Die gesetzlichen Regelungen zum Datenschutz, vorgegeben durch die DSGVO, das BDSG und andere assoziierte Gesetze werden vielfach als nutzloses Bürokratiemonster geschmäht, das nur unproduktive Gemeinkosten zur Folge hat. Dabei werden aber zwei Dinge übersehen. Zum einen haben diese Regelungen Gesetzescharakter und sind wie z.B. die Straßenverkehrsordnung oder das BGB einzuhalten und zum anderen ist der Schutz der personenbezogenen Daten eine Investition in einen der wichtigsten Produktionsfaktoren, das Kundenvertrauen.
Kein Wunder also, dass der Gesetzgeber die Einhaltung dieser gesetzlichen Vorschriften auf mannigfache Weise pönalisiert hat.
Über schmerzhafte Bußgelder wird ja derzeit laufend in den Medien berichtet. Was jedoch nicht berichtet wird ist, dass die Geldstrafen zwar schmerzhaft sind, aber nur einen Bruchteil der Eingriffsmöglichkeiten darstellen, die bis zur faktischen Stilllegung des Datenverkehrs und damit der wirtschaftlichen Tätigkeit eines Unternehmens - also einer für den Datenschutz verantwortlichen Stelle – reichen können. Schauen wir uns das einmal etwas näher an:
Die Artikel 82 und 83 der DSGVO regeln die beiden Strafarten Bußgeld und Schadenersatz. Da personenbezogene Daten ein Eigentumswert sind, der durchaus wertvoll sein kann, ist es möglich, dass bei Missachtung der Vorschriften ein materieller oder immaterieller Schaden entstehen kann. In diesem Falle hat der Verantwortliche, also der Erheber und Verarbeiter der Daten für den entstandenen Schaden gegenüber dem Geschädigten zu haften (Art.82 DSGVO). In jedem Fall bedeutet das langwierige und kostenintensive Zivilgerichtsprozesse.
Der Art. 83 der DSGVO ermächtigt die Aufsichtsbehörden dazu, Datenschutzverstöße mit Geldbußen zu ahnden, die “in jedem Einzelfall wirksam, verhältnismäßig und abschreckend” sein sollen.
Nun sind finanzielle Einbußen zwar wie empfohlen schmerzhaft, aber aufgrund des Ansatzes der Verhältnismäßigkeit nicht unbedingt Existenz gefährdend.
Das heißt, der hiervon ausgehende Druck mag nicht immer ausreichend sein, da ja die Umsetzung der Gesetze auch Geld kostet. Daher hat der Gesetzgeber mit Art. 58 in der DSGVO weitere Möglichkeiten geschaffen, Verantwortliche Stellen mit Maßnahmen, die in ihrer Wirkung massive Imageschäden bis hin zur Einstellung des Geschäftsbetriebes alles bewirken können.
Diese im Art. 58 beschriebenen Maßnahmen, die den Aufsichtsbehörden zur Durchsetzung der Gesetze an die Hand gegeben sind, sind es wert, einmal genannt zu werden.
- Proaktive Verwarnung des Verantwortlichen und/oder Auftragsverarbeiters, bei voraussichtlichen Verstößen bei der Verarbeitung personenbezogener Daten.
- Ernsthafte ex-post Verwarnung bei bereits eingetretenen Verstößen
- Anweisung des Verantwortlichen/Auftragsverarbeiters, den betroffenen Personen auf Antrag bei der Ausübung der ihnen zustehenden Rechte unter behördlicher Aufsicht zu entsprechen
- Anweisung an den Verantwortlichen/Auftragsverarbeiter fehlerhafte Verarbeitungs-vorgänge in einem definierten Zeitrahmen auf bestimmte Art und Weise in Einklang mit der Verordnung zu bringen
- Information der betroffenen Person, dass an ihren Daten eine Schutzverletzung stattgefunden hat.
- Bei unrechtmäßiger Offenlegung personenbezogener Daten alle davon betroffenen Personen zu informieren, dass eine Schutzverletzung stattgefunden hat. Klassischer Fall hierzu ist der Emailversand an einen Verteiler mit “cc” statt “bcc”, also mit für alle sichtbarem Verteiler.
Bei Bekanntwerden derartiger Eingriffe, besteht die Gefahr eines nachhaltigen Imageschadens, der sich durchaus auch auf die geschäftliche Tätigkeit auswirken kann. Weiterhin ist zu beobachten, dass betroffenen Personen als Folge der entsprechenden Information versuchen, Schadenersatzansprüche gerichtlich anzumelden. Etwas was zumindest mit Ärger, Zeit- und Geldaufwand verbunden ist.
Viel gefährlicher müssen die nachstehenden, ebenfalls in Art. 58 benannten Maßnahmen eingestuft werden.
- Es kann mit entsprechender Begründung eine vorübergehende oder endgültige Beschränkung oder ein Verbot der entsprechenden Verarbeitungstätigkeit der personenbezogenen Daten ausgesprochen werden.
- Die Aussetzung der Übermittlung von Daten an Empfänger in einem Drittland oder an eine internationale Organisation. Damit würde die Auslagerung von Verarbeitungsprozessen an Auftragsverarbeiter z.B. in USA unmöglich werden.
- Und last, but not least, zusätzlich zu den vorgenannten Maßnahmen noch Bußgelder zu verhängen, die ja nach Art. 82 wirksam und schmerzhaft sein sollen.
Diese letzten Maßnahmen können unter Umständen zu einer Stilllegung der gesamten datentechnischen Prozesse führen, was faktisch einem Verbot der Weiterführung geschäftlicher Tätigkeiten gleichkommen kann.
Angesichts dieser Haftungs- und Schadenersatz Risiken erscheint es sinnvoll, die Kosten für die Umsetzung und Einhaltung der gesetzlichen Datenschutzvorschriften einmal gegenzurechnen und zu dem Schluss zu kommen, dass Datenschutz, wenn richtig und mit Augenmaß eingesetzt, kein sinnloses Bürokratiemonster ist, sondern eine sich auf unterschiedliche Weise amortisierende Investition.
Wer jetzt noch weitere Information über die Anlässe braucht, die zu europäischen Bußgeldern geführt haben, oder bei deren Berechnung rechnerische Unterstützung benötigt, kann sich über die folgenden Links informieren:
Über den Autor
Guido Feuerriegel
Consultant
Datenschutz
Sie brauchen Hilfe beim Schutz von personenbezogenen Daten?
