Zum Inhalt springen Zur Navigation springen
Datenschutz im Unternehmen: DSGVO einfach umsetzen

Datenschutz im Unternehmen: DSGVO einfach umsetzen

Die DSGVO als sperriges Pflichtprogramm – so wird sie immer noch von vielen Unternehmen wahrgenommen. Teilweise verständlich, wie wir aufzeigen. Aber noch wichtiger: Was sind die positiven Aspekte des Themas für Unternehmen und welche Themen sollten Sie unbedingt angehen? Das zeigen wir in unserem Beitrag auf.

Unternehmen haben immer noch Probleme mit der DSGVO

Bereits am 25.05.2018 – vor nunmehr gut 4,5 Jahren – trat die DSGVO in Kraft. Und doch zeigen Umfragen auch weiterhin, dass die DSGVO noch nicht optimal in die Unternehmenspraxis integriert ist. So hat zuletzt eine Umfrage des Digitalverbands Bitkom unter 503 Unternehmen ab 20 Beschäftigten in Deutschland dargelegt, dass zwar die große Mehrheit die DSGVO entweder vollständig (22 Prozent) oder größtenteils (40 Prozent) umgesetzt hat, aber immerhin ein Drittel der befragten Unternehmen gibt an, mit der Umsetzung erst begonnen zu haben.

Die Gründe dafür, dass die Umsetzung der DSGVO noch nicht weiter fortgeschritten ist, sind für die Unternehmen der Umfrage nach relativ klar: ständig neue Leitfäden, die umzusetzen sind (88 %), Rechtsunsicherheiten bezüglich der Umsetzung (78 %) und immer wieder neue Prüfungen, die notwendig werden (77 %). 61 % der Befragten sind gar der Ansicht, Deutschland übertreibe es mit dem Datenschutz, der zudem die Digitalisierung erschwere (68 %). Darin werden sich viele wiederfinden.

Das Schreckgespenst: Rekordbußgelder und drakonische Strafen

Dass überhaupt umgesetzt wird, mag auch daran liegen, dass seit Einführung der DSGVO 2018 höhere Bußgelder drohen – in Unternehmen immerhin bis zur Höhe von 2 % des gesamten weltweit erzielten Jahresumsatzes. Und wird ein entsprechend hohes Bußgeld von einer Aufsichtsbehörde verhängt, dann setzen sich das Bußgeld und der Name des Unternehmens in den Köpfen der Leute fest. Doch das will keiner, und so setzt man lieber um, was unbedingt sein muss. Doch eine genauere Betrachtung der Bußgeldpraxis in Deutschland an dieser Stelle lohnt sich:

Bislang gab es in Europa insgesamt 1.318 Bußgelder mit einer Gesamtsumme von 2.099.520.477 Euro (Stand 24.10.2022). Rechnet man nun die 7 höchsten Bußgelder heraus (1.636.000.000 Euro), da diese den Durchschnitt durch den extremen Umsatz der „Big Five“ verzerren, bleibt mit ca. 400.000 Euro hier rechnerisch ein wesentlich geringeres durchschnittliches Bußgeld pro Fall. Geht man zudem davon aus, dass viele kleinere Bußgelder nicht in die Statistik eingeflossen sind, dass es auch Bußgelder gibt, die zurzeit noch nicht rechtskräftig sind und dass ggf. im Einzelfall noch Absenkungen durch die Rechtsprechung erfolgen, dürfte die tatsächliche durchschnittliche Strafe noch wesentlich geringer ausfallen. Legt man nun die Zahl der in der EU existierenden Unternehmen zugrunde, nämlich ca. 23 Millionen kann man weiter ausrechnen, wie hoch bzw. gering die Wahrscheinlichkeit höchstens dafür ist, innerhalb von z.B. 4 Jahren ein – höheres – Bußgeld zu bekommen.

Auch wenn das Bußgeldrisiko also zu relativieren ist, existiert es natürlich, und zudem reicht bereits das Risiko, negativ durch ein Bußgeld in der Öffentlichkeit zu stehen, für den Abschreckungseffekt.

