Ein Jahr DGSVO: Updates und Neuigkeiten
Neuigkeiten und erste Bußgelder bei Verstößen gegen den Datenschutz
Am 27. Juni 2019 verfasste der Bundestag einen Beschluss zur Datenschutzanpassung und deren Umsetzung. Die Zustimmung des Bundesrats steht noch aus – doch das ist gewiss: sie wird kommen. Was beinhalten die Updates der DSGVO für das Jahr 2019? Was hat sich seither getan und welche Bußgelder wurden verhangen? Als Full-Servive-Webdesignagentur und Externer Datenschutzbeauftragter halten wir uns stets auf dem Laufenden. Die wichtigsten Updates zur EU-DSGVO fassen wir Ihnen in diesem Beitrag zusammen.
DSGVO Update 2019: Gute oder schlechte Neuigkeiten?
Lockerung bei der Benennung eines Datenschutzbeauftragten
Insgesamt wurden 154 Gesetze angepasst, um Lücken der Datenschutzvorgaben zu stopfen. Lockerer wurden dadurch die Gesetze nicht. Kleine und mittelständische Unternehmen, die sich hier Erleichterung erhofften, werden nach wie vor mit den strengen Bestimmungen und ihren Ressourcen zu kämpfen haben. Nur in einem Punkt wurde ein Entgegenkommen für kleinere Betriebe festgesetzt:
Künftig soll ein Datenschutzbeauftragter erst ab 20 Mitarbeitern gesetzlich erforderlich sein und nicht mehr wie bislang ab 10.
Dies ist jedoch leider kein Grund zur Freude. Denn umgesetzt werden muss die DSGVO so oder so, egal ob mit oder ohne externen Datenschutzbeauftragten. Deshalb führt diese Neuerung letztendlich zu keiner Erleichterung. Die Befürchtung ist dabei viel eher, dass kleine Betriebe und der Mittelstand weiterhin Gefahr laufen, die DSGVO Gesetze und deren Umsetzung immer weiter im Ablagestapel nach unten rutschen zu lassen. Denn Tatsache ist: Die Mehrheit der Unternehmer und Selbstständigen gibt zu, dass sie die Datenschutzverordnung überfordert.
Erste Bußgelder bei Verstößen gegen die neue Datenschutzverordnung
Die ersten Unternehmen mussten bereits blechen
Keine schönen Neuigkeiten, doch vereinzelte Unternehmen mussten bereits in die Tasche greifen. Die Strafen vielen unterschiedlich aus. Je nach Ausmaß und Kooperationsbereitschaft legt die Behörde Bußgelder in entsprechender Höhe fest. Der Bußgeldrahmen liegt, je nachdem was höher ist, bei 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes. Eine schöne Stange Geld, die je nach Unternehmensgröße richtig weh tun kann. Dass Konzerne wie beispielsweise wie Google Strafen wie diese weniger jucken, sind eher die Ausnahme. Unumstritten ist, dass es die Kleinen sind, die am meisten darunter leiden. Deswegen ist allen Betroffenen ans Herz gelegt: Nehmen Sie die DSGVO ernst!
So hoch fielen die ersten Strafen bei DSGVO Verstößen aus
Noch im ersten Jahr zeigten sich die Behörden sehr verständnisvoll. Bei Verstößen wurde verwarnt, und nachdem die Datenschutzlücke behoben wurde, war die Sache vom Tisch. Doch langsam ist die „Schonfrist“ abgelaufen und zahlreiche Bußgeldverfahren laufen. Die bis dahin rund 500 Tausend Euro einkassierten Bußgelder werden bis Ende des Jahres also noch um einiges steigen.
Beispiele für Verstöße und verhängte Bußgelder im ersten Jahr:
20.000 Euro kostete einem Unternehmen die unverschlüsselte Speicherung von 330.000 Datensätzen mit Passwörtern und E-Mail-Adressen. Grund dafür war ein Hackerangriff.
80.000 Euro waren der Datenschutzaufsicht an die Öffentlichkeit geratene, personenbezogene Gesundheitsdaten aufgrund einer internen Sicherheitslücke wert.
Die in beiden Fällen noch recht milde Strafe ist auf die sofortige Bekanntmachung sowie eine gute Zusammenarbeit mit der Aufsichtsbehörde zurückzuführen.
Doch nicht nur ungeschützte Daten waren Grund zur Buße. So musste ein Unternehmen 5000 Euro bezahlen, weil es keine Vertrags- und Auftragsverarbeitung vorlegen konnte.
Wichtig für Sie zu wissen: Selbst, wenn der Dienstleister keinen Vertrag über die Auftragsverarbeitung vorlegt, entbindet Sie dies nicht von Ihrer Pflicht!
Welche Kriterien bestimmen die Höhe der Bußgelder?
Während der Schonfrist genügte es zuweilen, sich einsichtig zu zeigen und die notwendigen Maßnahmen zu ergreifen. Auch war es von Vorteil zu zeigen, dass man sich mit dem Thema Datenschutz explizit befasst hat. Wer bis dato lieber den Kopf in den Sand gesteckt hat, hatte weniger gute Karten. In Zukunft gibt es dafür seitens der Behörden noch weniger Verständnis. Das bedeutet für Sie, falls Sie es immer noch nicht getan haben: Gehen Sie das Thema an – und zwar richtig!
Außerdem wird bei Datenpannen eine vorbildliche Zusammenarbeit mit der Behörde erwartet, um aufgetretene Sicherheitslücken zu schließen und auch künftig geschlossen zu halten.
Ein weiteres Kriterium ist die Schwere des Verstoßes. Hier können Sie sich an vier Maßstäben orientieren:
1. Grobe Fahrlässigkeit oder Vorsatz
Wer grob fahrlässig oder unter Vorsatz handelt, muss mit einer strengeren Bußgeldeinstufung rechnen, als wenn eine Datenschutzpanne trotz Vorkehrungen eingetreten ist und der Verstoß umgehend initiativ gemeldet wird.
2. Ausmaß und Größe der Datenmenge
Sollte Ihnen eine Adressliste mit 20 Adressen verloren gehen, können Sie davon ausgehen, dass Sie milder behandelt werden, als wenn es sich um mehrere tausend Datensätze dreht. Natürlich spielt die Datenqualität dabei ebenfalls eine Rolle.
3. Sensible Daten wiegen schwer
Einfache Adressdaten sind weniger sensibel als Daten, die beispielsweise über den Gesundheitszustand oder andere private Bereiche informieren. Auch Daten von Minderjährigen gehören zu den maximal sensiblen Daten, die es mit höchster Priorität zu schützen gilt.
4. Viele oder wiederholte Verstöße
Ganz á la „Wer nicht hört, muss fühlen“ sehen es auch die Behörden. Wer wiederholt gegen die Regelungen der DSGVO verstößt oder eine Vielzahl von Datenpannen zu verantworten hat, muss mit Höchstsätzen rechnen.
Externer Datenschutzbeauftragter: Sie brauchen Hilfe?
Hier gelangen Sie zu dem Beitrag in dem sich alles um Bußgelder vermeiden dreht. Sollten Sie weitere Fragen haben, bin ich gerne persönlich für Sie da. Wenn Sie mehr Informationen über unseren Leistungsbereich als Externer Datenschutzbeauftragter suchen, klicken Sie einfach hier.
