MENU

Haftung und Bußgelder nach der EU-DSGVO

  1. Bildung
  2. Wissen kompakt
  3. Datenschutz
  4. Haftung nach der EU-Datenschutz-Grundverordnung

Neue DSGVO: die Haftung des Datenschutzbeauftragten bei Verstößen

Der Datenschutzbeauftragte hat im Rahmen der EU-DSGVO umfassende Überwachungspflichten. Schon in seinem eigenen Interesse muss er jetzt darauf achten, dass er seine Aufgaben pflichtgemäß erfüllt. Denn bei Verstößen verhängen die Aufsichtsbehörden gegebenenfalls auch gegen ihn DSGVO-Bußgelder. Bezüglich der Haftung des Datenschutzbeauftragten kann man davon ausgehen, dass „Haftpflichtversicherungen für Datenschutzbeauftragte vor dem Hintergrund des erweiterten Haftungsmaßstabs und der höheren Haftungsrisiken zukünftig deutlich teurer werden“, meint Tim Wybitul, Datenschutzanwalt und Partner bei Hogan Lovells.

DSGVO-Haftung: Unternehmen müssen Vorkehrungen treffen

Wenn Geschäftsführer und Vorstände die neue Datenschutz-Grundverordnung (DSGVO) nicht in allen Punkten korrekt umsetzen, droht die Haftung des Datenschutzbeauftragten beziehungsweise Geschäftsführers. Das kann schnell teuer werden. Die EU-Verordnung stellt mehr als bisher das Recht jeder Person an ihren Daten in den Vordergrund. Die Unternehmen haben deshalb die Pflicht zur ordnungsgemäßen Verarbeitung der Daten. Und sie müssen die Risiken, die damit verbunden sind, berücksichtigen – und dafür Vorkehrungen treffen.

Datenschutzbeauftragter-Haftung: Wie kann man sich schützen?

Für Geschäftsführer von kleineren Unternehmen bietet es sich möglicherweise an, einen externen Datenschutzbeauftragten zu engagieren, um gegen die DSGVO-Haftung gewappnet zu sein. Bislang ist diese Berufsbezeichnung kein geschützter Begriff. „Kontakt zu qualifizierten Datenschutzbeauftragten kann man zum Beispiel über den Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) oder über die Gesellschaft für Datenschutz und Datensicherheit (GDD) erhalten“, rät Marit Hansen, die Landesbeauftragte für Datenschutz in Schleswig-Holstein. Auch die Ausbildungsnachweise und Schulungszertifikate auf den Webseiten von externen Datenschutzbeauftragten geben Hinweise auf ihre Expertise.

DSGVO und Bußgelder: die Änderungen

Weil der EU das Thema Datenschutz wichtiger ist als bisher, werden im Rahmen der Datenschutzbeauftragter-Haftung auch die Bußgelder bei Verletzungen der DSGVO wesentlich höher. Die Aufsichtsbehörden können momentan zwar schon Verstöße ahnden. Allerdings sieht das Bundesdatenschutzgesetz (BDSG) Bußgelder von maximal 300.000 Euro vor. In der Praxis wurden so hohe Strafen kaum verhängt. Die Zahlungen lagen – bis auf einige Ausnahmen wie zum Beispiel bei der Mitarbeiterüberwachung durch Lidl – bei einigen Hundert bis wenigen Tausend Euro.

Der erweiterte Datenschutz bringt eine Erhöhung der DSGVO-Bußgelder mit sich

Die relativ geringen Bußgelder führten bislang dazu, dass viele Firmen mit dem Thema eher nachlässig umgehen und die Haftung des Datenschutzbeauftragten für sie kaum eine Rolle spielt. Das will die EU nun ändern. Ab der Umsetzungspflicht der DSGVO am 25. Mai 2018 können die Bußgeldzahlungen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Firmenumsatzes betragen. Damit fallen die potenziellen Folgen der Datenschutzbeauftragter-Haftung bedeutend drastischer aus.

Dass einige Unternehmen das Datenschutzrecht bislang nicht streng einhalten, liegt aber nicht nur an den relativ geringen Bußgeldern. Sondern auch an der Personalknappheit bei den Aufsichtsbehörden. Auch das wird sich ändern. Die Bundesdatenschutzbeauftragte Andrea Voßloh hat für 2017 fast 50 neue Stellen erhalten. Damit hat sich die Zahl der Planstellen ihrer Behörde innerhalb von drei Jahren fast verdoppelt. Auch die Länderdatenschutzbehörden stocken ihr Personal auf – allerdings in weit geringerem Umfang.