Schadensersatzforderungen: Das unterschätzte Risiko der DSGVO?

Zu dem Bußgeldrisiko tritt für Unternehmen das Risiko durch die Geltendmachung von materiellen und immateriellen Schadensersatzansprüchen gem. Art. 82 DSGVO wegen – behaupteter – DSGVO-Verstöße hinzu.

Mittlerweile haben sich viele Anbieter auf die Geltendmachung solcher Schadensersatzansprüche spezialisiert, und den Betroffenen wird angeboten, ihre Ansprüche gegen eine Provision gerichtlich geltend zu machen, oder die Ansprüche werden „abgekauft“ oder abgetreten und dann gebündelt geltend gemacht.

Außerdem hat der EuGH am 28.04.2022 entschieden, dass die DSGVO nationalen Regelungen nicht entgegensteht, die Verbraucherverbänden legitimieren, gegen Datenschutzverstöße unabhängig von einem Auftrag durch die betroffenen Verbraucher gerichtlich vorzugehen. Vorerst nutzen die Verbände dazu die Möglichkeit der Unterlassungsklage, bevor für sie Mitte 2023 nach der nationalen Umsetzung der neuen sog. „Verbandsklage-Richtlinie“ (Richtlinie EU 2020/1828) die Möglichkeit hinzutritt, u.a. auch Schadensersatzforderungen gem. Art. 82 DSGVO durchzusetzen.

Neben den beschriebenen erweiterten Möglichkeiten der Rechtsdurchsetzung für Betroffene tritt der Umstand, dass weiterhin einschlägige Rechtsprechung zu wichtigen Themen fehlt.

Auch wenn die ordentliche Gerichtsbarkeit Art. 82 DSGVO eher restriktiv auslegt, zeigen sich Tendenzen ab, Klägern immateriellen Schadensersatz zuzusprechen, und auch die Arbeitsgerichte tendieren zu einem klägerfreundlichen Verhalten. Zurzeit gibt es eine Vielzahl von Vorlageersuchen nationaler Gerichte an den EuGH zu Rechtsfragen rund um den Schadensersatzanspruch aus Art. 82 DSGVO. Allerdings ist mit Entscheidungen nicht vor Mitte 2023 zu rechnen, sodass die Rechtsunsicherheiten noch eine ganze Weile weiter bestehen bleiben dürften. Festzustellen ist bislang nur, dass sich der Generalanwalt in dem am weitesten vorangeschrittenen Verfahren (EuGH C-300/21) gegen niedrige Voraussetzungen bei dem immateriellen Schadensersatzanspruch ausgesprochen hat. Insofern bleibt die Hoffnung für Unternehmen, dass sich der EuGH dieser Meinung anschließt.

Der Mythos: Wettbewerbsvorteil durch die DSGVO

Die DSGVO als Wettbewerbsvorteil? Das kann man zumindest kurz- bis mittelfristig nur verneinen. Und auch die an der Bitkom-Umfrage beteiligten Unternehmen sind mehrheitlich dieser Ansicht: Immerhin 40 Prozent der Befragten sehen keinen Wettbewerbsvorteil durch die DSGVO auf dem internationalen Markt für das eigene Unternehmen, 30 % sehen sogar Wettbewerbsnachteile.

Eindrücklich geht es weiter: In 82 % der Unternehmen sei mindestens ein Innovationsprojekt in den vergangenen 12 Monaten aufgrund des Datenschutzes gescheitert oder gar nicht in Angriff genommen worden, in 93 % der befragten Unternehmen habe es Unklarheiten im Umgang mit den Vorgaben gegeben, oftmals gab es datenschutzrechtliche Probleme bei dem avisierten Einsatz neuer Tools – kein Wunder, dass in diesem Umfeld der Datenschutz als Hemmnis der Digitalisierung wahrgenommen wird.

Der Gedanke, dass die DSGVO tatsächlich ein Wettbewerbsvorteil bedeuten könnte, stammt aus dem Zusammenhang, dass US-Anbieter ihre nicht-DSGVO-konformen Produkte auf dem europäischen Markt ggf. nicht mehr anbieten, sofern DSGVO-Konformität nicht festgestellt werden kann. Jedoch würde es dann regelmäßig europäischer Alternativen bedürfen, sodass wir mittlerweile wissen, dass dieser Gedanke reichlich kurz gegriffen sein dürfte.

