DSGVO für Manager: Wie vermeidet man hohe Datenschutz-Bußgelder?
Von Tim Wybitul
Datenschutz und Cyber-Risiken zählen zu den wichtigsten Themen für Unternehmen (WiWo). Das liegt nicht zuletzt an den hohen Bußgeldern und der drohenden persönlichen Haftung der Manager. Erst kürzlich verhängte die französische Datenschutzbehörde CNIL ( WiWo) gegen ein IT-Unternehmen ein hohes Bußgeld. Dieser Blog beschreibt das Vorgehen der Datenschutzbehörden bei der Ermittlung möglicher DSGVO-Verstöße. Und er zeigt, wie sich Manager effektiv gegen hohe Bußgelder verteidigen können.
Welche Risiken drohen nach Managern der DSGVO?
Vorstände und Geschäftsführer sorgen sich nach einer aktuellen Umfrage vor allem wegen der DSGVO und der möglichen Verletzung sonstiger Datenschutzregeln (WiWo). Auch deutsche Datenschutzbehörden haben bereits die ersten Bußgelder verhängt (FAZ). Und die Behörden kündigen öffentlich schon weitere, höhere Bußgelder an (Handelsblatt). Anders als nach dem bisherigen deutschen Datenschutzrecht sanktioniert die DSGVO weitgehend jeden Verstoß gegen das neue Datenschutzrecht mit – möglicherweise sehr hohen – Bußgeldern. Denn rein rechnerisch können Bußgelder wegen Datenschutzverstößen bei großen Konzernen Milliardenbeträge erreichen. Die Obergrenze für solche Bußgelder liegt bei 20 Millionen Euro oder bei vier Prozent des globalen Unternehmens- oder Konzernumsatzes – je nachdem, welcher Betrag höher ist.
Bisherige Umsetzungsmaßnahmen der DSGVO und mögliche künftige Bußgelder
Viele Manager haben bereits umfangreiche Maßnahmen zur Umsetzung der DSGVO veranlasst. Allerdings gehen nicht allzu viele Unternehmen und Konzerne davon aus, dass sie die DSGVO bereits umfassend umgesetzt haben. Denn die Anforderungen des neuen Datenschutzes sind inhaltlich komplex und oft vage formuliert. Und schon hier setzt eine erfolgreiche Bußgeldverteidigung an. Man sollte sich bei konkreten Maßnahmen, Strukturen und Prozessen nicht allein daran orientieren, welches Idealbild des Datenschutzes im Unternehmen sich die Datenschutzbehörden wünschen. Sondern daran, ob man konkrete Maßnahmen oder Entscheidungen zum Datenschutz später erfolgreich in einer Verhandlungssituation mit der zuständigen Datenschutzbehörde oder vor Gericht verteidigen kann. Stellen die Datenschutzbehörden später trotz der unternommenen Bemühungen Datenschutzverstöße fest, kann es ratsam sein, in Verhandlungen mit der Behörde eine Verwarnung oder gegebenenfalls ein sehr niedriges Bußgeld zu fordern. Sofern ein Unternehmen erkennbare Anstrengungen zur Umsetzung der DSGVO unternommen hat und daher über grundsätzlich gute Datenschutzstrukturen verfügt, kann es durchaus unverhältnismäßig – und damit unzulässig – sein, bereits beim ersten Verstoß ein Bußgeld zu verhängen.
Schwachstellen im Unternehmen identifizieren
So gut wie jedes Bußgeldverfahren der Datenschutzbehörden ist die Folge einer Beschwerde einer betroffenen Person. Vor diesem Hintergrund empfiehlt es sich für Unternehmen, gerade dort beim Datenschutz sehr genau zu arbeiten, wo Beschwerden von Kunden, Mitarbeitern, Geschäftspartnern oder sonstigen Personen drohen. Vertrieb und Marketing, aber auch Personal und Compliance sind Unternehmensbereiche, in denen Firmen oft viele und teilweise auch sensible Daten verarbeiten.
Gerade bei dem Umgang mit problematischen Datenverarbeitungen ist auch gute Vorbereitung entscheidend. Hier sollten Unternehmen genau prüfen, mit welchen Maßnahmen sie Bußgeldrisiken minimieren können. Sofern man Schwachstellen identifiziert, die man nicht ohne weiteres – oder nicht kurzfristig – abstellen kann, sollte man eine gute Strategie haben, mit der man sich bei möglichen Beschwerden von Betroffenen oder in Verhandlungen mit den Datenschutzbehörden effektiv verteidigen kann. Dabei sollte man stets darauf achten, dass sich das Unternehmen auch gegen spätere Vorwürfe wegen Aufsichtspflichtverletzungen – und die damit verbundene Haftung der Unternehmensleitung – gut vorbereitet. Vorstand oder Geschäftsführung müssen hierfür insbesondere die Delegation der Verantwortlichkeiten beim Datenschutz genau festgelegen und intern kommunizieren.
Wieviel Kooperation mit der Behörde darf es sein?
