Donnerstag, 6. Dezember 2018

Geldbußen nach der EU-DSGVO

Der Begriff „Geldbuße“ klingt so, als ginge es um ein paar Euro. Bei den Geldbußen nach der Datenschutz-Grundverordnung (EU-DSGVO) sieht das allerdings etwas anders aus. Und auch sonst weisen sie einige Besonderheiten auf, die man kennen sollte.


Geldbußen in maßloser Höhe?


„Irrsinn“ war ein Begriff, den man anfangs häufig hören konnte, wenn es um die mögliche Höhe von Geldbußen nach der EU-DSGVO ging. Und tatsächlich: Eine maximale Höhe von 20 Millionen Euro bzw. 4% des gesamten weltweit erzielten Konzern-Jahresumsatzes des vorangegangenen Geschäftsjahrs ist eine echte Ansage.

Bußgelder nach EU-DSGVO
Geldbußen nach EU-DSGVO

Doch wie so oft im Leben sollte man auch hier genauer hinsehen, um was es eigentlich geht...




Die EU-DSGVO gilt für Kleinstunternehmen genauso wie für Großkonzerne. Das muss sich in der möglichen Höhe von Geldbußen widerspiegeln. Deshalb ist es konsequent, wenn die EU-DSGVO in ihrem Art. 83 Abs. 6 von „bis zu“ 20 Millionen Euro Geldbuße spricht. Geringfügige, einmalige Verstöße in kleinen Unternehmen werden also nur überschaubare Beträge kosten. Auf Dauer angelegte, bewusste Verstöße in Großunternehmen können dagegen teuer werden. Diese Unterscheidung entspricht dem Prinzip der Verhältnismäßigkeit.

Geldbuße oder Bußgeld - Was denn nun? (auf schwäbisch: Hä?)


Unter dem Begriff "Geldbuße" versteht man im Verwaltungsrecht eine Geldzahlung, die bei geringfügiger Verletzung der Rechtsnormen wegen Ordnungswidrigkeit durch Behörden verhängt wird. Dieser Begriff ist dabei gleichbedeutend mit dem Begriff "Bußgeld". Weshalb die EU-DSGVO den Begriff "Geldbuße" nennt und §43 des neuen Bundesdatenschutzgesetzes (BDSG-neu) mit "Bußgeldvorschriften" überschrieben wird - man weiß es nicht...

Feststeht: Wir wollen beides nicht verhängt bekommen.

Wer ist „Verantwortlicher“?


Geldbußen sind nur gegen „Verantwortliche“ möglich. Der Begriff legt nahe, dass bei einem Verstoß in einem Unternehmen zunächst der intern Verantwortliche gesucht wird und dass ihn dann die Geldbuße trifft. Doch weit gefehlt: Die EU-DSGVO definiert den Begriff „Verantwortlicher“ in ihrem Art. 4 Nr. 7 ganz anders: „Verantwortlicher“ ist das Unternehmen selbst, nicht der Mitarbeiter! Geldbußen gegen einzelne Mitarbeiter sieht die EU-DSGVO nicht vor.

Kein Freibrief für pflichtvergessene Mitarbeiter!


Eine gute Nachricht für Mitarbeiter, die es mit dem Datenschutz nicht so genau nehmen? Nicht wirklich. Denn eine Geldbuße für ihre Pflichtverletzung wird dann logischerweise gegen das Unternehmen verhängt. Als Folge für die Mitarbeiter selbst stehen Abmahnungen oder sogar ernstere arbeitsrechtliche Schritte im Raum. Das wiegt mindestens genauso schwer wie eine direkte Geldbuße.

Der „Freischuss“ – ein rechtliches Märchen!


Immer wieder macht das Gerücht die Runde, dass die Datenschutz-Aufsichtsbehörden bei erstmaligen Verstößen sehr nachsichtig seien. Manche sprechen sogar von einem angeblichen „Freischuss“, der jedem Unternehmen zustehe.

Bei näherem Hinsehen stimmt an diesem Gerücht schlicht nichts. Natürlich kann es vor-kommen, dass ein leichter, lediglich fahrlässiger Verstoß gegen Vorschriften nur zu einer Ermahnung führt. Das kennt jeder schon von Verkehrsverstößen. Aber wenn der Verstoß gravierend ist, scheidet eine solche Nachsicht aus. Dann kann auch schon ein erstmaliger Verstoß eine Geldbuße in beträchtlicher Höhe nach sich ziehen.

Aufrüstung der Aufsichtsbehörden


Manche fragen sich, warum man von solchen Fällen fast nie hört. Der Grund ist einfach: Auch die Aufsichtsbehörden für den Datenschutz müssen sich erst auf die neuen Regelungen der EU-DSGVO einstellen. Zudem müssen sie neues Personal anlernen. Aber in einigen Monaten sieht das schon anders aus. Und dann besteht ein echtes Risiko von Geldbußen.

Ist Ihr Unternehmen bereit für die EU-DSGVO? Jetzt Fördermittel nutzen!


Die Umsetzung der EU-DSGVO hat viele Unternehmen vor große Herausforderungen gestellt. Nach einer Umfrage des Digitalverbands Bitkom haben drei von vier Unternehmen in Deutschland die Frist zum 25. Mai 2018 verfehlt. Auch jetzt noch sind bei Weitem nicht alle Unternehmen mit der Umsetzung fertig, wie der Digitalverband erklärt. Durch die vielfältigen formalen Vorgaben müssen bestehende Prozesse umgestellt und neue Prozesse eingeführt werden.

Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihres Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.

Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen

Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.

Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.

Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. Das dauert nur wenige Minuten.

Ich freue mich auf Ihre Anfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Fragen / Anregungen

Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:

Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)


Mit dem Absenden der Nachricht bestätigen Sie, die Datenschutzerklärung der yourIT zur Kenntnis genommen zu haben.