Bussgelder und Datenschutzverstöße vermeiden

Bussegelder und Datenschutzverstöße vermeiden!

Guido Finkes KMU, WebDesign

Ist Ihre Website derzeit DSGVO-Konform?

Verstoßen Unternehmen gegen den Datenschutz, drohen nicht nur Bußgelder, sondern eventuell auch Schadensersatzansprüche.

Überall kann man lesen, dass den Websitebetreibern der Schutz der persönlichen Daten wichtig ist. Schaut man sich aber die Websites an und stellt dazu ein paar Fragen, wird einem schnell klar, dass in vielen Fällen ein hohes Abmahnpotenzial besteht.

Ausschlaggebend ist die Europäische Datenschutz-Grundverordnung DSGVO. Das Europäische Parlament hat diese am 14. April 2016 verabschiedet. In Kraft getreten ist sie am 25. Mai 2018. Sie bildet den datenschutzrechtlichen Rahmen innerhalb der Europäischen Union. Auch wenn die zunächst groß geschürte Angst vor der DSGVO sich bisher nicht bewahrheitet hat, sollten Sie das Thema nicht auf die leichte Schulter nehmen. Ein ahndungswürdiger Sachverhalt kann durch einen reklamierenden Kunden, einen Wettbewerber, einen genervten E-Mail-Empfänger oder sogar einem unzufriedenen Mitarbeiter erfolgen.

Datenschutz ist eine Pflicht und keine Kür!

Wird der Schutz Ihrer Daten tatsächlich so ernst genommen wie viele Webseiten es suggerieren? Schnell wird mal was von anderen Webseiten kopiert oder Generatoren eingebunden und das Thema abgehakt. Was man da schnell aus dem Auge verliert, ist, dass Sie und jeder Ihrer Mitarbeiter mit einem möglichen Datenschutzverstoß oder einer Datenpanne konfrontiert werden können. Dann muss man in der Lage sein, diese zu erkennen, und die richtigen Maßnahmen ergreifen. Nicht zu vergessen die gesetzliche Meldepflicht. Liegt ein Datenschutzverstoß vor, muss dieser binnen 72 Stunden ab Bekanntwerden der zuständigen Behörde gemeldet werden. Verstöße gegen die Datenschutzrechte sind schwerwiegend.

Privatperson: 2.500 Euro BußgeldDas Bußgeld wurde gegen eine Privatperson verhängt, die mehrere E-Mails versandt hat, in denen persönliche, für alle Empfänger sichtbare E-Mail-Adressen gelesen werden konnten. Ein teurer Flüchtigkeitsfehler.

Jeder hat das Recht, von seinen Rechten Gebrauch zu machen. Der Grundstein für ein datenschutzrechtlich einwandfreies Arbeiten ist nicht irgendeine Datenschutzerklärung, sondern die Erstellung der Pflichtdokumente und Mitarbeiter-Coachings zu Datenschutz und Datensicherheit. Die Verarbeitung personenbezogener Daten ist generell verboten, so lange sie nicht durch ein Gesetz ausdrücklich erlaubt ist oder der Betroffene in die Verarbeitung eingewilligt hat. Eine kleine Auswahl an geahndeten Datenschutzverstößen finden Sie hier.

 

Es geht um mehr als das Lästige an- und wegklicken von ständig auftauchenden Hinweisen. Datenrechtsverstöße sind schnell passiert und plötzlich ist man im Fokus von Abmahnanwälten und Datenschutzbehörden. Ich kann nur empfehlen, sich umfänglich abzusichern, um im Schadenfall auf der sicheren Seite zu stehen.

Wichtige Stichworte die Sie beachten sollten:

  • Rechtmäßigkeit der Verarbeitung, ausreichende Rechtsgrundlage, Betroffeneninformationen, Prinzip der Zweckbindung, Datenminimierung, Speicherbegrenzung, Datensicherheit etc.
  • Sammeln Sie personenbezogene Daten nach dem Motto: Haben statt brauchen, kann das enorm teuer werden.

Risiko DSGVO Abmahnung vermeiden

Risiko von DSGVO-Bußgeldern vermeiden!