Warum Datenschutz im Unternehmen dennoch wichtig ist

Trotz alledem gibt es gute Gründe dafür, das Thema Datenschutz sorgfältig angemessen abgestimmt auf das eigene Unternehmen anzugehen und mit Leben zu füllen.

Compliance

Das Thema „Compliance“ umfasst weit mehr als „Regelkonformität“ bzw. eine Vermeidung von Haftung. Vielmehr ist mit dem modernen Compliancebegriff darunter ein wichtiger Beitrag zur Optimierung operativer Geschäftsprozesse zu verstehen, was in einem Wettbewerbsvorteil mündet. Oder anders formuliert: Eine gute Dokumentation zum Datenschutz kostet zunächst Ressourcen, aber Folgeaufgaben lassen sich dann jederzeit effektiv bewältigen.

Außerdem lässt sich der rechtliche Rahmen innerhalb des Unternehmens nur schwer mit sonstigen rechtlichen Vorgaben vereinbaren, wenn das Thema „Datenschutz“ gar nicht behandelt wird. Vorschriften anderer Rechtsgebiete, z.B. des Wettbewerbsrechts, greifen den Datenschutz auf und die konkrete Ausgestaltung innerbetrieblicher Prozesse ist an alle Eventualitäten anzupassen.

Dass das Thema „Compliance“ zukünftig in Deutschland weiter in den Mittelpunkt rückt, zeigt auch die Tatsache, dass die Ampelkoalition in ihrem Koalitionsvertrag (S. 88) eine Reform des Unternehmensstrafrechts plant.

Zitat:

„Wir überarbeiten die Vorschriften der Unternehmenssanktionen einschließlich der Sanktionshöhe, um die Rechtssicherheit von Unternehmen im Hinblick auf Compliance-Pflichten zu verbessern und für interne Untersuchungen einen präzisen Rechtsrahmen zu schaffen.“

Eine abstrakte Formulierung, die aber darauf hindeutet, dass es zum ersten Mal klare, nachvollziehbare rechtliche Compliance-Pflichten geben könnte. Arbeitet man nachhaltig an den Regelungen zum internen Datenschutz, so bewegt man sich auch in diese Richtung sinnvoll weiter und kann notwendig werdende Kraftanstrengungen für neuartige Anforderungen mit Leichtigkeit aufbringen.

Weltweite Verbreitung des Datenschutzes

Während wir in der EU wie oben dargestellt ggf. kurz- bis mittelfristig keinen Wettbewerbsvorteil durch die DSGVO verzeichnen können, so könnte mittel- bis langfristig zudem doch etwas anderes gelten. Denn mit dem globalen Einzug der Digitalisierung müssen sich immer mehr Ländern mit der Notwendigkeit der Reglementierung des Umgangs mit Daten auseinandersetzen, wie dieser Bericht des Capgemini Instituts anschaulich aufzeigt (S. 6 ff.). Im Übrigen lässt der Bericht auch Stimmen aus dem internationalen Umfeld zu Wort kommen, die sehr wohl einen Zusammenhang der DSGVO-Konformität des Unternehmens zu Wettbewerbsvorteilen sehen: In dieser Umfrage sind 81% der Unternehmen, die die Vorschriften einhalten, der Ansicht, dass das verbesserte Vertrauen und die Zufriedenheit der Verbraucher sich positiv auf das Marketing ausgewirkt haben (S. 17). Und als zusätzliche „hidden benefits“ werden folgende Vorteile der DSGVO-Konformität benannt:

„The GDPR has increased cybersecurity. It has improved awareness about data and how we use it, and what data we are using.”

