Die ersten Bußgelder bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) sind mittlerweile öffentlichkeitswirksam verhängt worden. So muss beispielsweise der Internetdienstanbieter 1&1 eine Strafe in Höhe von 9,6 Millionen Euro zahlen. Das Strafmaß bewegt sich damit im Rahmen des nach Artikel 84 Abs. 4 & 5 geregelten Bußgeldkataloges. Höchststrafen können sich auf bis zu 20 Millionen beziehungsweise vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens belaufen.
Sanktionen für die Vergehen von kleinen und mittleren Unternehmen (KMU) dürften dementsprechend geringer ausfallen. Allerdings liegt die Feststellung der Bußgeldhöhe im Ermessen der jeweiligen lokalen Behörde. „Juristen und Verbände wie die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) bemängeln die geringe Transparenz in der Kommunikation der Aufsichtsbehörden, weil unter anderem nicht kommuniziert wird, welche Aufsichtsbehörden wofür genau und in welcher Höhe Bußgelder aufgrund von Datenschutzverstößen erlassen haben“, erklärt Prof. Dr. Simon A. Fischer, Rechtsanwalt und Spezialist für Arbeits- und Wirtschaftsrecht, im Interview mit dub-magazin.de.
Haftbar sind in der Regel die Unternehmen
Derzeit würden Vergehen auch durch Beschwerden aus der Bevölkerung an die Behörden herangetragen, so der Experte. Zwar sei der Grundgedanke, dass die Behörden auf eigene Initiative ermitteln und Stichproben in den Unternehmen vornehmen. Aktuell sei das aufgrund von der Vielzahl an externen Meldungen eher selten der Fall.
Bei Verstößen gegen die DSGVO haftet in erster Linie immer derjenige, der über die Verarbeitung von Daten entscheidet. Das ist im Regelfall das Unternehmen beziehungsweise der Arbeitgeber. Prof. Fischer: „Die Verarbeitung von personenbezogenen Daten ist grundsätzlich erst einmal verboten. Allerdings regelt Art. 6 der DSGVO, unter welchen Voraussetzungen es doch erlaubt ist. Im Rahmen eines Vertragsverhältnisses ist das Verarbeiten personenbezogener Daten beispielsweise erlaubt, wenn dies zur Vertragserfüllung notwendig ist.“ Ein griffiges Beispiel ist ein Versandhändler, der die Kundenadresse benötigt, um die gewünschte Sendung ausliefern lassen zu können. Gleiches gilt für personenbezogene Mitarbeiterdaten wie Name, Adresse oder Sozialversicherungsnummer. Der Arbeitnehmer möchte schließlich sein Gehalt richtig abgerechnet und auf sein Konto überwiesen wissen. Rechtsgrundlage ist hier dann die Spezialnorm Paragraph 26 Bundesdatenschutzgesetz (BDSG).
Die fünf wichtigsten Pflichten für Arbeitgeber
Daraus ergeben sich einige Pflichten für Arbeitgeber für den Umgang mit Daten:
- Wie beschrieben dürfen nur die Daten der Mitarbeiter zweckgebunden erhoben werden, die wirklich benötigt werden. Dies ist auch durch das BDSG nach Paragraph 26 Abs. 6 geregelt. Konkret dürfen zum Beispiel Bewerberdaten nach Besetzung einer Stelle nicht weiter vorgehalten werden.
- Es muss sichergestellt sein, dass personenbezogenen Daten ganz allgemein technisch und organisatorisch sicher gespeichert werden können.
- Arbeitgeber sind verpflichtet, die Mitarbeiter über ihre Rechte hinsichtlich der Speicherung und Verarbeitung ihrer Daten zu belehren. „Dies kann zum Beispiel über eine dem Arbeitsvertrag beigefügte Datenschutzbelehrung in einfacher Sprache erfolgen“, so Fischer.
- Der Leitung eines Unternehmens muss klar sein, dass der Arbeitgeber verpflichtet ist, die Mitarbeiter im datenschutzrechtlich-konformen Umgang mit Daten zu schulen. Es ist nicht die Aufgabe der Arbeitnehmer, sich selbstständig das Wissen darüber anzueignen.
- Die Mitarbeiter müssen im Umgang mit zu verarbeitenden Daten auf Vertraulichkeit verpflichtet werden. Dies kann ebenfalls schriftlich mit dem Arbeitsvertrag geregelt werden. Haben Unternehmen einen Betriebsrat, besteht auch die Möglichkeit, dass die beschriebenen Vorgänge durch diesen in einer Betriebsvereinbarung geregelt werden.
Sicherheitsvorkehrungen gegen Datenmissbrauch
Die beschriebenen Punkte sollten nicht als lapidar eingestuft werden. Mitarbeiter müssen wissen, wie die DSGVO umgesetzt werden muss. Allerdings gibt es noch keine genauen Vorgaben für Mitarbeiterschulungen. Arbeitgeber müssen dennoch mit empfindlichen Strafen rechnen, falls sich herausstellen sollte, dass hinsichtlich des Datenschutzes keine ausreichenden Sicherheitsvorkehrungen getroffen wurden. Und haftbar sei das Unternehmen auch, wenn die Arbeitnehmer mit den Daten Missbrauch betrieben, erklärt Prof. Fischer.
Laut der alten, durch das BDSG geregelten Rechtslage mussten Mitarbeiter zumindest immer auf das Datengeheimnis verpflichtet werden. Doch auch unter dieser Vorgabe galt schon, dass Daten sicher geschützt werden müssen.