Aktuell sehen viele, gerade auch Startups, wenn diese “Datenschutz” hören, nur den Umstand “Oh, ich muss noch auf den Generator für Datenschutzerklärungen surfen”. Dabei ist dieses Thema ein fast vernachlässigbares Problem und im Alltag von Profi-Datenschutzjuristen sicher gähnend langweilig.
Viel relevanter ist die Frage, wie man im eigenen Unternehmen Datenschutz umsetzen kann bzw. muss. Dies beginnt bei Arbeitsverträgen, geht über Aufgabenverteilungen, Zugangsrechten und Verantwortungen von Mitarbeitern und endet natürlich beim Thema IT-Sicherheit.
Und das Risiko hierbei Fehler zu machen, ist inzwischen enorm. Die meisten Datenschutzbehörden scheinen nämlich langsam “warmzulaufen”. So hat z.B. alleine der Berliner Beauftragte für Datenschutz und Informationsfreiheit seit der neuen Rechtslage 27 Bußgelder nach der DSGVO sowie zwei Bußgelder nach dem neuen Berliner
Datenschutzgesetz erlassen. Gerade erst hat es “Lieferheld” mit fast 200.000 Euro Bußgeld getroffen, weil diese vor allem Betroffenenrechte nicht ordnungsgemäß beachteten und Werbung trotz Widerspruch in mehreren Fällen per E-Mail versendeten.
In zahlreichen EU-Ländern wurden bereits noch deutlich höhere Bußgelder verhängt, z.B. heute ca. 660.000 Euro in Polen.
Zudem hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des
Bundes und der Länder gegenwärtig ein Konzept zur Zumessung von Geldbußen bei Verstößen erarbeitet, wenn auch noch nicht verabschiedet. Dieser soll bei konkreten Bußgeldverfahren begleitend herangezogen werden, um ihn auf seine Praxistauglichkeit und Zielgenauigkeit zu testen. Die konkreten Entscheidungen in laufenden Bußgeldverfahren werden aber auf der Grundlage des Art. 83 DSGVO getroffen. Der Entwurf soll mit Konzepten zur Bußgeldzuweisung von anderen EU-Mitgliedsstaaten harmonisiert werden.
Das wirtschaftliche Risiko einer Datenschutzverletzung ist überschaubar, wenn man die Datenschutzerklärung auf der Webseite vergisst oder falsch einbindet. Das wirtschaftliche Risiko kann jedoch enorm sein, wenn ein Unternehmen mit Nutzerdaten fahrlässig umgeht und Sicherheitsaspekte außer Acht lässt bzw. gewisse Standards nicht einhält.
Auch, wenn aktuell im Datenschutz wohl so ziemlich alles umstritten zu sein scheint und z.B. viele Datenschutzjuristen auf die im Oktober erwartete Planet49 Entscheidung des EuGH warten, so ist klar, dass die meisten Unternehmen Datenschutz auch als Compliance-Thema verstehen und dementsprechend angehen sollten.