Immer noch glauben viele Betriebe, dass die DSGVO nur bei größeren Firmen zutrifft. Wenn Sie in der EU niedergelassen sind oder Daten von EU-Bürgern verarbeiten, egal zu welchem Zweck, gilt sie. Die DSGVO betrifft Einzelunternehmen, Soloselbstständige, Handwerksbetriebe, mittlere Unternehmen oder Konzerne. Sobald in irgendeiner Form Kundendaten wie z. B. Namen, Telefonnummern, Adressen oder Zahlungsinformationen erfasst und gespeichert werden, ist sie mit im Spiel.

Seit dem 25.05.2018 sollte Ihre Website bereits datenschutzkonform sein. Auf Aufforderung müssen Sie die Einhaltung aller Datenschutzprinzipien nachweisen können. Vor allem müssen Sie auf Nachfrage belegen können, dass betroffene Personen in die Verarbeitung ihrer personenbezogenen Daten eingewilligt haben. Immer häufiger wird durchgegriffen und die Verstöße bleiben nicht ohne kostspielige Folgen. Ein wesentliches Merkmal der DSGVO ist der signifikant erhöhte Bußgeld- und Strafrahmen bei Datenschutzverstößen.

Kriterien für die Bußgeldhöhe bei DSGVO-Verstößen.

Ausgangspunkt für die Festsetzung der Bußgeldhöhe ist die wirtschaftliche Kraft des Unternehmens und die Schwere des DSGVO-Verstoßes. Die Höhe bleibt dabei den Datenschutzbehörden überlassen und wird derzeit in fünf Schritten ermittelt.

  • Im ersten Schritt erfolgt die Zuordnung in eine Größenklasse (A bis D). Unterschieden wird zwischen Kleinstunternehmen, kleinen und mittleren Unternehmen sowie Großunternehmen. Diese Klassen sind dann noch jeweils in sieben Untergruppen gegliedert. Die Einordnung erfolgt anhand des Jahresumsatzes. Interessant ist, dass Kleinstunternehmen für einen Umsatz von bis maximal 2 Millionen Euro stehen. In der kleinsten Untergruppe gilt ein Jahresumsatz von bis zu 700.000 Euro.
  • Im nächsten Schritt wird der mittlere Jahresumsatz für die Untergruppe ermittelt. Das bedeutet für ein Kleinstunternehmen, dass er bei 350.000 Euro liegt.
  • Auf der Grundlage wird der wirtschaftliche Grundwert berechnet. Das entspricht dann einer Art Tagessatz. Konkret wird der mittlere Jahresumsatz durch 260 geteilt. Für ein Kleinstunternehmen liegt der Tagessatz daher bei mindestens 972 Euro.
  • Ist der Tagessatz ermittelt, kommt der Schweregrad des Datenschutzverstoßes hinzu. Eine Einordnung des Schweregrads der Tat erfolgt in leicht, mittel, schwer oder sehr schwer. Unterschieden wird in Faktoren für formelle (1 bis 6) und materielle (1 bis 12) Verstöße. Den Kriterienkatalog finden Sie in Artikel 83, Absatz 2 der DSGVO. Aus Art, Schwere und Dauer des Verstoßes ergibt sich ein Multiplikationsfaktor. Dieser wird mit dem ermittelten Tagessatz multipliziert. Ein mittlerer Verstoß (Faktor 6) bedeutet für ein Kleinstunternehmen eine Bußgeldhöhe von 5.832 Euro.
  • Das errechnete Bußgeld kann von der Datenschutzbehörde dann in einem letzten Schritt noch nach oben oder unten angepasst werden. Das erfolgt, um z. B. eine drohende Zahlungsunfähigkeit des Unternehmens zu vermeiden.

Da bei der Bemessungsgrundlage also eine Vielzahl von Faktoren eine Rolle spielen, kann es keine allgemeingültigen Beispiele geben. Ein leichter Verstoß wie eine fehlerhafte Datenschutzerklärung kann bei einem Kleinstunternehmen zwischen 972 und fast 4.000 Euro betragen.

