Das Wichtigste in Kürze
Das erwartet Sie hier
Was die DSGVO ist, was die teuersten DSGVO-Pannen sind und wie Sie sich davor schützen können (inklusive Schritt-für-Schritt-Anleitung).
Inhalt dieser SeiteDSGVO-Verstöße – schnell passiert und ziemlich teuer
Corona-Teststation: Corona- oder Deutsch-Test?
Eine Corona-Teststation erhob in ihrem Anmeldeformular den Impfstatus als Pflichtangabe. Zudem war im Formular beim Feld „Staatsangehörigkeit“ Deutschland voreingestellt. Beide Informationen waren für den Test nicht erforderlich. Außerdem sind vorausgewählte Einstellungen bei optionalen Feldern nicht Datenschutz-konform. Dafür musste die Teststation 52.500 Euro zahlen (Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit, S. 112).
Pflegeheim: Neugierde zu Besuch?
Ein Pflegeheim forderte die Besucher auf, zur Eindämmung von Corona Name, Anschrift, Angaben zur Immunisierung und zum aktuellen Schnelltest-Ergebnis in eine Liste einzutragen. Auch wurde die Körpertemperatur der Besucher gemessen und dokumentiert. Diese Liste konnte von zum Beispiel anderen Besuchern eingesehen werden. Das Pflegeheim musste 9.500 Euro zahlen (Quelle: Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Saarlandes, S. 75; dsgvo-portal.de).
Dienstleister: Eine komplizierte Url ist kein Passwort
Ein Unternehmer schützte seine Kundedatenbank nicht mit Nutzername und Passwort. Er setzte darauf, dass eine besonders lange URL-Adresse mit zufälliger Zeichenkombination als Schutz ausreicht. Die Folge: Die Kundendatenbank mit zehntausenden Einträgen war unverschlüsselt im Internet und somit ohne weitere Schwierigkeiten unbefugten Dritten zugänglich. Das Bußgeld: 8.900 Euro (Quelle: Der Landesbeauftragte für den Datenschutz Niedersachsen, S. 101)
Apotheke: Diskretion auf dem Müll
Eine Apotheke entsorgte zahlreiche Unterlagen und Dokumente mit personenbezogenen Gesundheitsdaten im Müllraum, der von einer Vielzahl unberechtigter Personen betreten werden kann. Zudem war die Videoüberwachung in der Apotheke so installiert, dass unter anderem die Bedienplätze der Arbeitnehmer gefilmt wurden. Ein Hinweisschild fehlte. Für die unrechtmäßige Entsorgung der Unterlagen zahlte die Apotheke 6.500 Euro (Quelle: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, S. 73).
Restaurant: Unerwünschter Nachtisch
Ein Restaurantbetreiber verwendete die zur Eindämmung der Corona-Pandemie erhobenen Kontaktdaten, um kommerzielle E‑Mails zu versenden. Eine Privatperson legte zwar Widerspruch gegen diese unerwünschten Mails ein, erhielt aber eine weitere werbliche E‑Mails des Restaurants. Dem Restaurant kostete diese DSGVO-Panne 2.500 Euro (Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit, S. 112).
Café: Say Cheeeesecake!
Ein Unternehmen in der Gastronomie überwachte per Videokamera nicht nur die Gasträume innerhalb des Cafés, sondern auch den öffentlichen Verkehrsraum. Das Urteil: 2.000 Euro Bußgeld (Quelle: dsgvo-portal.de)
Arzt: Rache für schlechte Google-Bewertung
500 Euro musste ein Arzt zahlen, der die personenbezogenen Daten eines Patienten veröffentlichte, nachdem dieser ihn schlecht auf Google bewertet hatte (Quelle: dsgvo-portal.de).
Sportgeschäft: Kontaktverfolgung der unerwünschten Art
Ein Mitarbeiter eines Sportgeschäftes nutzte die zur Eindämmung der Corona-Pandemie erhobenen Kontaktdaten, um eine Kundin wiederholt unerwünscht per E‑Mail zu kontaktieren. Unter anderem forderte er sie zu einem Treffen auf. Strafe: 200 Euro (Quelle: Berliner Beauftragte für Datenschutz und Informationsfreiheit, S. 112; Quelle: dsgvo-portal.de).
