Die DSGVO schützt sensible Daten und vermeidet teure Strafen, indem Unternehmen Datenschutzpflichten einhalten. Externe Datenschutzbeauftragte unterstützen bei der Umsetzung und sichern die Compliance mit aktuellen Regelungen. Besonders kleine und mittelständische Unternehmen profitieren, da sie so Risiken minimieren und den Datenschutz effizient integrieren können.
Mangelnder Datenschutz kann nicht nur zum Abfluss sensibler Informationen führen. Auch finanziell fließen schnell erhebliche Summen ab, sobald Bußgelder wegen Datenschutzverstößen fällig werden. Schockstarre und Verzicht auf flüssige Verarbeitung digitaler Daten sind für erfolgreiche Unternehmen jedoch keine Option. Heiko Gossen informiert über den Stand der Dinge und ordnet ein, wie KMUs sich jetzt richtig aufstellen sollten.
Seit 2018 gilt die Datenschutz-Grundverordnung (DSGVO) in der gesamten Europäischen Union. Der Gesetzgeber hat damit nicht nur allgemeine Prinzipien für den richtigen Umgang mit Daten im Informationszeitalter gelegt. Die Verordnung stellt hohe Anforderungen. Sie gelten im internen Umgang mit Personaldaten und geben den Rahmen vor für die Erhebung, Verarbeitung und Speicherung von Kundendaten. Bei Missachtung können sehr teure Bußgelder fällig werden. Je nachdem, wie viele Kunden oder Mitarbeiter betroffen sind und was für ein Ausmaß Verstöße annehmen, können sich Strafen in einer Höhe bewegen, wie man sie ansonsten nur aus den USA kennt.
So teuer können Datenschutzverstöße für Unternehmen werden
Bereits 2019, ein Jahr nach Inkrafttreten, erwischte es einen Konzern, der es als eines der führenden Technologieunternehmen besser wissen sollte. Frankreichs Datenschutzbehörde verurteilte Google zu einer Strafe von 50 Millionen Euro. TikTok wurde im September 2023 sogar zur Zahlung von 345 Millionen Euro verurteilt. Die Gerichte und Behörden machten aber auch vor kleineren Unternehmen nicht Halt. So wurden beispielsweise Notebooksbilliger.de und Delivery Hero zu Strafzahlungen verpflichtet. Die Regelungen für das Strafmaß werden von der DSGVO wie folgt benannt: Das maximale Strafmaß kann bis zu 20 Millionen Euro betragen oder mit vier Prozent des Umsatzes veranschlagt werden, den das Unternehmen weltweit im Vorjahr erzielt hat. Dabei gilt immer das, was höher liegt, als Maximalgrenze. Bei umsatzstarken Unternehmen kann diese Summe also über 20 Millionen betragen.
Die Urteile, die bereits gesprochen wurden, machen vielen Unternehmen Angst. Auf der einen Seite wurde damit erreicht, was der Gesetzgeber schaffen wollte: Ein breites Bewusstsein für einen sensiblen Umgang mit Daten. Erkauft wurde dies jedoch mit einem weniger guten Nebeneffekt. Viele Führungskräfte sind unsicher oder besorgt. In der Anfangsphase wurde die Verarbeitung von Daten und die Nutzung elektronischer Informationen massiv zurückgefahren. Es war jedoch schnell klar, dass es so nicht geht. Die Nutzung von Datenverarbeitung ist in vielen Branchen eine Voraussetzung für einen guten Absatz und garantiert, dass man seiner eigenen Zielgruppe die passenden Angebote macht. Eine gute Unterstützungsoption in dieser Situation sind Datenschutzbeauftragte, auch unterhalb der Grenze von 20 Beschäftigten, ab denen ein Datenschutzbeauftragter zu benennen ist. Eine externe Benennung von Datenschutzbeauftragten ist laut DSGVO erlaubt. Mit einer solchen Lösung haben Betriebe schnell einen Experten an ihrer Seite, der die rechtlichen Vorgaben kennt. Er fordert Sicherheit dort ein, wo sie wirklich gefragt ist. Anders als unerfahrene Datenschutzbeauftragte, wie bei der Ausbildung eigener Mitarbeiter zum Datenschutzbeauftragten aus dem eigenen Betrieb, bremst er die Arbeit nicht aus mangelnder Erfahrung heraus aus. Neu ausgebildete, interne Datenschutzbeauftragte können sich zu Beginn gut externe Unterstützung hinzunehmen, um so auf einen breiten Erfahrungsschatz zurückgreifen zu können.
Unnötige Probleme – oft liegt es an elementaren Basics!
Die gegenwärtige Entwicklung zeigt, dass das Abstrafen von Datenschutzproblemen stark um sich greift. Laut einer aktuellen Auswertung wurden seit 2018 über 2000 Strafen wegen Verstoßes gegen die DSGVO in der Europäischen Union verhängt. Dabei beträgt das verhängte Bußgeld im Durchschnitt 2,14 Millionen Euro. Kleine und mittelständische Unternehmen wurden nicht selten zur Zahlung von vier- bis fünfstelligen Beträgen verurteilt. Gegenüber einem Risiko wie diesem fallen die Kosten für einen externen Datenschutzbeauftragten vergleichsweise gering aus – und viele Unternehmen müssen ohnehin eine Person auf diese Stelle berufen. Dass sich bei der Besetzung die Wahl eines Profis lohnt, darauf deuten die Auswertungen ebenfalls hin. Es zeigt sich nämlich, dass viele Verstöße auf vermeidbare Ursachen zurückgehen. Elementare Basics wurden nicht beachtet, die durch regelmäßige Audits durch den Datenschutzbeauftragten vermutlich hätten vermieden werden können..
Zu den wichtigsten Vorkehrungen zählen: Erstens regelmäßige und automatisierte Sicherheitsupdates sowie professionelle Administration der genutzten Softwarefunktionen. Zweitens die zuverlässige Beachtung von Fristen, wenn es beispielsweise um die Löschung von gespeicherten Daten oder die Meldung von Datenschutzverletzungen geht. Drittens kommt es maßgeblich auf verständliche sowie transparente Datenschutzhinweise und darauf an, am richtigen Punkt das Einverständnis – sofern notwendig – von Kunden einzuholen. Gut beratene Unternehmen können mit dieser Rücksprache beim Kunden punkten und so auch oft Daten umfangreich für Werbezwecke nutzen. Verbraucher und Geschäftspartner geben gerne das Einverständnis zur Datenverarbeitung – wenn diese ihnen Vorteile bringt. Unternehmen, die dabei zeigen, dass sie hohen Wert auf den Datenschutz legen, werden geschätzt. Wer die Dienste eines erfahrenen externen Datenschutzbeauftragten nutzt, kann damit auch öffentlich werben.
Wie externe Datenschutzbeauftragte vor der Kostenfalle schützen
Worauf sollten Unternehmen beim Auswählen ihrer Datenschutzbeauftragten achten? Generell empfiehlt sich ein Ansprechpartner, der bereits umfänglich ausgebildet ist, sich rechtlich auskennt und Praxiserfahrung aus der modernen Datenverarbeitung mitbringt. Erfahrungsgemäß fahren Unternehmen am besten mit einer Teamlösung. Sie gewährleistet, dass stets ein Datenschutzbeauftragter ansprechbar ist. Falls einzelne Personen im Urlaub sind, lassen sich dringende Anliegen über das Team regeln. Als Vorsitzender des Bitkom Arbeitskreises Datenschutz und Geschäftsführer von migosens weiß Heiko Gossen, dass solche Lösungen im KMU-Umfeld als positive Unterstützung ankommen. Sie regeln Basics zielsicher und entwickeln zusammen mit Unternehmen eine digitale Infrastruktur, die den Strukturen vor Ort gerecht wird.