Infografik DSGVO richtig planen

Grafik ansehen

DSGVO-Haftung: Zugriff auf das Privatvermögen bei Verstößen gegen die neuen Richtlinien

„Datenschutz im Unternehmen wird wichtiger, weil die Bedrohung aus Mängeln größer wird als bisher“, meint der Rechtsanwalt und langjährige Datenschutzbeauftragte Frank Henkel. Die juristische Verantwortung für die ordnungsgemäße Umsetzung der DSGVO trägt der Vorstand beziehungsweise der Geschäftsführer eines Unternehmens. Bei Verstößen können die Aufsichtsbehörden aber nicht nur hohe Bußgeldzahlungen verhängen. Unter Umständen hat die Haftung des Datenschutzbeauftragten für die Verantwortlichen auch persönliche Folgen: Das heißt, sie müssen mit ihrem Privatvermögen einstehen.

Aus einer mangelhaft umgesetzten DSGVO und der daraus resultierenden Datenschutzbeauftragter-Haftung können also hohe finanzielle Belastungen für den Geschäftsführer oder Vorstand und für das Unternehmen entstehen. Zur Absicherung gegen die Haftung bei Verstößen gegen den Datenschutz empfiehlt sich deshalb eine D&O-Versicherung. Aber auch sie leistet nur dann, wenn es sich nicht um grobe Fahrlässigkeit handelt. Grobe Fahrlässigkeit kann bereits dann eintreten, wenn dem Verantwortlichen nachgewiesen werden kann, dass er auf Verstöße gegen das Datenschutzrecht hingewiesen wurde und trotzdem untätig geblieben ist.

Verantwortliche in größeren Firmen werden die Einführung und das kontinuierliche Monitoring der DSGVO nicht selbst durchführen. Eine wichtige Stütze für die Unternehmensführung bei der Umsetzung der umfangreichen Regelungen ist und bleibt der Datenschutzbeauftragte. Gegenüber dem BDSG wird seine beratende und unterstützende Rolle durch das neue EU-Recht nun aber ausgeweitet.

Rechenschafts- und Nachweispflicht der neuen DSGVO: Zertifizierung wird wichtiger

Um mehr Rechtssicherheit bei Haftungsfragen rund um die DSGVO zu bekommen, können Geschäftsführer und Vorstände die Datenschutzverarbeitung ihres Unternehmens auch zertifizieren lassen. Denn nach der DSGVO haben sie nun eine Rechenschafts- und Nachweispflicht, dass sie die Verpflichtungen aus der Verordnung erfüllen. Das kann im Rahmen einer Zertifizierung geschehen. Diese Möglichkeit sieht die DSGVO ausdrücklich vor und unterscheidet sich damit von den bisherigen gesetzlichen Vorgaben.

Viele Verantwortliche kennen Zertifizierungen bereits vom Risikomanagement, das sie nach dem internationalen Standard ISO 27001ff prüfen lassen. Ähnliches wird sich nach Ansicht von Rechtsanwalt Henkel auch für die DSGVO entwickeln. Als Anbieter kommen große Steuer- und Wirtschaftsprüfungsgesellschaften wie KPMG oder PwC in Frage. Bereits heute ist die Einhaltung der DSGVO und anderer rechtlicher Vorgaben Teil von Datenschutz-Zertifizierungen bei TÜViT, zum Beispiel Trusted Site Privacy oder Trusted Cloud Datenschutzprofil. Auch die Aufsichtsbehörden auf Länderebene in Deutschland und EU-weit werden Zertifizierungen durchführen.

Passende Seminare zu diesem Thema

Haben Sie Fragen?

Melanie Braunschweig

Melanie Braunschweig

TÜV NORD Akademie GmbH & Co. KG
Produktmanagerin Datenschutz und Informationsmanagement
II. Hagen 7, 45127 Essen

+49 201 31955-42
Fax: +49 201 31955-70

mbraunschweig@tuev-nord.de

Diese Seite weiterempfehlen