Sie sind hier: Home » Markt » Hinweise & Tipps

Haftungsverschärfung für natürliche Personen


Datenschutzrechtsänderung und Compliance: Geschäftsführern und Mitarbeitern drohen Bußgelder in zweistelliger Millionenhöhe
EU-Datenschutz-Grundverordnung erhöht Bußgelder drastisch - Deutsches Umsetzungsgesetz weitet diese auf natürliche Personen aus - Bei Verstößen: bis zu 20 Millionen Euro Bußgeld für Geschäftsführer, Mitarbeiter sowie interne Datenschutzbeauftragte und sogar Freiheitsstrafen



Die Deutsche Bundesregierung arbeitet mit Hochdruck daran, das nationale Datenschutzrecht neu zu strukturieren und an die EU-Datenschutz-Grundverordnung (EU-DSGVO) anzupassen. Was sich dabei abzeichnet, ist, dass durch die Neuregelung Bußgeldhöhen für Unternehmen stark angehoben werden. Bislang galt laut Bundesdatenschutzgesetz (BDSG) eine Haftungshöchstgrenze von maximal 300.000 Euro. Jetzt bietet unter anderem Art. 83 Abs. 5 der DSGVO den Aufsichtsbehörden die Möglichkeit, Bußgelder bis zu 20 Millionen Euro beziehungsweise bei Konzernen bis zu vier Prozent des weltweiten Umsatzes des Vorjahres zu verhängen. Diese hohen Bußgelder sollen abschrecken und laut DSGVO vor allem für Unternehmen anfallen, Mitgliedsstaaten könnten "andere Sanktionen" bei Verstößen festlegen.

Nach dem nunmehr eingebrachten Entwurf zum Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG) sieht es so aus, als würde der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch machen. So sehen die §§ 41-43 DSAnpUG Sanktionsmöglichkeiten bei Datenschutzverletzungen auch gegenüber natürlichen Personen vor. "Somit steigt das Haftungsrisiko für Datenschutzverletzungen mit der DSGVO nicht nur für Unternehmen, sondern auch für Geschäftsführer, Mitarbeiter und interne Datenschutzbeauftragte. Sie müssen bei Verstößen gegen die Datenschutzvorschriften oder ihre Aufsichtspflichten mit weitaus höheren Strafen rechnen als bisher", erklärt RAin Dr. Katharina Küchler, Legal Department, eco – Verband der Internetwirtschaft e. V. und ergänzt. "Und nicht nur das: Bei Verstößen im Umgang mit personenbezogenen Daten drohen ihnen laut § 42 DSAnpUG über die Geldbußen hinaus strafrechtliche Sanktionen wie eine Freiheitsstrafe von bis zu drei Jahren."

Was sollten Unternehmen jetzt tun?
Um sich vor den harten Strafen zu schützen, sollten Unternehmen spätestens jetzt eine Compliance-Struktur aufbauen, also konkrete Grundsätze und Maßnahmen zur Einhaltung der Datenschutzregeln festlegen. Dabei sollten sie beispielsweise genau prüfen, welche Daten es in ihrem Unternehmen gibt, ob diese rechtssicher verarbeitet und gesetzeskonform mit Subunternehmen oder Filialen in anderen Ländern geteilt werden. Wichtig sind hierbei regelmäßige Audits, um zu prüfen, inwieweit das Unternehmen den gesetzlichen, datenschutzrechtlichen Anforderungen entspricht. Entscheidend ist auch, Management und Mitarbeiter in Bezug auf Datenschutz und -sicherheit zu schulen und sie für den Umgang mit personenbezogenen Daten zu sensibilisieren. Zudem können technische Lösungen unterstützen, etwa die Implementierung eines Datenmanagementsystems, um Daten sicher zu erfassen, zu speichern, zu verarbeiten und zu analysieren.

Externer Datenschutzbeauftragter verlagert Haftungsrisiko
Verarbeitet ein Unternehmen besonders sensible Daten, erhebt/übermittelt es personenbezogene Daten geschäftsmäßig oder beschäftigt es mindestens zehn Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten – dann muss es einen Datenschutzbeauftragten bestellen. Dieser hilft dem Unternehmen, datenschutzkonform zu agieren. Gerade für kleine und mittelständische Unternehmen ist es oftmals schwierig, eigene Mitarbeiter mit dieser Aufgabe zu betrauen. Interne Datenschutzbeauftragte müssen ihre Arbeit zwischen ihrem eigentlichen Beruf und der neuen Herausforderung aufteilen, aufwändige Schulungs- und Weiterbildungsmaßnahmen absolvieren und vor allem besteht das Risiko der hohen Bußgelder.

"Die Bestellung eines externen Datenschutzbeauftragten kann eine gute Alternative sein, da diese Herausforderungen dadurch obsolet sind und vor allem das Haftungsrisiko nach außen getragen wird", sagt RAin Dr. Katharina Küchler. Der größte europäische Verband der Internetwirtschaft eco stellt seinen Mitgliedsunternehmen auf Wunsch diesen externen betrieblichen Datenschutzbeauftragten. Er berät unter anderem fachkundig bei der Erfüllung der datenschutzrechtlichen Anforderungen, schult die Mitarbeiter und führt auch Datenschutzaudits durch. Damit erfüllen Unternehmen ihre gesetzlichen Verpflichtungen.

Datenschutzänderungen sind zeitnah erforderlich
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist schon seit vergangenem Jahr in Kraft und am 25. Mai 2018 endet die Umsetzungsfrist. Die EU-DSGVO gilt dann in allen EU-Mitgliedstaaten und Bundesdatenschutzgesetz, Landesdatenschutzgesetze sowie die EU-Datenschutzrichtlinie 95/46 sind nicht mehr anwendbar beziehungsweise aufgehoben. Nachdem die ersten Referentenentwürfe aufgrund der sehr scharfen Kritiken zurückgezogen wurden, hat das Bundeskabinett am 1. Februar 2017 den Entwurf zum Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Bei der 1. Lesung im Bundestag kam es am 9. März 2017 zu heftigen Debatten. Und am Tag darauf forderte der Bundesrat bei seiner 1. Beratung zu dem Thema umfassende Änderungen, beispielsweise im Hinblick auf Auskunfts- und Löschrechte. Angestrebt wird aber, bereits im Mai 2017 das deutsche Umsetzungsgesetz zur DSGVO im Bundesgesetzblatt zu veröffentlichen, um allen Beteiligten genug Zeit zu geben, sich auf die neue Rechtslage vorzubereiten. (eco: ra)

eingetragen: 19.05.17
Home & Newsletterlauf: 29.05.17

eco: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Stresstest der Europäischen Zentralbank

    Am 2. Januar 2024 hat der Stresstest der Europäischen Zentralbank für große Institute im Euroraum begonnen. Insgesamt sind mehr als 100 Banken betroffen, ein tiefer gehender Test steht im Nachgang für über 20 dieser Banken an. Mit der "Trockenübung" eines Cyberangriffs möchte die EZB Melde- und Wiederherstellungsprozesse der Banken prüfen. Welche größeren Schwachstellen wird die EZB dabei identifizieren?

  • Compliance, Regulierung und betriebliche Risiken

    Betriebsleiter jonglieren täglich mit unterschiedlichen Risiken. Es ist ihre Aufgabe, bestehende Risiken zu bewerten und abzuschwächen sowie Strategien zur Vermeidung künftiger Risiken zu entwickeln. Dabei steht viel auf dem Spiel: Risikofolgen reichen von Produktivitätsverlusten - während die Mitarbeiter mit der Behebung von Fehlern beschäftigt sind - bis hin zu Geldverschwendung, wenn Fristen und Fortschritte nicht eingehalten werden.

  • An der Quelle der Informationen beginnen

    Im Kontext steigender Cyberbedrohungen gewinnt die strikte Einhaltung bzw. Umsetzung entsprechender Compliance-Vorschriften stetig an Bedeutung. Als Bereitsteller kritischer Infrastruktur gilt insbesondere für Finanzunternehmen, IT-Ausfälle und sicherheitsrelevante Vorfälle zu verhindern, um für die Aufrechterhaltung des Betriebs zu sorgen.

  • DORA-Compliance komplex

    Bereits im Januar 2023 ist der Digital Operational Resilience Act (DORA), eine Verordnung der europäischen Union, in Kraft getreten. Umzusetzen ist das EU-Gesetz bis zum 17.01.2025. Obwohl es sich vorrangig an den Finanzsektor richtet, können auch andere Unternehmen, wie beispielsweise IT-Dienstleister davon betroffen sein.

  • Umsetzung der ESG-Verordnung

    Im Sommer 2021 wurde von der EU das "Europäische Klimagesetz" verabschiedet. Es soll helfen, den Klimaschutz spürbar voranzutreiben. Eine der beschlossenen Maßnahmen ist das sogenannte ESG-Reporting, das viele Unternehmen erst einmal vor Herausforderungen stellt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen