzerne betrifft.

Wie hoch sind die bisherigen Bußgelder bei Verletzung der DSGVO?

Laut den Bestimmungen der DSGVO können Bußgelder bis zu 4% des Jahresumsatzes fällig werden. Bei der Höhe des Bußgeldes spielt im Wesentlichen die Art, Schwere und Dauer der Verletzung, ob Vorsätzlich oder Fahrlässig gehandelt wurde, ob es Maßnahmen zum Schutz gab und wie kooperativ das Unternehmen während der Untersuchung war eine wichtige Rolle. Nach den Recherchen des Handelsblatts verhängte der Landesdatenschutzbeauftragte von Baden-Württemberg mit 80.000 € bislang die höchste Einzelstrafe. Im konkreten Fall landeten aufgrund unzureichender interner Kontrollmechanismen Gesundheitsdaten im Internet. Hamburg verhängte insgesamt Bußgelder in Höhe von 25.000 €, dabei in einem Fall 5.000 € für das Fehlen eines Auftragsverarbeitungsvertrages, Nordrhein-Westfalen verhängte Bußgelder in Höhe von knapp 15.000 €. Im Interview mit Spiegel Online sagte Herr Stefan Brink, Landesbeauftragter für den Datenschutz in Baden-Württemberg:

„Die Aufsichtsbehörden brauchten ein bisschen Vorlauf, weil solche (Anm. d. Verf.: Bußgeld-) Verfahren unter drei bis vier Monaten nicht abzuwickeln sind. Jetzt werden Bußgelder regelmäßig verhängt, in größerem Umfang und auch mit höheren Beträgen. Ein fünfstelliges Bußgeld wird keine Seltenheit mehr sein.“

Spätestens nach dieser Aussage sollte uns klar sein, dass bei der DSGVO kein Lärm um nichts gemacht wird, sondern die Behörden hier vermehrt ermitteln und Bußgelder verhängen werden.

Wie helfen wir unseren Kunden, sie vor der Datenschutzpanne zu schützen?

Bereits seit Mai 2018 bieten wir allen unseren Kunden kostenfrei die Möglichkeit, sämtliche personenbezogenen Daten und Nachrichten einfach und sicher innerhalb unserer geschlossenen Kommunikationsplattform zeit-lohn.net mit uns auszutauschen. Schon bald wird unser Nachrichtencenter auch mobil verfügbar sein, sodass unsere Kunden auch mal schnell vom Handy aus eine Nachricht an uns schicken können. Darüber hinaus haben wir an verschiedenen Stellen in zeit-lohn.net Hilfen und Vorlagen für unsere Kunden hinterlegt, um sie bei der Umsetzung der DSGVO im Rahmen des Personalmanagements zu unterstützen.

zeit-lohn.net – Schnell, Effizient, Rechtssicher. Unser Ziel ist es, Sie noch erfolgreicher zu machen.

Unser Motto ist „Innovation. Nutzbar. Machen.“, unser Anspruch „Wir leben Lohnbuchhaltung“.

Haben Sie Fragen oder wollen mehr über unsere Innovativen Lösungen wissen? Gerne helfen wir Ihnen weiter. 

Hinweis: Die vorgenannten Ausführungen stellen keine Rechtsberatung dar. Sie basieren auf meiner langjährigen Erfahrung und wurden sorgfältig recherchiert. Die von mir dargestellten Sachverhalte sind grundsätzlicher Natur. Ich empfehle Ihnen im Einzelfall eine individuelle Rechtsberatung. Gerne ist Ihnen hierbei die lohn-ag.de Rechtsanwaltsgesellschaft mbH behilflich.