Im Mai 2018 wurde von vielen mit Spannung verfolgt, wie die Europäische Union die DSGVO umsetzt. Unternehmen fürchteten etwaige Bußgelder und bemühten sich intensiv, ihre Prozesse neu auszurichten, um die Vorschriften einzuhalten. Doch dann gab es gar nicht allzu viele Auswirkungen, bis jetzt.
Tatsache ist, dass die Verhängung von Geldbußen einer Untersuchung bedarf, die einige Zeit in Anspruch nimmt. Aber, nun ist es soweit. Das bisher größte DSGVO-Bußgeld wurde verhängt – und das ist nur der Anfang.
Wie funktionieren DSGVO-Geldbußen?
Falls Sie mit der Verordnung noch nicht vertraut sind (lesen Sie hier unseren vollständigen Leitfaden zur DSGVO), eine kleine Wissensauffrischung: Unternehmen, die sich nicht an die Regeln halten, können mit hohen Geldbußen belegt werden. Die Höchststrafen können bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist.
In jedem der EU-Mitgliedsstaaten wurden Aufsichtsbehörden benannt, deren Aufgabe es ist, die Einhaltung der DSGVO zu überwachen. Um die Durchsetzung der Verordnung in den Mitgliedsstaaten einheitlich zu gestalten, wurde ein übergreifendes Gremium, der so genannte Europäische Datenschutzrat, eingerichtet. Zusammen dienen sie als offizielle Behörden, die für die Aufsicht über die Praktiken und die Rechtmäßigkeit des Datenhandlings verantwortlich sind; sie beraten und betreuen, nehmen Verletzungsberichte entgegen, untersuchen Ansprüche und handeln bei Bedarf.
Ein weiterer wichtiger Punkt, den man beachten sollte, ist, dass große Geldstrafen zwar Schlagzeilen machen können, aber nicht das einzig mögliche Ergebnis sind, das aus Verstößen resultieren kann.
Die Aufsichtsbehörden prüfen viele Faktoren, wenn sie feststellen, ob ein Unternehmen gegen die DSGVO verstoßen hat und was die daraus resultierenden Folgen sind. So prüfen sie beispielsweise:
- wie schwerwiegend der Verstoß war,
- wie wahrscheinlich es ist, dass eine Datenschutzverletzung Kundendaten offenlegen könnte,
- welche Schritte das Unternehmen unternommen hat, um die Einhaltung der Vorschriften sicherzustellen,
- wie lange der Verstoß in Kraft war, und sogar
- wie gut das Unternehmen bei der Bearbeitung der Forderung mit dem Aufsichtsorgan zusammengearbeitet hat.
Ein weiterer wichtiger Punkt, den man beachten sollte, ist, dass große Geldstrafen zwar Schlagzeilen machen können, aber nicht das einzig mögliche Ergebnis sind, das aus Verstößen resultieren kann. Weitere Maßnahmen, die den Aufsichtsräten gestattet sind, sind Verwarnungen, der Entzug der Zertifizierung oder die Einstellung der Datenverarbeitung durch ein Unternehmen.
Haben die Aufsichtsbehörden bereits Maßnahmen ergriffen?
Ja! Die höchste Geldbuße unter der DSGVO wurde erst in der vergangenen Woche an den Technologiekonzern Google vergeben. Die französische Aufsichtsbehörde CNIL hat Google für schuldig befunden, nicht genügend Informationen über die Einwilligung zu liefern und den Nutzern keine Kontrolle darüber zu geben, wie ihre Daten verwendet werden. Google wurde mit einer Geldstrafe von 50 Millionen Euro (fast 57 Millionen Dollar) belegt. Das wäre für einige Unternehmen eine lähmende Summe; auf der Grundlage ihres Umsatzes im Jahr 2017 hätte Google jedoch mit einer Geldstrafe von mehr als 4 Milliarden Dollar rechnen müssen.
Und nicht nur Frankreich treibt sein Streben nach Einhaltung der Vorschriften voran. Portugal hat diese Woche auch seine erste Geldbuße nach DSGVO erlassen. Das Centro Hospitalar Barreiro Montijo wurde mit einer Geldstrafe von 400.000 Dollar belegt, weil Mitarbeiter, die keine Ärzte waren, Zugang zu vertraulichen Patienteninformationen erhalten hatten. Auch hier ist die Summe ein Bruchteil dessen, was die Geldstrafe hätte sein können.
Für Geschäftsinhaber ist es spätestens jetzt an der Zeit, alle Aspekte Ihrer Datenverarbeitungsprozesse zu berücksichtigen und zu überprüfen.
Geldbußen werden mit einer scheinbar ordnungsgemäßen Untersuchung verhängt.
Wenn Sie jedoch nicht nachweisen können, dass Sie auf die Einhaltung der DSGVO-Richtlinien hinarbeiten, könnten Sie sicherlich stärker betroffen sein. Die Mechanismen sind vorhanden und werden jetzt auch aktiv eingesetzt.
Für Geschäftsinhaber ist es spätestens jetzt an der Zeit, alle Aspekte Ihrer Datenverarbeitungsprozesse zu berücksichtigen und zu überprüfen. Wenn Sie sich nicht sicher sind, was zu tun ist, holen Sie sich Hilfe. Wenn Sie bei irgendetwas Bedenken haben, gehen Sie dem nach. Stellen Sie sicher, dass Sie nicht zum nächsten Google France werden; schließlich will niemand 50 Millionen Euro zahlen, wenn es vermieden werden kann.
Lesen Sie mehr darüber, wie OTRS Ihr Partner sein kann, um die Einhaltung der DSGVO-Richtlinien zu erleichtern.
Kategorien
- Allgemein (81)
- Corporate Security (26)
- Customer Service (32)
- Digitale Transformation (54)
- ISMS (1)
- ITSM (31)
- Leadership (22)
- Mit OTRS arbeiten (14)
- OTRS im Einsatz (8)
- Über die OTRS Group (21)
- Unternehmenskultur entwickeln (13)