Wichtig: Das Vertrauen der Kunden

Vertrauen aufbauen, Transparenz bieten und so Zufriedenheit mit dem Produkt fördern, das ist Blickwinkel, bei dem es hinsichtlich von Verbrauchern und Mitarbeitern bezüglich des Datenschutzes geht. Zwar ist Datenschutz oft noch kein Grund, ein Produkt oder eine Dienstleistung auszuwählen. Ggf. ändert sich das aber mit den kommenden Datenschutzzertifizierungen. Aber in Zeiten immer größer werdender Datenmengen – ggf. sogar von sensiblen Daten – , die sich bei Unternehmen ansammeln, wirken sich Datenpannen und Überwachungsskandale jedenfalls extrem negativ auf die Wahrscheinlichkeit aus, dass der Kunde das Produkt nutzt.

Und langsam schärft sich das Bewusstsein der Verbraucher für das Thema, wie eine Umfrage von McKinsey unter 1.000 nordamerikanischen Verbrauchern zeigt. Die Umfrage beschreibt, dass Verbraucher in Nordamerika nicht viel Vertrauen haben bezüglich ihrer Datennutzung durch Unternehmen und zurückhaltend sind bezüglich der freiwilligen Herausgabe ihrer personenbezogenen Daten. Das mangelnde Vertrauen wird in der Untersuchung auch zurückgeführt auf bekannt gewordene Datenschutzverstöße –  in einem Fall seien allein 3,5 Milliarden Datensätze veröffentlicht worden. Die Befragten seinen sich solcher Verstöße bewusst und sie hätten ihre Umfrageantworten zum Thema Vertrauen beeinflusst. Fazit der Umfrage: Da so viel für Unternehmen auf dem Spiel steht, kann die Art und Weise, wie Unternehmen mit dem Thema Datenschutz umgehen, zu einer Quelle von Wettbewerbsvorteilen werden.

Die ungenutzte Chance: Abweichende Auslegung der DSGVO durch Behörden

Wem die zuvor genannten Argumente einleuchten, der ist jedoch schnell wieder bei den Kritikpunkten, die durch die Bitkom-Umfrage deutlich wurden: Die DSGVO als Papiertiger, der die Umsetzung immer neuer Leitfäden, komplizierte, immer neue Prüfungen und die Schaffung abstrakter Prozesse fordert. Wie also dem Thema begegnen? Am besten mit eigenem Know-How und Kreativität.

Viel Raum für Kreativität

Hier sollte der Raum für Interpretation und kreative Lösungen genutzt werden, der bedingt ist durch die vielen weiterhin bestehenden Rechtsunsicherheiten. Das setzt zwar eine gewisse eigene Risikoaffinität voraus, führt aber andererseits zu erheblichen Vorteilen bezüglich der Sinnhaftigkeit und Handelbarkeit der DSGVO im Unternehmen.

Ausweichen auf die Meinung anderer Aufsichtsbehörden

Ist man von Lösungen nicht überzeugt, so könnte man Vorgehensweisen für den eigenen Anwendungsfall im Rahmen des Möglichen abändern. Wenn die Aufsichtsbehörde, die für das eigene Unternehmen standortbedingt zuständig ist, zu einem Thema anderer Ansicht sein sollte als man selbst, kann man z.B. zumindest versuchen, Gegenpositionen anderer Aufsichtsbehörden aus ganz Europa auszumachen und sich auf deren Ansicht berufen. Ein Bußgeld dürfte unter diesen Voraussetzungen eher unwahrscheinlich sein, denn es würde sicherlich sogar Fahrlässigkeit fehlen, wenn mit guten eigenen Argumenten anderen europäischen Aufsichtsbehörden gefolgt wird.

Standards setzt die Praxis

Außerdem sollte die gängige Praxis hinsichtlich der Frage der Setzung von Standards in der Zukunft nicht unterschätzt werden. Zumindest so lange der europäische Datenschutzausschuss (EDSA) keine verbindlichen Vorgaben macht und solange die höchstrichterliche Rechtsprechung in den Angelegenheiten noch nicht entschieden hat, können kreativ Lösungsmöglichkeiten gesucht werden.

