13.01.2020

Verstöße gegen die DSGVO führen zu vermehrten Bußgeldern – wer, wie und was geprüft wird

Das alte Jahr hörte ja gut auf: die Behörden verhängen eifrig Bußgelder für Verstöße gegen die Datenschutz-Grundverordnung. Vorzugsweise im Fokus sind schon jetzt Großunternehmen, aber auch mittlere und Unternehmen mit Personal und Kundenverkehr sowie Online-Shops.

DSGVO Bußgeld

Datenschutzbeauftragte verschicken Bußgeldbescheide

Die Datenschutzbeauftragten der Länder können sich freuen. Sie bekamen im vergangenen Jahr viel Arbeit. Sie sind als Behörden für die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zuständig. Seit Anwendung der DSGVO Ende Mai 2018 gab es nur vereinzelte Fälle von Bußgeldern aufgrund von Verstößen gegen den Datenschutz. Im vergangenen Jahr nun kam es vermehrt und flächendeckend zu Kontrollen. Jetzt verschickten die Behörden deswegen bereits eifrig Bußgeldbescheide.

Kontrollen der Datenschützer: Kann es Ihr Unternehmen auch treffen?

Ja. Die Datenschutzbehörden können jedes Unternehmen kontrollieren. Zurückhaltend sind die Datenschützer derzeit noch bei kleineren Unternehmen. Was aber nicht bedeutet, dass sie dort nicht kontrollieren.

Zu trauriger Berühmtheit gelangte gegen Ende 2018 der Fall des Hamburger Versandunternehmens Kolibri Image, einem eher kleineren Unternehmen. Die Behörde verhängte gegen es ein Bußgeld in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren. Das Unternehmen konnte den Abschluss eines Auftragsverarbeitungsvertrags nicht nachweisen. Der Bußgeldbescheid wurde später wieder zurückgenommen. Darauf sollten Sie als Unternehmen jetzt aber nicht mehr bauen; dabei handelte es sich nur um Behördenkulanz kurz nach Einführung der Verordnung.

Was ist eine Auftragsverarbeitung?

Das ist der datenschutzrechtliche Begriff für das Outsourcing von Arbeitsprozessen in Verbindung mit personenbezogenen Datenverarbeitungen. Auftragsverarbeiter sind etwa Callcenter zur Kundenbetreuung, E-Mail-Provider, externe Lohnbuchhaltungsbüros oder externe Wartungsdienstleister und sonstige EDV‑, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Ihre Daten.

Auf was für Unternehmen richten die Datenschützer das Augenmerk?

Sie haben es vor allem abgesehen auf:

  • Arztpraxen infolge der zahlreichen Angriffe durch Trojaner, die die personenbezogenen Daten auf den dortigen Rechnern sperren und für die Freischaltung ein Lösegeld fordern
  • Großkonzerne, die aufgrund der Beweislastumkehr in der DSGVO deren Einhaltung nachweisen müssen, also insoweit einer Rechenschaftspflicht unterliegen
  • kleine und mittelständische Unternehmen (KMUs) hinsichtlich der technischen und organisatorischen Schutzmaßnahmen, wobei der Umfang der Kontrolle von Art und Größe des Unternehmens abhängen; verstärkt prüfen die Behörden Unternehmen, die durch gegen sie gerichtete Beschwerden aufgefallen sind
  • Onlineshops aufgrund der besonderen Gefährdungslage im Internet
  • Unternehmen:
    • die Bewerber einstellen,
    • mit Personalabteilung,
    • gegen die bei Datenschutzbehörden Beschwerden vorliegen.

Wie sehen die Kontrollen der Datenschützer aus?

Zunächst erhalten die Unternehmen per Post einen Fragebogen zur Einhaltung der Vorschriften der DSGVO. Diesen Bogen muss die Geschäftsführung des Unternehmens wahrheitsgemäß beantworten und an die Datenschutzbehörde zurücksenden. Diese überprüft die Antworten. Stellen sich dabei größere Unklarheiten heraus, prüft sie vor Ort bei dem Delinquenten.

Möglich sind aber auch sonstige stichprobenartige Vor-Ort-Kontrollen, um den Wahrheitsgehalt der Angaben auf den Fragebogen zu überprüfen. Die Kontrollen vor Ort kündigt die Behörde den Unternehmen vorher an. Die Geschäftsführung soll bei der Kontrolle zugegen sein.

Tipp der Redaktion

Als GmbH-Geschäftsführer sind Sie zahlreichen Risiken ausgesetzt, die nicht nur Ihre berufliche, sondern auch Ihre private Existenz bedrohen können. „GmbH-Brief AKTUELL“ hilft Ihnen mit praxisnahen Handlungsempfehlungen die GmbH zu schützen sowie steuerliche Gestaltungsspielräume rechtssicher auszuschöpfen. Haftungsrisiken vermeiden, rechtssicher handeln – volle Sicherheit und steuerliche Vorteile genießen!

Was betreffen die Fragen in dem Fragebogen im Wesentlichen?

Bei der Beantwortung des Fragebogens müssen Sie als Unternehmen die unternehmensinternen Prozesse kurz darstellen und Musterdokumente für die betreffenden Vorgänge beifügen. Auch sollten Sie auf die Qualifikation Ihres Datenschutzbeauftragten eingehen, wozu Ihnen Ihr Verfahrensverzeichnis hilft. Die Fragen im Einzelnen betreffen:

  1. Art und Weise Ihrer Vorbereitung als Geschäftsführung sowie Ihres Unternehmens auf die EU-DSGVO
  2. Wie ist in Ihrem Unternehmen die Verarbeitung personenbezogener Daten und deren Aufnahme in ein Verarbeitungstätigkeitsverzeichnis sichergestellt? Das Verfahrensverzeichnis ist in Art. 30 DSGVO geregelt und verpflichtet Sie als Unternehmen zum schriftlichen Führen eines solchen „Verzeichnisses von Verarbeitungstätigkeiten“. Es soll der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Unternehmens dienen. Es enthält Verfahrensbeschreibungen der einzelnen Verarbeitungsschritte von personenbezogenen Daten. Grundsätzlich müssen alle Unternehmen ein Verfahrensverzeichnis führen, Ausnahmen gelten nur selten.
  3. Rechtsgrundlage, auf der Sie und Ihr Unternehmen die personenbezogenen Daten verarbeiten
  4. Wie ist in Ihrem Unternehmen die Beachtung der Rechte der Betroffenen sichergestellt?
  5. Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen
  6. Art und Weise Ihrer Prüfung von Verarbeitungen mit hohem Risiko für Rechte und Freiheiten der Betroffenen, Durchführung einer Datenschutz-Folgenabschätzung sowie bereits identifizierte risikobehaftete Verarbeitungen
  7. Anpassung von Verträgen mit Auftragsverarbeitern an die DSGVO
  8. Vorhandensein eines Datenschutzbeauftragten
  9. Umgang mit Datenschutzvorfällen

Können Sie als Unternehmen sich Vor-Ort-Kontrollen der Datenschutzbehörden widersetzen?

Nein, Sie müssen sie akzeptieren. Art. 51, 58 DSGVO räumt den Datenschützern hierzu sämtliche Befugnisse ein.

Autor: Franz Höllriegel