Dies sind Beispiele für Urteile wegen Verstößen gegen die DSGVO. Auch wenn diese Strafen immer ärgerlich und teilweise schon recht hoch sind: DSGVO-Verstöße können prinzipiell mit bis zu 20.000.000 Euro oder im Fall eines Unternehmens, mit bis zu 4 Prozent seines Jahresumsatzes, geahndet werden (Quelle: DSGVO Art. 83 DSGVO (5)).
Die tatsächliche Höhe des Bußgeldes ist von mehreren Faktoren abhängig, zum Beispiel der Art, Schwere und Dauer des Verstoßes, der Anzahl der betroffenen Personen, ob der Verstoß vorsätzlich oder fahrlässig erfolgte oder welche Art personenbezogener Daten betroffen sind.
Was ist die DSGVO?
Die Abkürzung DSGVO steht für Europäische Datenschutz-Grundverordnung. Diese Verordnung der Europäischen Union ist am 25.05.2018 neu in Kraft getreten und regelt die Verarbeitung von personenbezogenen Daten.
Personenbezogene Daten sind zum Beispiel Vorname, Name, Privatanschrift, E‑Mail-Adresse oder auch IP-Adresse (Quelle: Europäische Kommission). Die Verordnung ist wichtig, um die personenbezogenen Daten jeder Person in der EU zu schützen (Quelle: Europäische Union).
Prinzipiell müssen sich alle in der EU, die personenbezogene Daten verarbeiten, an die DSGVO halten, unter anderem Unternehmen, Konzerne, Behörden, Praxen oder auch Vereine – aber auch Privatpersonen.
Um auf den hohen Stellenwert des Datenschutzes in der EU aufmerksam zu machen, findet jedes Jahr am 28. Januar der Europäische Datenschutztag statt. Mit diesem Aktionstag sollen EU-Bürger für den Umgang mit den eigenen Daten sensibilisiert werden (Quelle: Bundesregierung).
Die sechs Grundsätze der DSGVO
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Personenbezogene Daten dürfen nur auf rechtmäßige, faire und für die betroffene Person nachvollziehbare Weise verarbeitet werden.
Zweckbindung
Daten dürfen nur für den festgelegten Zweck erhoben werden.
Datenminimierung
Es dürfen nur so viele Daten wie nötig erhoben und gespeichert werden.
Richtigkeit
Die Daten müssen richtig und auf dem neusten Stand sein. Unrichtige Daten müssen unverzüglich gelöscht oder berichtigt werden.
Speicherbegrenzung
Die personenbezogenen Daten dürfen nur so lange gespeichert werden wie nötig.
Integrität und Vertraulichkeit
Daten müssen bei ihrer Verarbeitung angemessen geschützt sein, zum Beispiel vor Verlust.
Achtung: Alle, die personenbezogene Daten verarbeiten, müssen nicht nur diese sechs Grundsätze der DSGVO einhalten, sondern auch dessen Einhaltung nachweisen (Rechenschaftspflicht) (Quelle: DSGVO Art. 5)
Datenschutz – kompliziert und rechtsunsicher?
Die DSGVO – das sind nicht nur sechs Grundsätze, sondern auch 99 Artikel auf 78 Seiten.
Und damit nicht genug: Die DSGVO wurde durch das deutsche Bundesdatenschutzgesetz (BDSG) ergänzt und präzisiert (Quelle: Bundesministerium für Justiz).
Daneben gelten Landesdatenschutzgesetze für Verwaltungen und Behörden (Quelle: Virtuelles Datenschutzbüro).
Und auch das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) oder das Patientendaten-Schutzgesetz (PDSG) enthalten Bestimmungen zum Datenschutz (Quelle: Bundesministerium für Justiz und Bundesministerium für Gesundheit).
Kurz: Es gibt nicht nur für Unternehmen ganz schön viel zu beachten.
