Lesezeit: 3 Min
Strafen bei Verstößen werden umgesetzt
Der Datenschutz spielt in vielen Organisationen wie Unternehmen, Schulen, Kitas, Vereinen, Praxen und Kanzleien in NRW noch immer gerne eine untergeordnete Rolle. Auf der einen Seite führt das zu einem nicht ausreichenden Schutz für den Betroffenen, dessen personenbezogenen Daten verarbeitet werden, auf der anderen Seite kann die Nichteinhaltung des Datenschutzes auch zu empfindlichen Strafen für den Verantwortlichen führen.
Wir haben in unserem Blog schon unterschiedliche Beispiele für Verstöße gegen den Datenschutz und damit zusammenhängende Bußgelder beschrieben:
- DS-GVO: BUSSGELD WEGEN VERALTETER SOFTWARE IM ONLINE-SHOP
- DATENSCHUTZ AKTUELL – UPDATE BUSSGELDER FÜR DEUTSCHE UNTERNEHMEN
- DATENSCHUTZ AKTUELL – KRANKENKASSE NUTZT GEWINNSPIELDATEN FÜR WERBEZWECKE UND ERHÄLT BUSSGELD
- DATENSCHUTZ AKTUELL – ERSTE MILLIONENSTRAFE FÜR DEUTSCHES UNTERNEHMEN
Alle Beispiele zeigen deutlich, dass bei Verstößen gegen den Datenschutz durchaus Bußgelder von den zuständigen Aufsichtsbehörden verhängt werden. Dabei kann es sich um Datenpannen handeln oder darum, dass der Datenschutz nicht entsprechend den gesetzlichen Vorgaben umgesetzt wird.
Wie hoch kann ein Bußgeld nach DS-GVO ausfallen?
In der Datenschutzgrundverordnung (DS-GVO) ist festgelegt, dass bei einem Datenschutzverstoß ein Bußgeld von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu vier Prozent des weltweiten Jahresumsatzes verhängt werden kann. Es kommt jener Wert zum Tragen, welcher höher ist.
Die Tatbestände im Datenschutz sind dabei sehr unterschiedlich und werden eingestuft nach Schweregrad. Dabei spielt bei der Bewertung durchaus auch eine Rolle, wie der Verantwortliche mit der Datenpanne umgeht oder umgegangen ist und zukünftig versucht diese zu verhindern. Darüber hinaus spielt bei der Beurteilung des Schweregrades das Risiko für den Betroffenen eine ausschlaggebende Rolle.
Die Durchsetzung des Bußgeldes, sowie die Bewertung wird durch die zuständige Aufsichtsbehörde sichergestellt. In NRW ist dies die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Nordrhein-Westfalen (LDI NRW).
Tatbestände im Datenschutz – was ist ein Verstoß gegen den Datenschutz
Grundsätzlich müssen alle gesetzlichen Vorgaben im Datenschutz eingehalten werden, um diesen umzusetzen. Wenn der Datenschutz nicht eingehalten wird, kann das unterschiedliche Folgen bis hin zum Bußgeld haben. Viele Verstöße sind meldepflichtig, darüber hinaus können mögliche Verstöße gegen den Datenschutz auch durch Betroffene gemeldet werden.
Es gibt unterschiedlichste Beispiele für einen Tatbestand im Datenschutz, die verschiedene Bußgelder mit sich bringen können – die Liste möglicher Verstöße ist lang – hier ein paar wenige Beispiele:
- Verstoß gegen die Grundsätze im Datenschutz (Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung, Rechenschaftspflicht usw.
- Unrechtmäßige Verarbeitung personenbezogener Daten
- Verstoß gegen die Beschränkung der Verarbeitung von personenbezogenen Daten der besonderen Kategorien
- Fehlende oder fehlerhafte Datenschutzerklärung
- Nicht Beachtung der Betroffenenrechte
- Verlust, unrechtmäßige Änderung oder Löschung von personenbezogenen Daten
- Herausgabe von Daten an einen unbefugten Dritten – zum Beispiel auch im persönlichen Kontakt mit Betroffenen
- Technische und organisatorische Maßnahmen (TOM) reichen nicht aus, um den Datenschutz sicher zu stellen
- Vorgaben zum Verzeichnis von Verarbeitungstätigkeiten (VVT) werden nicht eingehalten
Beschwerden im Datenschutz – Zahlen steigen
Die Umsetzung des Datenschutzes setzt auch den richtigen Umgang mit Betroffenen voraus. Das zeigt auch die steigende Anzahl von Beschwerden durch Betroffene. Seit Einführung der DS-GVO 2018 steigen die Beschwerden durch Betroffene bei den entsprechenden Aufsichtsbehörden kontinuierlich an.
Das zeigt auch, dass zur Umsetzung des Datenschutzes gehört, die Betroffenenrechte entsprechend umzusetzen und auch dem Betroffenen die ausreichenden Informationen zur Verarbeitung seiner personenbezogenen Daten zur Verfügung zu stellen.
BLOG-TIPP: AUSKUNFTSERSUCHEN – WIE KANN MAN DEN BETROFFENEN IDENTIFIZIEREN?
Mitarbeit im Datenschutz durch den Verantwortlichen
Egal ob eine Datenpanne vorliegt – die Daten nicht ausreichend geschützt, versehentlich geändert, gelöscht oder weitergegeben wurden-, Betroffenenrechte nicht ausreichend umgesetzt, technische und organisatorische Maßnahmen nicht ausreichend sicher für den Schutz von personenbezogenen Daten sind oder die grundsätzlichen Vorgaben im Datenschutz nicht ausreichend umgesetzt oder dokumentiert wurden: sollte eine Datenschutzverletzung vorliegen, ist immer die Mitarbeit des Verantwortlichen gefragt.
Der Verantwortliche muss sich in jedem Fall sowohl um die Aufklärung und wenn möglich die Behebung des Verstoßes kümmern, aber auch sicherstellen, dass alle notwendigen Schritte eingeleitet werden, um zukünftig die Vorgaben im Datenschutz zu sichern. Darüber hinaus ist es wichtig, dass die entsprechenden Aufsichtsbehörden bzw. wenn notwendig auch die Betroffenen informiert werden.
Umsetzung des Datenschutzes regelmäßig prüfen und verbessern
Um den Datenschutz in der Organisation entsprechend der Vorgaben ausreichend umzusetzen, sollte jeder Verantwortliche die umgesetzten Vorgaben regelmäßig einer Prüfung unterziehen und möglicherweise Anpassungen vornehmen.
Dabei sollten sich die Fragen gestellt werden, ob der Datenschutz mit allen Vorgaben ausreichend erfüllt ist, ob die personenbezogenen Daten bei der Verarbeitung ausreichend gesichert sind und ob alle, die mit personenbezogenen Daten arbeiten ausreichend für die Umsetzung sensibilisiert sind.
Ein (externer) Datenschutzbeauftragter kann als Fachmann, so er nicht durch die gesetzlichen Vorgaben sowieso schon verpflichtend eingesetzt werden muss, regelmäßig dabei helfen, den Status im Datenschutz zu bewerten und zu verbessern.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.