Oder um es mit den Worten von Stefan Brink bei der IHK Stuttgart zur Evaluierung der DSGVO zu sagen:

„Machen Sie sich Ihre Gedanken, entscheiden sie selbst und glauben sie an die Kraft ihrer eigenen Argumente und seien sie absolut beruhigt, es geschieht ihnen kein Unrecht und sie haben alle Chancen, vor Gericht zu gehen und dort mit ihrer guten Auffassung durchzukommen.“

Zugegeben – um diese Ansicht in die Tat umzusetzen, muss ein Mindestmaß an Volumen für das Thema investiert und eigenes Wissen aufgebaut werden, um den eigenen Standpunkt zu den Anforderungen festlegen und nachhaltig vertreten zu können.

Punkte, auf die Unternehmen beim Datenschutz achten sollten

Datenschutz bedient sich zwar stets ähnlicher Schemata, ist jedoch in seiner Ausgestaltung unabdingbar individualisiert durch das Unternehmen und abhängig davon, in welchem Umfang welche Daten ganz konkret zu welchen Zwecken auf welche Arten und Weisen verarbeitet werden. Zum einen gibt es die Essentialia zum Thema, die auch 4,5 Jahre nach dem Inkrafttreten der DSGVO immer noch als Grundgerüst des betrieblichen Datenschutzes gelten und die stets umzusetzen sind.

Zum anderen sollten entsprechend der angesprochenen Risiken auf diese Punkte ein Augenmerk gelegt werden:

Datenübermittlung in unsichere Drittstaaten

Bis zum 27.12.2022 müssen Unternehmen alle bisher abgeschlossenen Standardvertragsklauseln für die Übermittlung von Daten in Drittländer durch die neue Version ersetzt haben. Soweit noch nicht geschehen, sollte dringend geprüft werden, welche personenbezogenen Daten aufgrund von Standardvertragsklauseln in Drittländer übermittelt werden. Ggf. wurden zwar Standardvertragsklauseln abgeschlossen, jedoch die alten. Dann müsste dringend kurzfristig nachgebessert werden.

Aber das Thema wird bleiben: Voraussichtlich im ersten Quartal 2023 wird ein neuer Angemessenheitsbeschluss kommen, der den Datentransfer zwischen der EU und den USA wieder legitimiert. Auch wenn Noyb bereits angekündigt hat, gegen diesen wiederholt gerichtlich vorzugehen. Wir sind also jetzt schon gespannt auf Schrems III.

Datenpannen: Notfall- und Reaktionspläne

Aufgrund des weiterhin hohen Risikos, auf Schadensersatz in Anspruch genommen zu werden, sollte zu dem Thema „Datenpannen“ nachgerüstet werden, soweit notwendig. Dabei sollte zum einen ein Reaktionsplan für den Fall eines Vorfalls vorhanden sein, andererseits sollte geklärt sein, wann wie und was genau wohin gemeldet wird.

Geltendmachung von Betroffenenrechten

Ebenfalls unter dem Vorzeichen des anhaltenden Schadensersatzrisikos ist der ordnungsgemäße Umgang mit der Geltendmachung von Betroffenenrechten von äußerster Wichtigkeit. Insbesondere die Geltendmachung von Auskunftsansprüchen erfordert eine gute Vorbereitung und eine strukturierte Vorgehensweise sollen Rechtsrisiken möglichst gering gehalten werden sollen.

Datensicherheit im Blick haben

Auch wenn Sie die IT ausgelagert haben, bleiben Sie auch für die IT-Sicherheit in der Verantwortung. Sie sollten für einiges sorgen, z.B. dafür, dass auch Sie selbst über Ihre Admin-Passwörter verfügen, dass Sie Geräte verschlüsseln und die Privatnutzung regeln. Schärfen Sie das IT-Sicherheitsbewusstsein in Ihrem Unternehmen, denn das Risiko liegt auch im Büroalltag.

Lieber einen Schritt voraus

Auch wenn sich nicht für jeden sofort die Vorteile der DSGVO für den Datenschutz im Unternehmen erschließen, es gibt sie und sie sollten sie nicht unterschätzt werden. Entsprechendes Know-How gepaart mit Risikoaffinität und Augenmaß können für eine angemessene, wenn nicht gar gewinnbringende Umsetzung sorgen – insbesondere mittel- und langfristig.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.