DSGVO – Das denken deutsche Unternehmen
So wundert es nicht, dass sich viele Unternehmen in Deutschland mit der DSGVO schwertun. Die DSGVO wird vor allem als zu kompliziert und rechtsunsicher wahrgenommen. Das zeigt eine Umfrage von Bitkom aus dem Jahr 2023 (Quelle: bitkom-Pressemitteilung, bitkom-Ergebnispräsentation):
Kompliziert
Rechtsunsicher
Folge: DSGVO-Pannen und Abmahnungen
Unternehmen nehmen also Datenschutzrecht im Allgemeinen und die DSGVO im Speziellen als praxisfern, kompliziert und schwer verständlich war. Das kann Fehler und Pannen in diesem Bereich erhöhen. Rechtsunsicherheiten bei der DSGVO, die auch deutsche Unternehmen bemängeln, führen wiederum zu einem hohen Risiko für Abmahnungen. Wie sich vor allem kleine Unternehmen gegen DSGVO-Verstöße absichern können, zeigen wir Ihnen in den nächsten Kapiteln.
Erste Schritte zu mehr Datenschutz
Es gibt nicht eine Datenschutz-Strategie, die für alle Unternehmen gleichermaßen passt. Denn jedes Unternehmen ist anders und hat spezifische Datenschutzrisiken. Die folgenden Schritte und Fragen können Ihnen aber dabei helfen, Datenschutz in Ihrem Unternehmen grundsätzlich anzustoßen.
1. Ist-Zustand
In einem ersten Schritt geht es darum, zu verstehen, welche Rolle personenbezogene Daten in Ihrem Unternehmen spielen: Wer verarbeitet also wann und warum welche personenbezogenen Daten in Ihrem Unternehmen? Folgende Fragen können Ihnen dabei behilflich sein:
Auch wenn Sie dazu nicht verpflichtet sein sollten: Ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen, hat sich bewährt. Die Stiftung Datenschutz stellt hierzu Muster bereit (Quelle: Stiftung Datenschutz).
2. Schutzlücken und Risiken
Im zweiten Schritt sollten Sie prüfen, wo Schutzlücken bestehen. Sie können die folgenden Fragen zur Orientierung nutzen. Diese stellen allerdings nur eine Auswahl dar. Finden Sie die Schutzlücken, die für Ihr Unternehmen tatsächlich relevant sind.
3. Verbesserung
Nun wissen Sie nicht nur, an welchen Stellen Datenschutz in Ihrem Unternehmen eine Rolle spielt, sondern Sie haben auch schon erste Schutzlücken und Risiken identifiziert. Was müssen Sie nun also tun, um diese Lücken zu schließen und die Risiken zu minimieren?
Erfahren Sie, wie Ihnen eine DSGVO-Rechtsschutzversicherung helfen kann.
4. Verstetigung und Kontrolle
Die Umsetzung von Datenschutz in Ihrem Unternehmen ist keine einmalige Angelegenheit, sondern ein Prozess. Sorgen Sie dafür, dass Sie und Ihre Mitarbeiter dabei stets auf dem gleichen Wissensstand sind. Diese Schritte können Ihnen dabei helfen:
DSGVO – So sichern Sie sich ab
Datenschutzbeauftragter? Nicht für alle eine Lösung
Ein Datenschutzbeauftragter ist für ein Unternehmen in der Regel Pflicht, wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind (Quelle: BDSG § 38 (1)). Datenschutzbeauftragte haben die Aufgabe, durch zum Beispiel Beratung, Sensibilisierung, Schulung aber auch Überwachung die Einhaltung der DSGVO in Unternehmen zu gewährleisten (Quelle: DSGVO Art. 39 (1)). So minimieren sie auch das Risiko für teure Abmahnungen.
Unternehmen ohne Pflicht zum Datenschutzbeauftragten können freiwillig einen beschäftigen. Dies ist allerdings mit Kosten verbunden, etwa für einen externen Datenschutzbeauftragten. Kosten entstehen auch, wenn Sie einen Mitarbeiter zum Thema Datenschutz schulen. Dieser interne Datenschutzbeauftragte kann durch die neue Aufgabe auch seine übliche Tätigkeit meist nicht mehr im vollen Umfang erledigen.
DSGVO als kontinuierliches Risiko
Viele Kleinst- und Kleinunternehmen haben keinen Datenschutzbeauftragten, weil sie nicht dazu verpflichtet sind und es sich vielleicht auch nicht leisten können. Aber auch sie müssen sich an Datenschutzrecht halten. Dabei ist das Datenschutzrecht kompliziert – das Risiko für Datenschutz-Fehler ist damit erhöht. Ein höheres Risiko für Abmahnung besteht auch durch Rechtsunsicherheiten der DSGVO. Das kann für Kleinst- und Kleinunternehmer zum Problem werden.