Bis der Europäische Datenschutzausschuss endgültige Leitlinien erstellt hat, bietet das vorliegende Konzept aber die Grundlage für die Bußgeldzumessung in der Sanktionspraxis der deutschen Aufsichtsbehörden.

Abmahnungen wegen fehlender oder falscher Cookie-Hinweise.

Nach aktueller Rechtsprechung des EuGH (1. Oktober 2019: C-673/17) dürfen Cookies nach europäischem Recht nur gesetzt werden, wenn der Besucher der Website ausdrücklich darin einwilligt. Vor diesem Hintergrund darf die Weiternutzung der Webseiten nicht von der Erteilung der Einwilligung abhängig gemacht werden.

Schnell haben sich Hinweise zu Cookies im Internet verbreitet. Grundlage in Deutschland ist nicht die Europäische Cookie-Richtlinine sondern die DSGVO. Diese verlangt, dass in der Datenschutzerklärung die Rechtsgrundlagen für das Verwenden von Cookies genannt werden. Als Webseitenbetreiber sollten Sie erst die Einwilligung für Cookies einholen. Vor der Zustimmung des Nutzers dürfen noch keine Daten übertragen werden. Erst wenn er zugestimmt hat dürfen Cookies gesetzt werden. Der Nutzer muss also belehrt werden und einwilligen. Kritisch sind vor allem Cookies, die für die Funktionen der Webseite nicht zwingend notwendig sind und dann noch Daten mit anderen Diensten oder Daten teilen.

Richtig zur Mode sind entsprechende Cookie-Banner geworden. Hier ist Vorsicht geboten. Deckt so ein Banner die Pflichtangaben ab (Impressum, Datenschutz,Online-Streitschlichtungs-Plattform bei Shops) können teure Abmahnungen drohen.

Datenschutz ist eine Pflicht und keine Kür

HWas sollten Sie rund um die DSGVO wissen?

Nach dem Grundsatz der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO ist der Verantwortliche verpflichtet, die Grundsätze nicht nur einzuhalten, sondern die Einhaltung auch nachzuweisen. Konkretisiert wird die Rechenschaftspflicht durch Art. 24 und 25 DSGVO. Demnach hat der Verantwortliche durch geeignete technische und organisatorische Maßnahmen sicherzustellen und nachzuweisen, dass die Verarbeitung gemäß der DSGVO erfolgt. Art. 25 DSGVO fordert dazu Maßnahmen der Technikgestaltung und datenschutzfreundliche Voreinstellungen.

Der Datenschutzverantwortliche hat eine Dokumentation zu erstellen, mit der er nachweist, dass er rechtmäßig handelt. Im Einzelnen:

  • Art. 5 Abs. 1 a (Rechtmäßigkeit der Datenverarbeitung)
  • Art. 6 bis 10 (Rechtsgrundlagen)
  • Art. 5 Abs. 1 a (Verarbeitung nach Treu und Glauben und Transparenz)
  • Art. 12 bis 15 (Information und Auskunft)
  • Art. 5 Abs. 1 b (Zweckbindung)
  • Art. 6 Abs. 4 (Weiterverarbeitung)
  • Art. 5 Abs. 1 c (Datenminimierung)
  • Art. 5 Abs. 1 d (Richtigkeit)
  • Art. 16, 18 (Berichtigung und Einschränkung der Verarbeitung)
  • Art. 5 Abs. 1 e (Speicherbegrenzung)
  • Art. 17 (Löschung)
  • Art. 5 Abs. 1 f (Integrität und Vertraulichkeit)
  • Art. 32 (Sicherheit der Verarbeitung)

Spezielle Vorgaben über die Art und Weise der Dokumentation gibt es nicht. Um ein aussagekräftiges Datenschutzkonzept vorlegen zu können, empfiehlt sich ein Konzept, dass folgende Inhalte berücksichtigt:

  • Wie erfolgt die Verarbeitung der personenbezogenen Daten im Geschäftsprozess.
  • Wie lautet die Begründung der Rechtmäßigkeit auf der Grundlage der konkreten Rechtsgrundlage.
  • In welcher Form erfolgt die Beachtung der Grundsätze der Zweckbindung und Datenminimierung.
  • Wie erfolgt die Umsetzung der Anforderungen, die sich aus dem Grundsatz der Speicherbegrenzung und den Betroffenenrechten ergeben.
  • Wie erfolgt die Gewährleistung der Sicherheit der Verarbeitung im Hinblick auf die Grundsätze der Vertraulichkeit, Integrität und Verfügbarkeit.

