Bußgeldzahlungen bis zu 20 Millionen Euro drohen
Angesichts der bislang relativ geringen Bußgelder gehen viele Firmen mit dem Thema Datenschutz noch immer eher nachlässig um. Das will die EU nun ändern. Ab der Umsetzungspflicht der DSGVO am 25. Mai 2018 können die Bußgeldzahlungen bis zu 20 Millionen Euro betragen, oder vier Prozent des weltweiten Firmenumsatzes, wie it-business.de in einem aktuellen Beitrag dazu ausführte.
Melanie Braunschweig, Datenschutz-Expertin bei der TÜV Nord Akademie, sagte dazu:
„Unternehmen sollten die Risiken, die damit verbunden sind, berücksichtigen – und rechtzeitig Vorkehrungen treffen“
Rechtsanwalt und langjährige Datenschutzbeauftragte Frank Henkel merkte dazu an:
„Datenschutz im Unternehmen wird wichtiger, weil die Bedrohung aus Mängeln größer wird als bisher“
Bei Verstößen haften die Verantwortlichen nun unter Umständen auch persönlich – mit ihrem Privatvermögen. Zur Absicherung empfiehlt sich deshalb eine Vermögensschaden-Haftpflichtversicherung. Sie zahlt aber nicht, wenn es sich um grobe Fahrlässigkeit handelt. Dafür reicht es, wenn dem Verantwortlichen nachgewiesen werden kann, dass er auf Verstöße gegen das Datenschutzrecht hingewiesen wurde und trotzdem untätig geblieben ist.
Haftung auch für Datenschutzbeauftragte
Eine wichtige Stütze ist der Datenschutzbeauftragte. Gegenüber dem BDSG wird seine beratende und unterstützende Rolle durch das neue EU-Recht ausgeweitet: Er hat nun auch umfassende Überwachungspflichten. Bei Verstößen verhängen die Aufsichtsbehörden gegebenenfalls auch gegen ihn Bußgeldzahlungen.
Tim Wybitul, Datenschutzanwalt und Partner bei Hogan Lovells, sagte:
„Haftpflichtversicherungen für Datenschutzbeauftragte werden vor dem Hintergrund des erweiterten Haftungsmaßstabs und der höheren Haftungsrisiken deutlich teurer werden“
Für Geschäftsführer von kleineren Unternehmen bietet es sich möglicherweise an, einen externen Datenschutzbeauftragten zu engagieren. Aber Vorsicht: diese Berufsbezeichnung ist kein geschützter Begriff. Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein, weist daraufhin wo qualifizierte Datenschutz beauftragte zu finden sind, sie sagt dazu:
„Kontakt zu qualifizierten Datenschutzbeauftragten gibt es zum Beispiel über den Berufsverband der Datenschutzbeauftragten Deutschlands, BvD, oder über die Gesellschaft für Datenschutz und Datensicherheit, GDD“,
Zertifizierung von Datenschutz
Um mehr Rechtssicherheit zu bekommen, können Geschäftsführer und Vorstände die Datenschutzverarbeitung ihres Unternehmens auch zertifizieren lassen. Denn sie müssen nach neuem Recht nachweisen, dass sie die Verpflichtungen aus der Verordnung erfüllen. Das kann im Rahmen einer Zertifizierung geschehen. Diese Möglichkeit sieht das neue DSGVO ausdrücklich vor.
Viele Verantwortliche kennen Zertifizierungen bereits vom Risikomanagement, das sie nach dem internationalen Standard ISO 27001ff prüfen lassen. Ähnliches wird sich nach Ansicht von Rechtsanwalt Henkel auch für die DSGVO entwickeln. Bereits heute ist die Einhaltung der DSGVO und anderer rechtlicher Vorgaben Teil von Datenschutz-Zertifizierungen bei Tüvit, zum Beispiel Trusted Site Privacy oder Trusted Cloud Datenschutzprofil. Tüvit ist ebenfalls ein Unternehmen der TÜV Nord Group Auch die Aufsichtsbehörden auf Länderebene in Deutschland und EU-weit werden Zertifizierungen durchführen.
Weiterführende Links:
Studie: viele Unternehmen bei EU-Datenschutzverordnung zu spät dran
G DATA informiert über EU-Datenschutz-Grundverordnung
Kaspersky prognostiziert: Neues EU-Datenschutzrecht wird IT-Abteilungen in Unternehmen stärken
it-business.de: Geschäftsführer haften in Millionenhöhe bei Verstoß gegen Datenschutzrecht
