DSGVO: So vermeiden Sie Strafen
Eine Verletzung der Datenschutzgrundverordnung kann Unternehmen teuer zu stehen kommen. Doch: Wie kann man sie vermeiden? Und was tun, wenn sie doch passiert? Wir haben bei Rechtsanwalt Markus Dörfler nachgefragt.
Welche Informationen sind nach den neuen Datenschutzregeln geschützt?
Markus Dörfler: Nach der seit Mai 2018 anzuwendenden Datenschutzgrundverordnung ist jede Information geschützt, die man einem bestimmten Individuum zuordnen kann. Egal, wie absurd das auch sein mag. Wenn Sie also beispielsweise eine Liste anlegen mit Namen und einer Spalte zur Anzahl der Arme, und in dieser Spalte überall „zwei“ notieren, handelt es sich sogar um Gesundheitsdaten. Die Liste könnte ja theoretisch einen Hinweis auf eine Behinderung enthalten. Auch beim Vermerk „Essen mit dem Wiener Rechtsanwalt mit blondem Zopf“ handelt es sich um eine geschützte Information. Weil ich in Wien der einzige Rechtsanwalt mit einem blonden Zopf bin.
Wann spricht man nun von einer Datenschutzverletzung?
Immer dann, wenn solche personenbezogene Daten nicht rechtmäßig „verarbeitet“ werden. Unter „Verarbeitung“ versteht der Gesetzgeber das Abspeichern, Verwenden, Weiterleiten, aber auch Löschen von Daten. So können etwa geschützte Daten an Unbefugte geraten, wenn der Firmenlaptop gestohlen oder ein USB-Stick verloren wird. Aber auch bei einem unabsichtlich liegengelassenen Papierausdruck oder einem E-Mail, das versehentlich beim falschen Empfänger landet, kann es sich um eine datenschutzrechtliche Verletzung handeln.
Was dann?
In diesem Fall muss man sich überlegen, ob ein Risiko für die Rechte und Freiheiten der Menschen besteht. Das ist natürlich super abstrakt. Verliert man beispielsweise eine Liste mit fünf Namen und Adressen, ist das Risiko wohl gering. Bei hundert Namen samt Adressen und Kontonummer sieht das hingegen ganz anders aus.
Was müsste das Unternehmen in diesem konkreten Fall machen?
Hier ist auf jeden Fall, und zwar innerhalb von 72 Stunden die Datenschutzbehörde zu informieren. Dafür gibt es ein Formular, das aus dem Internet heruntergeladen werden kann. Auch die Betroffenen müssen kontaktiert werden, damit sie beispielsweise ihr Konto sperren lassen können. Auf welche Weise man die Betroffenen informiert, kann man sich aussuchen. Das Gesetz sagt dazu nichts.
Die Einschätzung, wie gravierend ein Vorfall ist und ob man die Behörden informieren muss, ist also dem Einzelnen überlassen?
Ja, genauso ist das. Und ob man mit der Einschätzung richtig liegt, kann man genaugenommen nur dann sicher wissen, wenn die Datenschutzbehörde den Fall prüft. Aus diesem Grund appelliere ich an die Unternehmen, im Zweifel lieber juristischen Rat einzuholen. Denn einerseits verändert sich die Rechtsprechung ständig, andererseits hat man dann im Falle des Falles jemand Externen, der haftet.
Was kann ein Verstoß kosten?
Unternehmen, die ihre Daten nicht angemessen schützen, beispielsweise Firmenhandys und Tablets unverschlüsselt lassen, kann dies bei einer Datenschutzverletzung teuer zu stehen kommen. Der „niedrige“ Strafrahmen beläuft sich auf 10 Millionen Euro beziehungsweise zwei Prozent des Jahresumsatzes, der „hohe“ auf 20 Millionen beziehungsweise vier Prozent. Die Österreichische Post soll aktuell 18 Millionen Euro Strafe zahlen, weil sie Daten verkauft hat, die Rückschlüsse auf die politische Präferenz zulassen. Das Urteil ist allerdings noch nicht rechtskräftig. Normalerweise fallen die Strafen aber niedriger aus, weil die Behörde auf Verhältnismäßigkeit achten muss. Entsteht allerdings ein materieller oder immaterieller Schaden, kann zusätzlich Schadenersatz fällig werden.
Haben Sie ein Beispiel für einen solch „immateriellen“ Schaden?
Ein Mann hat einmal 750 Euro zugesprochen bekommen, weil seine Bonität aufgrund falscher Daten zu Unrecht als schlecht eingestuft wurde und er deshalb keinen Handyvertrag bekam. Das war aber noch nach der alten Rechtsprechung.
Wie sehen Sie die neuen Regeln generell? Sind sie aus Ihrer Sicht angemessen, oder zu streng beziehungsweise zu weich?
Einiges an der neuen Datenschutzverordnung ist vielleicht ein wenig unklar. Aber die Idee an sich ist schon gut.
. . . . . . . . . . . . . . . . . .
Der Wiener Rechtsanwalt Markus Dörfler, Partner bei Höhne, In der Maur & Partner Rechtsanwälte, ist auf IT-Recht und Datenschutzfragen spezialisiert. Foto: © Alexander Krischner
. . . . . . . . . . . . . . . . . .
Informieren Sie sich auch über diese rechtlichen Themen:
