Neue EU-Datenschutz-Verordnung: Nichtbefolgung kann teuer werden und vor allem Top-Manager den Job kosten!

Mit der neuen EU-Datenschutz-Verordnung (DSGVO) kommen viele Neuregelungen auf uns zu, deren Nichteinhaltung für Verantwortliche im Bereich Datenschutz mitunter hohe Geldstrafen nach sich ziehen kann. Die bevorstehenden Sanktionen und Bußgelder sollen schließlich i.S.d. Art. 83, 84 DSGVO wirksam und abschreckend sein. Am 28. Mai 2018 tritt die DSGVO in Kraft. Was wir wissen müssen und bis dahin tun können?

Bußgelder in Millionenhöhe drohen. Bisher war ein Bußgeldrahmen von 300.000 € vorgesehen, nun können bereits bei leichten Verstößen gegen organisatorische Regelungen bis zu 10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres anfallen (gem. Art. 83 IV DSGVO). Diese sind:

  • Verstöße gegen die Pflichten der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter, Art. 8, 11, 25 – 39, 42, 43 DSGVO
  • Verstöße gegen die Pflichten der Zertifizierungsstelle, Art. 42, 43 DSGVO
  • Verstöße gegen die Pflichten der Überwachungsstelle, Art. 41 IV DSGVO

Bei schwerwiegenderen Verstößen, wie gegen die Grundsätze der DSGVO (Art. 5, 7, 9 DSGVO), die Regelungen zur Rechtmäßigkeit der Datenverarbeitung (Art. 6 DSGVO), die Rechte des Betroffenen (Art. 12-22 DSGVO) sowie bei Missachtung einer Anweisung einer Datenschutzaufsichtsbehörde (Art. 58 II DSGVO) kann das Bußgeld sogar bis zu 20 Mio. € oder 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen (gem. Art. 83 V, VI DSGVO) (Schantz NJW 2016, 1841, 1847). Die Strafe richtet sich dabei nach dem höheren Betrag und übersteigt diesen nicht gem. § 83 III DSGVO.

Verantwortliche Stelle

Verantwortliche Stelle (§ 3 VII BDSG) ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies im Auftrag durch andere vornehmen lässt. Auch nach der DSGVO (Art. 4 Nr. 7) ändert sich begrifflich wenig. Darunter fallen zunächst Unternehmen. Gem. §§ 91 II, 93 II AktG trifft den Vorstand die Pflicht, geeignete Maßnahmen, insbesondere Überwachungssysteme einzurichten (Risikomanagement), um frühzeitig Risiken zu erkennen (Münchner Kommentar zum Aktiengesetz/Spindler, § 91 Rn. 20). So hat auch der Geschäftsführer dem AktG entsprechend nach § 43 I GmbHG die „Sorgfalt eines ordentlichen Geschäftsmanns“ aufzubringen (Baumbach/Hueck/Zöllner/Noack, GmbHG § 43 Rn. 7). Vorstände, Geschäftsführer, Manager oder für den IT-Bereich Verantwortliche, also alle die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden, sind Verantwortliche.

Neue Aufgaben des Datenschutzbeauftragten

Neben dem bisherigen Recht auf die Einhaltung der Regelungen hinzuwirken, § 4g BDSG (Gola/Schomerus/Gola/Klug/Körffer, BDSG § 4g Rn. 2), muss der Datenschutzbeauftragte nun auch die Einhaltung der Datenschutzvorschriften überwachen, vgl. Art. 39 I b) DSGVO. Damit wird ihm mehr Verantwortung übertragen. In Zukunft müssen sie sich daher auf einen strengeren Haftungsmaßstab einstellen. Wie, bleibt allerdings noch abzuwarten (Bisher konnten Schadensersatzansprüche aus § 823 BGB geltend gemacht werde).

Persönliche Haftung

Alle Verantwortliche haben Kontrollpflichten. Wegen Nichteinhaltung der neuen Regeln können sie zudem persönlich zur Haftung (Art. 82 I DSGVO i.V.m. § 43 II GmbHG, §§ 93 II, 91 II AktG), wie bisher auch nach §§ 7 (1), 8 I BDSG, herangezogen werden und sowohl Schadenersatzansprüchen und Geldbußen ausgesetzt sein. Je nach Schwere des Schadens können sie sogar ihren Job riskieren. Gem. Art. 82 I DSGVO hat jede Person, die ein materieller oder immaterieller Schaden entstanden ist einen Direktanspruch gegen den Verantwortlichen, einschließlich den Geschäftsführer (siehe oben), oder den Auftragsverarbeiter. Die Beweislast trägt hier gem. Art. 82 III DSGVO der Verantwortliche. In diesem Sinne lohnt es sich Vorsorge zu betreiben und in eine gute Datenschutz-Organisation zu investieren.

Checkliste für Top-Manager:

Hier einige Arbeitsschritte, die Unternehmen bereits jetzt tun können:

  • Gefährdungsanalyse: Risiko-Analysen hinsichtlich Risiken für das eigene Geschäftsmodell, einschließlich und mit Hinblick auf die Umsätze und Bußgeld- und sonstigen Risiken, sollten erstellt werden.
  • Lücken-Analyse: Den Ist-Soll-Zustand des Unternehmens zur Verwirklichung des neuen Rechts vergleichen, um notwendige Schritte einzuleiten.
  • Ressourcenplanung: Die Fragen nach den notwendigen Mitteln, den vorhandenen Ressourcen und wo etwas fehlt, sollten beantwortet werden.
  • Budgetplanung: Angesichts der strengeren Unternehmenshaftung und die der Entscheidungsträger ist bei der Umstellung auf das neue Datenschutzrecht, insbesondere als Ansatz in den Budgetverhandlungen, mit höheren Kosten zu rechnen.
  • Projektplanung: Da gerade für große Unternehmen und Konzerne die Umstellung auf das neue Recht eine große Herausforderung darstellt und die betroffenen Unternehmensfunktionen länger als bei vielen anderen Projekten ist, sollte die Projektplanung entsprechend professionell und flexibel durchgeführt werden.
Fazit

Bis In-Kraft-Treten der neuen DSGVO gibt es viel zu tun. Nachlässigkeiten sollte man sich nicht mehr leisten. Top-Manager können bei Nichteinhaltung den Job verlieren und sogar persönlich haften. Der Datenschutz wird in Zukunft ein wichtiger und unverzichtbarer Teil eines Unternehmens sein.

Tags: , , , , , , , , , , ,

Comments are closed.