9 min Zuletzt auktualisiert: 11.10.2023

DSGVO Bußgelder: Was Unternehmen dazu wissen müssen

Ob deutschen Unternehmen eine Abmahnwelle durch Mitbewerber befürchten müssen ist noch ungewiss. DSGVO Bußgelder für Unternehmen sind schon jetzt eine reale Bedrohung. Doch wie schützen sich Unternehmen vor Sanktionen durch die staatliche Aufsicht? Wie vermeidet die Geschäftsleitung einer Firma, dass eine Mitarbeiterin oder ein Mitarbeiter versehentlich und unbeabsichtigt eine Datenschutzverletzung begeht?

Wie können DSGVO Bußgelder gegen Unternehmen verhindert werden?

Die Datenschutz-Grundverordnung (DSGVO) ist am 4. Mai 2016 in Kraft getreten. Nach langen Verhandlungen hatte der damalige Europaabgeordnete der Grünen, Jan Philipp Albrecht, das Gesetz unter anderem mit Unterstützung des deutschen Abgeordneten Axel Voss, Europäische Volkspartei, erfolgreich durchgesetzt. Der starke Einfluss deutscher Europapolitiker bei der EU-Datenschutzgesetzgebung war darin begründet, dass mit der Geschichte des Datenschutzes in Deutschlands bereits wichtige Grundlagen gelegt worden sind. Die DSGVO führte bis zum 28. Mai 2018 nahezu einen Dornröschenschlaf. Erst wenige Wochen vor Inkrafttreten des Paragraphen-Werks entdeckte die Presse das Thema und Geschäftsführenden wurde schrittweise klar, dass ihrem Unternehmen erhebliche Bußgelder bis zu 20 Millionen Euro drohen können.

Damit Bußgelder vermieden werden, müssen die Normen der DSGVO beachtet und entsprechende Maßnahmen umgesetzt werden. Dabei gibt es scheinbar Interpretationsspielraum. Datenschutzschulungen für Mitarbeitende sind gesetzlich nicht unmittelbar vorgeschrieben. Doch der/die von der Unternehmensleitung benannte Datenschutzbeauftragte hat die Pflicht, die mit der Verarbeitung personenbezogener Daten betrauten Mitarbeiterinnen und Mitarbeiter durch geeignete Maßnahmen in geeigneter Form zu qualifizieren. Ohne Schulung erhalten die Mitarbeitenden kein Zertifikat, dass haftungsentlastend wirkt. Vermutet die entsprechende Behörde einen Verstoß, fallen die Bußgelder erheblich höher aus, wenn keine Qualifizierung der Mitarbeitenden nachgewiesen werden kann. Zudem sind Unternehmen verpflichtet, ein professionelles Datenschutzmanagement umzusetzen. Ohne qualifizierte Mitarbeitende kann dies nicht konzeptioniert und umgesetzt werden.

Schulungen der Mitarbeitenden durchführen

Schulungen können Sie mittlerweile kostengünstig im Internet buchen. Teure Präsenzseminare sind nicht mehr notwendig. Ihre Mitarbeitenden loggen sich über den Browser in die Schulungsplattform ein. Hier lernen sie in einem interaktiven Lernspiel, wie sie die DSGVO umsetzen und einhalten. Solche E-Learnings können Sie über spezialisierte Anbieter in Ihre interne Schulungsplattform einbetten. E-Learnings sind flexibel einsetzbar: Mitarbeitende rufen die Inhalte von Zuhause, im Zug oder im Betrieb auf. Als ArbeitgeberInnen profitieren Sie von dem Reporting solcher Lernplattformen – Ihre Mitarbeitenden bekommen ein Zertifikat. Erhalten Sie ein Bußgeld, können Sie dieses Zertifikat als entlastendes Beweismittel anführen. Die Aufsichtsbehörde könnte das Bußgeld nun zurücknehmen oder zumindest niedriger ansetzen.

Welche Unternehmen sind besonders gefährdet?

Die Datenschutz-Grundverordnung bereitet Unternehmen aus zwei Gründen Sorge. Zum einen verhängen die Aufsichtsbehörden laufend DSGVO Bußgelder gegen Unternehmen. Zum anderen drohen auch noch Abmahnungen. Bei Bußgeldern hat sich aber schon herauskristallisiert, dass die Behörden keine Schonfrist mehr gewähren. Unternehmen, die die DSGVO jetzt nicht umsetzen, müssen Geldbußen bezahlen. Die Aufsichtsbehörden verhängten schon zahlreiche Geldbußen. Es traf beispielsweise Krankenhäuser, Arztpraxen, Banken, Onlineshops und die große Unternehmen. Eine potentielle Gefahrenquelle ist auch die Videoüberwachung in Unternehmen. Richten Unternehmen ihre Kameras nicht DSGVO-konform aus, verletzen sie das Datenschutzrecht. Im Bereich des Arbeitsrechts erhielten einige Unternehmen eine Geldbuße, weil sie Bewerber rechtswidrig behandelten. Manche Unternehmen vergaßen beispielsweise, dass sie für die Datenverarbeitung im Bewerbungsprozess eine Einwilligung des Bewerbers benötigen.

Welche Standardfehler sollten vermieden werden?

Datenschutzverletzungen sind vermeidbar: Gute Datenschutzerklärungen sind klar und einfach formuliert, wichtige und für den Nutzenden relevante Informationen finden sich schon auf der ersten Seite.
Für notwendige Zustimmungsverfahren bietet sich das Double-Opt-in Verfahren an. Innerhalb dieses Verfahrens, bestätigt der Nutzer, dass er mit einer Datenverarbeitung einverstanden ist. Das Einverständnis wird durch klicken erteilt. Im Gegensatz dazu ist es, seit Inkrafttreten der DSGVO, nicht mehr zulässig eine Vorauswahl für den Nutzer zu treffen. Dieses sogenannte Opt-out Verfahren ist Vergangenheit.

Zusätzlicher Schutz von Daten lässt sich durch gezielte Zugriffsberechtigungen bei den Mitarbeiterinnen und Mitarbeitern erreichen. So haben die KollegInnen nur die Berechtigung auf die Daten zuzugreifen, die sie für ihre Arbeit benötigen. Damit ist ein zentrales Leitprinzip der DSGVO umgesetzt. Daten die benötigt werden, dürfen auch verwendet werden. So darf die Privatadresse von KundInnen von einem Energieanbieter genutzt werden, damit dieser Strom- und Gasverbrauch in Rechnung stellen kann.

Einen zuverlässigen Schutz vor Datenmissbrauch bieten verschlüsselte Daten. Komplexe Passwörter sichern externe Festplatten und USB-Sticks. Schriftliche Dokumente gehören nicht in den Papierkorb, sondern in die verschlossene Datenschutztonne, die von Spezialanbietern oder der heimischen Müllabfuhr gestellt wird.
Qualifizierte Mitarbeitende machen keine Standardfehler. Vollumfängliche Datenschutzschulungen für Mitarbeitende verhindern Fehler, die Datenpannen auslösen, reale wirtschaftliche Schäden verursachen und einen Imageschaden als Folge haben.

Standardisierter Datenschutz im Unternehmen

DSGVO Bußgelder gegen Unternehmen lassen sich vermeiden. Solider Datenschutz fordert ein professionelles Datenschutzmanagement. Fehler müssen unbedingt frühzeitig gesichtet werden. Ein Teil dieses Konzepts können Online-Schulungen und damit verbundene haftungsentlastende Zertifikate bilden.
Interne oder externe Datenschutzbeauftragte übernehmen dabei die Kontrolle für die Unternehmen und sorgen für die Einhaltung des Datenschutzmanagements.

Was sind Abmahnungen?

Was sind Abmahnungen?

Die Datenschutz-Grundverordnung bereitet Unternehmen aus zwei Gründen Sorge. Zum einen verhängen die Aufsichtsbehörden laufend Bußgelder. Zum anderen drohen auch noch Abmahnungen. Das Gesetz gewährleistet einen fairen Wettbewerb zwischen Unternehmen. Verletzt ein Unternehmen datenschutzrechtliche Vorschriften, ist das eine Wettbewerbsverzerrung. Das rechtswidrig handelnde Unternehmen verschafft sich unzulässigerweise Vorteile. MitbewerberInnen wehren sich dagegen, indem sie über ihren AnwaltInnen eine Abmahnung versenden. Darin fordern sie die Gegenseite auf, die Rechtsverletzung zu unterlassen. Die manchmal sehr hohen Anwaltskosten muss das rechtswidrig handelnde Unternehmen zahlen. Abmahnungen sind durchaus legitim: diese stellen sicher, dass sich alle Marktteilnehmer an die gesetzlichen Vorschriften halten und sich niemand durch ein rechtswidriges Handeln Vorteile verschafft. Die hohen Anwaltskosten und Vertragsstrafen schmerzen natürlich. Deshalb sollten Unternehmen den Datenschutz ernst nehmen. Vorbeugen vermeidet Anwaltspost und Gerichtsverfahren.

Wie urteilten die Gerichte bisher?

Das Landgericht Bochum und das Landgericht Wiesbaden gehen davon aus, dass MitbewerberInnen einen Verstoß gegen die DSGVO nicht abmahnen können. Das Oberlandesgericht Hamburg entschied hingegen, dass ein DSGVO-Verstoß abmahnbar ist. Eine „herrschende Ansicht in der Rechtsprechung“, die einen DSGVO-Verstoß als abmahnbar einstuft, lässt sich aus dem Urteil aus der Hansestadt noch nicht ableiten. Hier heißt es nun abwarten, wie die Gerichtsurteile in nächster Zeit ausfallen. Im Klartext bedeutet das: Ob MitbewerberInnen sich gegenseitig wegen eines Verstoßes gegen die DSGVO abmahnen dürfen oder nicht, ist noch nicht geklärt.

Früher gab es mehr Klarheit. Die RichterInnen nahmen das Bundesdatenschutzgesetz zur Hand und hatten damit eine klare Vorgaben. Folglich kamen das Oberlandesgericht Hamburg, das Landgericht Köln und das Landgericht Hamburg in ihren Urteilen zum gleichen Ergebnis. Eine Abmahnung wegen eines Verstoßes gegen den Datenschutz war zulässig. Mit der DSGVO der EU wird nun der judikative Föderalismus gestärkt. Die Gerichte in den 16 Bundesländern legen die Verordnung individuell aus. Möglicherweise haben manche JuristInnen und JournalistInnen noch die alte Rechtsprechung im Hinterkopf und treffen deshalb leichtfertig Aussagen wie “DSGVO Verstöße sind auf jeden Fall abmahnbar”. Gerichtlich geklärt ist aber aktuell noch nicht.

Aktuelle Gesetzgebungsinitiativen in Deutschland möchten Abmahnungen verhindern. Klagen sollen nach ihren Vorstellungen nur noch für Interessenverbände, beispielsweise Verbraucherschutzverbände möglich sein. In diese Richtung tendiert auch eine Stellungnahme der EU-Kommission vom 3. Oktober 2018. Eine Handlungsanleitung für Unternehmen und Gerichte kann daraus nicht abgeleitet werden.

Abmahnung erhalten – wie sehen die nächsten Schritte aus?

Bringt der Postbote oder die Postbotin eine Abmahnung ins Haus, darf auf keinen Fall die Unterlassungserklärung unterzeichnet und Forderungen beglichen werden. Dies sieht wie ein Schuldeingeständnis aus und bringt nur Nachteile. Bei jeglicher Werbe- und Kommunikationsmaßnahme drohen weitere Abmahnungen – die werden dann richtig teuer. Erste:r AnsprechpartnerIn ist immer die Rechtsabteilung des Unternehmens oder RechtsanwaltInnen. Besteht der Mitbewerber auf die Zahlung seiner Rechtsanwaltskosten, muss ein Gerichtsverfahren geführt werden. Hier gibt es auch ein Kostenrisiko. Sollte ein rechtswidriges Verhalten vorliegen, sollten sofort die notwendigen Maßnahmen umgesetzt werden. Erfahrungsgemäß senken Einsicht, rasches sowie richtiges Handeln das Kostenrisiko von Urteilen. Es gilt generell: Prävention ist das beste Mittel; Vorsehen ist besser als Nachsehen.

Unsere Auszeichnungen

DBA Siegel

Unsere Partner


lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958496 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com