Eine der Grundfragen bei der Verteidigung gegen DSGVO-Bußgelder ist, in welchem Umfang das Unternehmen mit der Behörde kooperiert. Vereinfacht gesprochen, empfiehlt sich eine umfassende Kooperation mit der Datenschutzbehörde in der Regel gerade dann, wenn man vor allem über die Höhe eines möglichen Bußgeldes verhandelt. Geht hingegen das Unternehmen anders als die Datenschutzbehörde in einem konkreten Fall nicht davon aus, dass ein Bußgeld gerechtfertigt ist, wird man der Behörde tendenziell nur die nötigen Informationen zur Verfügung stellen und sich vor allem auf ein Bußgeldverfahren vor Gericht vorbereiten. In der Vergangenheit haben Gerichte von den Datenschutzbehörden verhängte Bußgelder nicht selten noch einmal deutlich reduziert oder Geldbußen sogar ganz abgelehnt.
Aussagepflicht und Selbstbelastungsverbot
Datenschutzbehörden können Unternehmen anweisen, ihnen alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Gerade vor dem Hintergrund drohender Bußgeldverfahren ist diese Informationspflicht ausgesprochen problematisch. Zwar haben Beteiligte ein Aussageverweigerungsrecht, wenn sie fürchten müssen, sich selbst zu belasten. Allerdings kann man sich die Reaktion der Datenschutzbehörde vorstellen, wenn ein Unternehmen selbst einräumt, es wolle keine Information zur Verfügung stellen, weil es sich damit selbst belasten könnte. Hier kann die Neigung der Behörde sehr groß sein, sich die angeforderten Informationen auf anderem Wege zu beschaffen, etwa durch Untersuchungen beim Unternehmen vor Ort.
Verteidigung gegen Bußgelder durch effektive Umsetzung der DSGVO
Die beste Verteidigung gegen DSGVO-Bußgelder liegt darin, die Anforderungen der DSGVO gleich mit einem Blick auf mögliche Bußgelder umzusetzen. Beispielsweise sollten Unternehmen sehr darauf achten, dass sie Datenschutzprozesse in einer Form dokumentieren, die sie später in Bußgeldverfahren und anderen Gerichtsverfahren optimal nutzen können. Das bedeutet auch, dass der mit einem Bußgeldverfahren später befasste Richter die Datenschutzstrukturen des Unternehmen verstehen können sollte. Gerade kaum nachvollziehbare „Excel-Tapeten“ mit komplexen Datenschutzprozessen oder für Laien nicht verständliche Verarbeitungsverzeichnisse werden die zuständige Richterin oder den Richter nicht unbedingt überzeugen. Neben belastbaren Strukturen und Prozessen zur Umsetzung der DSGVO sollten Unternehmen auch über ein effektives Datenschutz-Managementsystem verfügen, dessen Dokumentation ebenfalls auf die erfolgreiche Verteidigung in Gerichtsverfahren ausgerichtet ist.
Fazit
Die DSGVO ermöglicht gerade gegen große – und damit umsatzstarke – Unternehmen hohe Bußgelder. Die daraus resultierenden Risiken für die Wirtschaft und für Manager sind hoch. Durch gut eine strukturierte und risikoorientierte Vorbereitung kann man hohe Bußgelder aber vermeiden und drohende Haftung zumindest stark reduzieren.
Weitere Details zu möglichen Strategien und Hintergrundmaterialien zur Vermeidung von und zur Verteidigung gegen DSGVO-Bußgelder finden Sie hier.
Bei der Veräußerung des gesamten Gesellschaftsvermögens einer GmbH, z.B. einer Immobilie, bleibt ein Gesellschafterbeschluss nach einer neuen BGH-Entscheidung erforderlich; der BGH lässt allerdings offen, ob dieser notariell zu beurkunden ist.
Der Bundesrat hat heute das neue Terminservice- und Versorgungsgesetz (TSVG) von Gesundheitsminister Jens Spahn verabschiedet, das nun voraussichtlich am 1. Mai in Kraft treten wird. Für Investoren bringt es endlich einen verlässlichen rechtlichen Rahmen für ein Engagement im deutschen Gesundheitssektor, nachdem es zuvor hitzige Diskussionen und Forderungen nach deutlichen Beschränkungen von Finanzinvestitionen gegeben hatte. Insgesamt ist das Gesetz wesentlich weniger restriktiv ausgefallen, als zunächst erwartet. 
The Higher Regional Court of Cologne (HRC Cologne) has ruled that a property seller is liable for the difference between the rent shown in the rent roll attached to a property purchase agreement and the actual rent — irrespective of the general exclusion of warranty claims in a purchase agreement. As a consequence, a seller may have to compensate a purchaser for all future losses resulting from such lower actual rent for up to 30 years. The decision highlights the high commercial relevance of rent rolls and the legal risks resulting from rent rolls in the context of real estate transactions.
On 25 February 2019, the European Banking Authority (EBA) published a 
Antitrust authorities are paying closer attention to “common ownership”, the simultaneous ownership of non-controlling stakes in competing companies, with the EU’s Competition Commissioner, Margrethe Vestager, publicly stating that the European Commission is looking “carefully” into the issue. While public companies were the initial focus, we expect that private companies will face a similar level of scrutiny. As co-investment deals and non-controlling acquisitions become more common, deal teams should not assume that acquiring a minority position will mean that antitrust issues cannot arise.