Und nicht nur das: Erst 20 Prozent der von bitkom befragten deutschen Unternehmen haben die DSGVO vollständig umgesetzt (Quelle: bitkom-Pressemitteilung). Das bedeutet allerdings nicht, dass sie mit dem Thema Datenschutz fertig sind.
Denn die Umsetzung der Datenschutzverordnung ist ein kontinuierlicher Prozess und nie abgeschlossen: Änderungen in Ihrem Unternehmen oder neue Rechtsprechungen machen regelmäßige Überprüfungen und Anpassungen nötig. Zudem kann selbst eine hundertprozentige Umsetzung der DSGVO Pannen nur minimieren – nicht komplett verhindern. Eine DSGVO-Versicherung kann in so einer Situation Sicherheit bieten.
Beachten Sie: Mitarbeiter haften, wenn sie Daten für eigene Zwecke missbrauchen, etwa wenn sie berufliche Kontaktinformationen privat nutzen. Verstößt ein Mitarbeiter fahrlässig oder sogar vorsätzlich gegen die DSGVO, entscheidet die Schwere des Vergehens darüber, ob und in welchem Umfang Sie als Arbeitgeber sich das Bußgeld vom Arbeitnehmer zurückholen können. Dass Mitarbeiter persönlich haftbar sind, bleibt aber die Ausnahme. Im Normalfall haften Sie als Arbeitgeber für DSGVO-Verstöße, denn Sie verantworten in letzter Instanz die Verarbeitung der personenbezogenen Daten (Quelle: DSGVO Art. 4 Nr. 7).
Wie Ihnen eine DSGVO-Versicherung helfen kann
Eine DSGVO-Versicherung schützt Sie, Ihr Unternehmen und Ihre Mitarbeiter vor den finanziellen Folgen eines DSGVO-Rechtsstreits. Eine DSGVO-Versicherung kann je nach Anbieter und Tarif Folgendes absichern:
Wichtig
Eine DSGVO-Versicherung übernimmt in der Regel keine Bußgelder, die dem Versicherten selbst auferlegt wurden. Also selbst, wenn der Arzt, der Café-Betreiber oder das Pflegeheim aus unseren Beispielen eine DSGVO-Versicherung besitzen würden, müssten Sie das Bußgeld dennoch aus eigener Tasche zahlen. Denn der Gesetzgeber möchte mit Bußgeldern den Versicherungsnehmer für den DSGVO-Verstoß bestrafen. Würde die DSGVO-Versicherung sie übernehmen, hätte die versicherte Person keinen Grund mehr, DSGVO-konform zu handeln. Versicherer übernehmen aber Schadenersatz- oder anderen Regressforderung, die Dritten, etwa Kunden, durch Bußgelder entstanden sind.
Lesen Sie unseren ausführlichen Ratgeber zur DSGVO-Versicherung
Abwägen der Risiken – Prüfen der Kosten
Ob eine DSGVO-Versicherung für Sie sinnvoll ist, hängt von dem Risiko und den finanziellen Möglichkeiten Ihres Unternehmens ab. Grundsätzlich geht es um die Frage, welche Risiken die Datenverarbeitung in Ihrem Unternehmen für Person haben könnte (wie Diskriminierung, finanzielle Verluste oder auch Rufschädigung) und wie wahrscheinlich sie sind. Eine detaillierte Anleitung für eine Risikoanalyse finden Sie auf der Seite der deutschen Datenschutzkonferenz (Quelle: DSK). Behalten Sie dabei im Blick, welche Kosten für einen Rechtsstreit Sie ohne Versicherung verkraften könnten und was Sie im Vergleich monatlich für eine DSGVO-Versicherung zahlen würden.
Haben Sie alles gefunden?
Hier finden Sie weitere interessante Inhalte zum Thema:
Schnelle Frage, Kritik oder Feedback?
Wir helfen Ihnen gerne. Professionelle Beratung von echten Menschen. Rufen Sie uns zum Ortstarif an oder schreiben Sie uns per E–Mail.