Weitere Pflichten im Zusammenhang mit der DSGVO!

Pflicht ist ein Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten. Es sollte sämtliche automatisierte sowie nichtautomatisierte Verarbeitungen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, umfassen. Das Verzeichnis der Verarbeitungstätigkeiten enthält eine schriftliche Dokumentation der wesentlichen Informationen einer Datenverarbeitung. Es dokumentiert, wie z. B. Kundendaten im Betrieb verarbeiten werden. Das erfolgt NICHT für jeden einzelnen Kunden, sondern einmalig allgemein für alle Kundendaten. Diese Pflicht gilt übrigens von 0 bis x Mitarbeiter!

" Die DSGVO verpflichtet, durch geeignete technische und organisatorische Maßnahmen sicherzustellen, dass im Regelfall nur solche personenbezogenen Daten verarbeitet werden, die für den jeweils bestimmten Verarbeitungszweck notwendig sind."Art. 25 DSGVO

Sie müssen jederzeit Auskunft über Datenerhebung geben können. Alle notwendigen Informationen müssen z. B. auf der Website oder als Infoblatt bereitgehalten werden. Auch Ihre Mitarbeiter müssen Sie über die Weitergabe Ihrer Daten zum Beispiel an Kunden oder das Finanzamt aufklären. Am einfachsten lassen Sie sich dies schriftlich bestätigen und legen es dann in der Personalakte ab.

Datenschutzverletzungen bzw. Datenpannen müssen sie binnen 72 Stunden dem zuständigen Landesamt für Datenschutz melden! Wurde der Schutz personenbezogener Daten verletzt und sind bestimmte Voraussetzungen erfüllt, muss eine Meldung des Verantwortlichen an die zuständige Datenschutzbehörde erfolgen. Je nach Verletzung muss ggf. zusätzlich eine Benachrichtigung an die von der Verletzung betroffene Person erfolgen. Sie sollten Ihre Mitarbeiter, die mit personenbezogenen Daten umgehen, eine Datenschutz-Verpflichtung unterschreiben lassen.

Einen Datenschutzbeauftragten (DSB) benötigen Sie erst ab einer Betriebsgröße von mindestens 20 Personen, die ständig Umgang mit personenbezogenen Daten haben. Dazu zählen nicht der Monteur, der auf die Baustelle fährt, oder eine Friseurin, die einen Termin am Telefon entgegennimmt.

Ist Ihr Datenschutz sicher umgesetzt?

Der Gesetzgeber hat strenge Vorgaben geschaffen, die an Ihrem Unternehmen nicht spurlos vorbeigehen dürfen. Abwarten ist riskant. Denken Sie nur an den Imageschade, wenn sich Datenschutzverstöße rumsprechen.

Beratung und Schulung zum Datenschutz gehören in professionelle Hände. Deshalb führe ich diese nicht durch. Ich arbeite aber eng mit Professionellen Datenschutzdienstleistern zusammen und vermittele Sie gerne unverbindlich weiter. Ich selbst kann Ihnen aber meinen Gratis-Website-Check empfehlen. Dieser überprüft, ob ein einfach und klar erkennbares Abmahnpotenzial sowie weitere Sicherheitsrisiken bei Ihrer aktuellen Website vorliegen .

Gratis-Website-Check?Ich möchte mich unverbindlich beraten lassen »
Datenschutzexperten sind fassungslos. Es ist ein dickes gelbes Buch voller Namen, Adressen und Telefonnummern aufgetaucht. Sind dramatische Bußgelder zu erwarten? Zeiten ändern sich!

Wie bewerten Sie den Artikel?


Seien Sie der erste der eine Bewertung schreibt.