DSGVO für Manager: Wie vermeidet man hohe Datenschutz-Bußgelder?

Von Tim Wybitul

Datenschutz und Cyber-Risiken zählen zu den wichtigsten Themen für Unternehmen (WiWo). Das liegt nicht zuletzt an den hohen Bußgeldern und der drohenden persönlichen Haftung der Manager. Erst kürzlich verhängte die französische Datenschutzbehörde CNIL ( WiWo) gegen ein IT-Unternehmen ein hohes Bußgeld. Dieser Blog beschreibt das Vorgehen der Datenschutzbehörden bei der Ermittlung möglicher DSGVO-Verstöße. Und er zeigt, wie sich Manager effektiv gegen hohe Bußgelder verteidigen können.

Welche Risiken drohen nach Managern der DSGVO?

Vorstände und Geschäftsführer sorgen sich nach einer aktuellen Umfrage vor allem wegen der DSGVO und der möglichen Verletzung sonstiger Datenschutzregeln (WiWo). Auch deutsche Datenschutzbehörden haben bereits die ersten Bußgelder verhängt (FAZ). Und die Behörden kündigen öffentlich schon weitere, höhere Bußgelder an (Handelsblatt). Anders als nach dem bisherigen deutschen Datenschutzrecht sanktioniert die DSGVO weitgehend jeden Verstoß gegen das neue Datenschutzrecht mit – möglicherweise sehr hohen – Bußgeldern. Denn rein rechnerisch können Bußgelder wegen Datenschutzverstößen bei großen Konzernen Milliardenbeträge erreichen. Die Obergrenze für solche Bußgelder liegt bei 20 Millionen Euro oder bei vier Prozent des globalen Unternehmens- oder Konzernumsatzes – je nachdem, welcher Betrag höher ist.

Bisherige Umsetzungsmaßnahmen der DSGVO und mögliche künftige Bußgelder

Viele Manager haben bereits umfangreiche Maßnahmen zur Umsetzung der DSGVO veranlasst. Allerdings gehen nicht allzu viele Unternehmen und Konzerne davon aus, dass sie die DSGVO bereits umfassend umgesetzt haben. Denn die Anforderungen des neuen Datenschutzes sind inhaltlich komplex und oft vage formuliert. Und schon hier setzt eine erfolgreiche Bußgeldverteidigung an. Man sollte sich bei konkreten Maßnahmen, Strukturen und Prozessen nicht allein daran orientieren, welches Idealbild des Datenschutzes im Unternehmen sich die Datenschutzbehörden wünschen. Sondern daran, ob man konkrete Maßnahmen oder Entscheidungen zum Datenschutz später erfolgreich in einer Verhandlungssituation mit der zuständigen Datenschutzbehörde oder vor Gericht verteidigen kann. Stellen die Datenschutzbehörden später trotz der unternommenen Bemühungen Datenschutzverstöße fest, kann es ratsam sein, in Verhandlungen mit der Behörde eine Verwarnung oder gegebenenfalls ein sehr niedriges Bußgeld zu fordern. Sofern ein Unternehmen erkennbare Anstrengungen zur Umsetzung der DSGVO unternommen hat und daher über grundsätzlich gute Datenschutzstrukturen verfügt, kann es durchaus unverhältnismäßig – und damit unzulässig – sein, bereits beim ersten Verstoß ein Bußgeld zu verhängen.

Schwachstellen im Unternehmen identifizieren

So gut wie jedes Bußgeldverfahren der Datenschutzbehörden ist die Folge einer Beschwerde einer betroffenen Person. Vor diesem Hintergrund empfiehlt es sich für Unternehmen, gerade dort beim Datenschutz sehr genau zu arbeiten, wo Beschwerden von Kunden, Mitarbeitern, Geschäftspartnern oder sonstigen Personen drohen. Vertrieb und Marketing, aber auch Personal und Compliance sind Unternehmensbereiche, in denen Firmen oft viele und teilweise auch sensible Daten verarbeiten.

