Lesezeit: 3 Min
Datenpannen und das Nicht-Einhalten der Vorgaben können teuer werden
Wer personenbezogene Daten verarbeitet, der muss sich an den Datenschutz halten. Dieser ist in der Datenschutzgrundverordnung (DS-GVO) und im Bundesdatenschutzgesetz (BDSG) festgelegt. Unternehmen und Organisationen müssen sich an die Vorgaben halten.
Wer den Datenschutz nicht ausreichend umsetzt oder eine Datenpanne riskiert, kann mit einem Bußgeld belegt werden. Welche Vorfälle im Datenschutz zu einem Bußgeld führen können, lesen Sie in unserem aktuellen Blogartikel.
Was sind personenbezogene Daten und warum müssen diese geschützt werden?
Personenbezogene Daten sind alle Daten, die Rückschlüsse auf eine natürliche Person – den sogenannten Betroffenen – zulassen. Das bedeutet personenbezogene Daten können in unterschiedlichen Situationen auch unterschiedliche Daten sein.
Typische Beispiele für personenbezogene Daten können sein:
- Namen
- Geburtsdatum
- Telefonnummer (auch geschäftliche)
- E-Mail-Adressen (auch geschäftliche)
- IP-Adressen
- uvm.
Darüber hinaus gibt es auch noch personenbezogene Daten besonderer Kategorien, diese sind besonders schützenswert. Dazu gehören zum Beispiel Gesundheitsdaten.
Um diese Daten und damit die Betroffenen zu schützen, müssen Unternehmen und Organisationen unterschiedliche Vorgaben im Datenschutz einhalten, wie das Führen eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) oder das Implementieren von technischen und organisatorischen Maßnahmen (TOM).
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?
Warum gibt es Bußgelder im Datenschutz und wie hoch können diese für Unternehmen und Organisationen sein?
Der Schutz personenbezogener Daten schützt den Betroffenen vor Schaden. Bußgelder im Datenschutz dienen in erster Linie als wirksames Instrument zur Durchsetzung der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG).
Sie sollen sicherstellen, dass Unternehmen und Organisationen die Rechte der betroffenen Personen schützen und personenbezogene Daten verantwortungsvoll verarbeiten. Die Bußgelder wirken präventiv und sollen Verstöße gegen die Datenschutzbestimmungen sanktionieren, um die Einhaltung der Vorschriften zu fördern.
BLOG-TIPP: DATENSCHUTZ IN UNTERNEHMEN UMSETZEN – DIE BEDEUTUNG DES DATENSCHUTZBEAUFTRAGTEN
Gründe für Bußgelder: Datenpannen und Nicht-Einhaltung der Vorgaben
Bußgelder können sowohl aufgrund meldepflichtiger Datenpannen als auch wegen der Nicht-Einhaltung der datenschutzrechtlichen Vorgaben verhängt werden. Die DS-GVO verpflichtet Unternehmen und Organisationen, bestimmte Datenschutzverletzungen unverzüglich – in der Regel innerhalb von 72 Stunden – der zuständigen Aufsichtsbehörde zu melden.
Kommt es zu einer meldepflichtigen Datenpanne, die beispielsweise den unbefugten Zugriff auf personenbezogene Daten oder deren Verlust umfasst, kann dies zu einem Bußgeld führen, wenn die Meldepflicht nicht eingehalten wird oder die Sicherheitsmaßnahmen unzureichend waren.
Darüber hinaus können Bußgelder auch verhängt werden, wenn Unternehmen grundlegende datenschutzrechtliche Anforderungen nicht erfüllen. Dazu zählen unter anderem:
- fehlende oder unzureichende Einwilligungen zur Datenverarbeitung
- unzureichende Transparenz gegenüber Betroffenen
- mangelhafte Umsetzung technischer und organisatorischer Maßnahmen (TOM)
- Nichtbeachtung der Betroffenenrechte, wie Auskunfts- oder Löschungsansprüche
- fehlende Datenschutz-Folgenabschätzungen bei risikoreichen Verarbeitungen
Höhe der Bußgelder
Die Höhe der Bußgelder richtet sich nach der Schwere des Verstoßes, der Art und Menge der betroffenen Daten sowie dem Grad des Verschuldens. Bußgelder im Datenschutz können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für schwerwiegende Verstöße betragen.
Diese Regelungen gelten für Unternehmen und Organisationen unabhängig von ihrer Größe. Besonders für kleine und mittelständische Unternehmen können Bußgelder in dieser Höhe existenzbedrohend sein.
Schadensersatzansprüche bei Datenpannen
Neben Bußgeldern können bei Datenschutzverletzungen auch Schadensersatzansprüche der betroffenen Personen entstehen. Die DS-GVO räumt Betroffenen das Recht ein, von dem Verantwortlichen Ersatz für materiellen oder immateriellen Schaden zu verlangen, der durch eine Datenschutzverletzung verursacht wurde.
Dies bedeutet, dass Unternehmen nicht nur mit behördlichen Sanktionen rechnen müssen, sondern auch zivilrechtlich haftbar gemacht werden können. Schadensersatzansprüche können sich beispielsweise aus Identitätsdiebstahl, finanziellen Verlusten oder psychischen Belastungen ergeben, die durch eine Datenpanne verursacht wurden.
Datenschutz ausreichend umsetzen, um Bußgelder zu vermeiden
Um den Datenschutz ausreichend umzusetzen, müssen Unternehmen und Organisationen alle Vorgaben im Datenschutz umsetzen und regelmäßig überprüfen. Eine professionelle Umsetzung umfasst unter anderem:
- Erstellung und Pflege eines Datenschutzkonzepts
- Implementierung technischer und organisatorischer Maßnahmen (TOM)
- Schulung der Mitarbeiter im Umgang mit personenbezogenen Daten
- regelmäßige Überprüfung und Anpassung der Datenschutzmaßnahmen
- Einrichtung von Prozessen zur schnellen Erkennung und Meldung von Datenschutzverletzungen
BLOG-TIPP: VERDACHT AUF UNZUREICHENDE SCHULUNGEN IM DATENSCHUTZ IN PFLEGEEINRICHTUNGEN
Bußgelder durch die Umsetzung vermeiden
Bußgelder im Datenschutz sind ein zentrales Mittel, um die Einhaltung der gesetzlichen Vorgaben sicherzustellen. Die möglichen finanziellen Sanktionen sind hoch und können Unternehmen erheblich belasten.
Darüber hinaus können bei Datenpannen auch Schadensersatzansprüche auf Unternehmen zukommen. Daher ist es für Unternehmen und Organisationen aller Branchen und Größen essenziell, den Datenschutz konsequent umzusetzen und kontinuierlich zu verbessern.
Wenn Sie Unterstützung bei der Umsetzung Ihrer Datenschutzpflichten benötigen oder Fragen zu möglichen Maßnahmen haben, stehen wir Ihnen gerne beratend zur Seite. Kontaktieren Sie uns für eine individuelle Beratung – wir helfen Ihnen gerne weiter.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot. Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.