Welche Folgen hat eine Nichtumsetzung der DSGVO für Unternehmen?

Die Karten werden neu gemischt: Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft und können mit empfindlichen Geldbußen für Datenschutzverstöße einhergehen. Besonders brisant: Die mit der neuen Rechenschaftspflicht zusammenhängende Beweislastumkehr kann für verantwortliche Unternehmen zu Schadensersatzforderungen führen.

Die neuen Richtlinien zur Rechenschaftspflicht

Auch wenn sich die Vorschriften für Datenschutzverstöße im alten Datenschutzrecht eher bedeckt gehalten haben, heißt das noch lange nicht, dass dies mit der DSGVO ebenso sein muss. Das genaue Gegenteil könnte bald Realität werden! Mit der Gesetzesnovelle wird eine völlig neue Rechenschaftspflicht eingeführt, die besonders kleine und mittelständische Unternehmen herausfordern wird. Der Art. 5 DSGVO bringt es mit wenigen Worten auf den Punkt: Der (für die Daten) Verantwortliche muss die Einhaltung der Datenschutzgesetze nachweisen können. Und zwar nicht nur gegenüber Behörden, sondern insbesondere gegenüber dem Dateninhaber – also in den meisten Fällen dem Kunden. Aber nicht nur das: Die Missachtung von Datenschutzregeln kann sogar zu wegen Wettbewerbswidrigkeit durch Mitbewerber verfolgt werden.

Der Unternehmer muss Rechenschaft ablegen, ob datenschutzkonform gehandelt wird

Wer Daten in unzureichender Weise verarbeitet oder auf anderem Wege gegen die DSGVO verstößt, kann sich also flächendeckend schadensersatzpflichtig machen. Experten glauben, dass diese Neuerung im deutschen Recht dazu führen kann, dass Unternehmen bei Datenschutzverstößen zukünftig tiefer in die Tasche greifen werden müssen. Das erhöhte Risiko liegt vor allem in der Art, wie ein Unternehmer sich aus der Haftung rausnehmen könnte – nämlich fast überhaupt nicht. Aufgrund der Rechenschaftspflicht liegt die Beweislast neuerdings beim Unternehmer. Er muss nachweisen, dass er datenschutzkonform gehandelt hat und dabei alle seine datenverarbeitenden Prozesse offenlegen. Je genauer und nachvollziehbarer dokumentiert, desto höher die Chancen, dass eine Exkulpation (Entlastung) möglich ist.

Folgende Prozesse sollten Sie daher einer kritischen Prüfung unterziehen:

• Wie werden Daten gespeichert und vor unberechtigten Zugriff geschützt, haben sie technische und organisatorische Maßnahmen zum Datenschutz getroffen?
• Verfügen Sie über Löschprozesse, wenn beispielsweise eine Einwilligung zur Verarbeitung personenbezogener Daten widerrufen wurde (Recht auf Vergessenwerden)?
• Haben Sie eine Liste mit allen Auftragsverarbeitern und bestehen entsprechende Verträge?
• Haben Sie ein Verzeichnis mit Verarbeitungstätigkeiten erstellt (Art. 30 DSGVO), beziehungsweise betrifft Sie diese Regelung?
• Sind Sie in der Lage Datenpannen kurzfristig zu bemerken und innerhalb von 72 Stunden an die zuständigen Behörden zu melden?
• Haben Sie einen Prozess zur Mitteilung an Betroffene, wenn Sie Mitteilungen über Zweckänderungen und Erhebungen über Dritte, versenden müssen?

Nahezu kein Limit bei Höhe des Schadensersatzes

Die gesetzliche Grundlage für die Schadensersatzforderung bestimmt der Art. 83 DSGVO. Darin werden Bußgelder bis zu 4 % des gesamten Umsatzes vorgesehen. Diese Gelder fließen an die Behörden, die den Datenschutzverstoß feststellen und ahnden.

Anders verhält es sich mit dem Schadensersatz, der ist dafür da, einen materiellen oder immateriellen Schaden einer Person zu kompensieren, die vom Datenschutzverstoß betroffen ist, das regelt Art. 82 DSGVO. Dafür sieht der Gesetzgeber, anders als bei den Bußgeldern, keine Begrenzung vor. Interessant dabei ist, dass die Erwägungsgründe der Datenschutzverordnung deutlich machen, dass dem ein weiter Schadensbegriff zugrunde gelegt wird. Nicht nur geldwerte Schäden können geltend gemacht werden, auch so genannte immaterielle Schäden fallen darunter. Darunter kann man wohl den „Verlust der Kontrolle“ über seine Daten fassen. Ebenso unklar wie der Begriff, sind auch die Größen der Geldsummen, die hier von Unternehmen gefordert werden könnten.

Erhöhtes Risiko für Auftragsverarbeiter

Der Anspruch auf Schadensersatz kann sich nach neuer Gesetzeslage nicht nur gegen den Unternehmer, sondern auch gegen den Auftragsverarbeiter richten. Was bedeutet das für Sie? Empfangen, speichern und verarbeiten Sie eventuell Daten für ein anderes Unternehmen – zum Beispiel Lohnbuchhaltung oder Textaufträge? Dann sind sie de facto ein Auftragsverarbeiter und haften schlimmstenfalls gesamtschuldnerisch mit dem Unternehmer.

Haben Sie selber gegen eine Pflicht aus dem Auftragsverarbeitungsvertrag verstoßen, oder wird diese Verletzung auch nur vermutet, dann kann Art. 82 DSGVO den Anspruch des Klägers ebenfalls nur gegen Sie richten. Auch hier gilt das Prinzip der Beweislastumkehr: Der Auftragsverarbeiter muss sich entlasten können. Sichern Sie daher nicht nur ihr datenverarbeitenden Prozesse ab, sondern achten Sie auch auf eine korrekte Formulierung Ihrer Auftragsverarbeitungsverträge.

Fazit: Lieber mehr, als weniger

Die Beweislastumkehr für Unternehmer und Auftragsverarbeiter kann aufgrund der neu geregelten Bußgeld- und Schadensersatzforderung zu einer echten Hürde werden. Lassen Sie es nicht drauf ankommen und sichern Sie Ihr Unternehmen in jedem Falle datenschutzrechtlich ab. Mit transparenten Prozessen und einer cleveren Dokumentation wird die neue DSGVO für Sie kein Problem mehr darstellen.