Gerade bei dem Umgang mit problematischen Datenverarbeitungen ist auch gute Vorbereitung entscheidend. Hier sollten Unternehmen genau prüfen, mit welchen Maßnahmen sie Bußgeldrisiken minimieren können. Sofern man Schwachstellen identifiziert, die man nicht ohne weiteres – oder nicht kurzfristig – abstellen kann, sollte man eine gute Strategie haben, mit der man sich bei möglichen Beschwerden von Betroffenen oder in Verhandlungen mit den Datenschutzbehörden effektiv verteidigen kann. Dabei sollte man stets darauf achten, dass sich das Unternehmen auch gegen spätere Vorwürfe wegen Aufsichtspflichtverletzungen – und die damit verbundene Haftung der Unternehmensleitung – gut vorbereitet. Vorstand oder Geschäftsführung müssen hierfür insbesondere die Delegation der Verantwortlichkeiten beim Datenschutz genau festgelegen und intern kommunizieren.

Wieviel Kooperation mit der Behörde darf es sein?

Eine der Grundfragen bei der Verteidigung gegen DSGVO-Bußgelder ist, in welchem Umfang das Unternehmen mit der Behörde kooperiert. Vereinfacht gesprochen, empfiehlt sich eine umfassende Kooperation mit der Datenschutzbehörde in der Regel gerade dann, wenn man vor allem über die Höhe eines möglichen Bußgeldes verhandelt. Geht hingegen das Unternehmen anders als die Datenschutzbehörde in einem konkreten Fall nicht davon aus, dass ein Bußgeld gerechtfertigt ist, wird man der Behörde tendenziell nur die nötigen Informationen zur Verfügung stellen und sich vor allem auf ein Bußgeldverfahren vor Gericht vorbereiten. In der Vergangenheit haben Gerichte von den Datenschutzbehörden verhängte Bußgelder nicht selten noch einmal deutlich reduziert oder Geldbußen sogar ganz abgelehnt.

Aussagepflicht und Selbstbelastungsverbot

Datenschutzbehörden können Unternehmen anweisen, ihnen alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Gerade vor dem Hintergrund drohender Bußgeldverfahren ist diese Informationspflicht ausgesprochen problematisch. Zwar haben Beteiligte ein Aussageverweigerungsrecht, wenn sie fürchten müssen, sich selbst zu belasten. Allerdings kann man sich die Reaktion der Datenschutzbehörde vorstellen, wenn ein Unternehmen selbst einräumt, es wolle keine Information zur Verfügung stellen, weil es sich damit selbst belasten könnte. Hier kann die Neigung der Behörde sehr groß sein, sich die angeforderten Informationen auf anderem Wege zu beschaffen, etwa durch Untersuchungen beim Unternehmen vor Ort.

Verteidigung gegen Bußgelder durch effektive Umsetzung der DSGVO

Die beste Verteidigung gegen DSGVO-Bußgelder liegt darin, die Anforderungen der DSGVO gleich mit einem Blick auf mögliche Bußgelder umzusetzen. Beispielsweise sollten Unternehmen sehr darauf achten, dass sie Datenschutzprozesse in einer Form dokumentieren, die sie später in Bußgeldverfahren und anderen Gerichtsverfahren optimal nutzen können. Das bedeutet auch, dass der mit einem Bußgeldverfahren später befasste Richter die Datenschutzstrukturen des Unternehmen verstehen können sollte. Gerade kaum nachvollziehbare „Excel-Tapeten“ mit komplexen Datenschutzprozessen oder für Laien nicht verständliche Verarbeitungsverzeichnisse werden die zuständige Richterin oder den Richter nicht unbedingt überzeugen. Neben belastbaren Strukturen und Prozessen zur Umsetzung der DSGVO sollten Unternehmen auch über ein effektives Datenschutz-Managementsystem verfügen, dessen Dokumentation ebenfalls auf die erfolgreiche Verteidigung in Gerichtsverfahren ausgerichtet ist.

Fazit

Die DSGVO ermöglicht gerade gegen große – und damit umsatzstarke – Unternehmen hohe Bußgelder. Die daraus resultierenden Risiken für die Wirtschaft und für Manager sind hoch. Durch gut eine strukturierte und risikoorientierte Vorbereitung kann man hohe Bußgelder aber vermeiden und drohende Haftung zumindest stark reduzieren.

Weitere Details zu möglichen Strategien und Hintergrundmaterialien zur Vermeidung von und zur Verteidigung gegen DSGVO-Bußgelder finden Sie hier.