DSGVO: Strafen, Bußgelder und wie ich sie vermeide

Seit Beginn der Zeitrechnung hat die Menschheit Angst vor Bußgeldern durch die DSGVO. Na gut, eher seit dem 25.05.2018. DAS Datum, an dem DIE DSGVO bei allen angekommen ist. Die Meinung über dieses Gesetz war eindeutig: Was soll der Unsinn? Da sucht wieder jemand eine Möglichkeit, Umsatz zu generieren. Neben dem bösen Europaparlament und den deutschen Behörden war die Angst vor einem Berufszweig besonders groß: Abmahnanwälte (das ist übrigens kein zertifizierter Ausbildungsberuf!).

Jetzt sind wir fast 2 Jahre weiter. Die ernüchternde Nachricht vorweg: Ja es gibt Bußgelder. Ja, es gibt mittlerweile aktive Abmahnanwälte und ja, es wurden Strafen von der Privatperson bis hin zum Weltkonzern ausgesprochen.

Muss uns das Angst machen? Ganz klar NEIN!

In den nächsten Zeilen möchte ich drei Bußgelder vorstellen, die für mich zu den Highlights der letzten 2 Jahre zählen. Danach gebe ich einen Überblick, wie ich mit relativ wenig Aufwand (nach Arbeitsstunden bemessen) vor Bußgeldern und Strafen schützen kann.

Drei wirklich beachtenswerte Bußgelder

Erstes Bußgeld: DSGVO und Liebe

Selbst die Liebe kann beim Datenschutz zu Bußgeldern führen. Ich rede jetzt hier aber nicht von besonderen Kategorien personenbezogener Daten nach Artikel 9 DSGVO wie zum Beispiel die Sexualität. Hier geht es um eine im Prinzip gute Idee. Ein Mann verguckt sich auf den ersten Blick in eine Frau. Diese fragt er nicht nach ihrer Handynummer. Im Nachhinein nutzt er dafür seinen Computer. Gut wäre es gewesen, über diesen Computer die Frau zum Beispiel anzuschreiben per Email oder Messanger. Nicht so gut war es, dass der Mann ein Polizist ist und die Frau verwickelt in einen Verkehrsunfall. Der Polizist nutzt also den Polizeicomputer, um die aufgenommene Handynummer zu bekommen. Das Ende der Geschichte: Der Polizist bekam kein Date aber dafür eine Strafe von 1.400 EUR. Übrigens: ganz 'oldschool' per Brief.

Zweites Bußgeld: Meinungsfreiheit als Hobby

In Sachsen-Anhalt gibt einen Mann, der offensichtlich E-Mails-Schreiben zu seinen Hobbys zählt. Am liebsten an Unternehmer, Politiker, Behörden etc. In diesen Emails beschreibt er seinen Unmut. Auf unschöne und nicht akzeptable Weise aber das stört die DSGVO ja nicht. Was die DSGVO stört ist der Unterschied zwischen CC und BCC. Da gibt es also jemanden, der bis zu 200 Emails in seinen CC-Verteiler nimmt und die Empfänger zu belästigen und zu beleidigen. Der Verfasser beruft sich aufgrund seines Inhalts immer wieder auf die Meinungsfreiheit. Schön für ihn. Unschön für ihn ist die Tatsache, dass er bei insgesamt 1.600 gespeicherten Kontakten keine offensichtlichen Emailverteiler verschicken darf. Der Behörde ging dann irgendwann aufgrund der DSGVO gegen diesen Troll vor. Sie schickte ihm, ganz ohne Kopien an andere Menschen, ein Bußgeld von rund 2.500 EUR.

Drittes Bußgeld: Wie viel Geld passt auf eine Bußgeldbescheid

Hier lautet wahrscheinlich, kommt auf die Schriftgröße drauf an. Bleiben wir (vorerst) in der EU. 2019 zählten die Briten noch dazu. Die Seifenoper Brexit könnte Mitte 2019 dazu geführt haben, das britische Unternehmen sich nicht mehr so sehr auf andere Dinge konzentriert haben. Zum Beispiel um die IT-Sicherheit. Im Artikel 32 DSGVO geht es um die Sicherheit der Verarbeitung. Jetzt sollte man den Sicherheitsstandard umso höher setzen, desto mehr und sensible Daten vorhanden sind. Hat die Fluggesellschaft British Airways eher nicht gemacht. Durch einen Cyber-Angriff würden rund 500.000 Kundendaten gehackt bzw. gesammelt, bevor das jemandem aufgefallen ist. Daten wie Login, Reisebuchungen und Zahlungsdaten waren unter anderem betroffen. Das fand die Aufsichtsbehörde jetzt eher nicht so lustig. Bußgeldschreiben in Schriftgröße 9 Arial aufgesetzt und 203.746.290,00 Britische Pfund (rund 183.390.000,00 EUR) auf den Deckel geschrieben.

Bewegen wir uns kurz aus der EU heraus und gucken über den Teich. In den USA wurden aufgrund Datenschutzverletzungen in 2019 folgende Bußgelder verhängt:

  • Equifax Inc.: 508.130.081,00 EUR
  • Facebook Inc. 4.536.999.350,00 EUR

Was hier aussieht wie eine IBAN-Nummer ist tatsächlich der Geldbetrag!

Wie schütze ich mich vor Bußgeldern

Eines ist ganz wichtig, um sich vor Bußgeldern zu schützen. Hört auf, die DSGVO zu ignorieren! Man muss sie nicht mögen, gut finden oder verstehen. Man muss sie aber in sinnvollen Teilen umsetzen. Das Schlimmste was passieren kann ist folgende Antwort auf Nachfrage der Behörde:

„Äh Datenschutz, ne da haben wir jetzt noch gar nichts gemacht!“

Und um das einfach zu ändern gibt es hier folgende Aufgaben, die zu erledigen sind. Auch wenn die nicht zu 100% korrekt oder fertig sind, so findet allein mit der Bearbeitung eine Sensibilisierung statt. Natürlich ist das nur ein kleiner Teil, den ich hier vorstelle. Es ist aber ein Anfang und anfangen ist nach 2 Jahren zwingend erforderlich:

Erstellt endlich dieses mystische Verzeichnis von Verarbeitungstätigkeiten

Nehmt euch einen Tag Zeit, kocht leckeren Kaffee und besorgt ein paar Plätzchen. Dann überlegt ihr euch, bei welchem Arbeitsvorgang personenbezogene Daten verarbeitet werden. Dann fasst ihr alle Vorgänge innerhalb eines Arbeitsprozesse zusammen und gibt dem Kinde jeweils einen Namen. Klassiker sind zum Beispiel: Bewerbermanagement, Buchhaltung oder auch Vertrieb. Diese Prozesse beschreibt ihr so genau wie möglich. Kleiner Tipp: Einfach bei google „Muster Verzeichnis von Verarbeitungstätigkeiten“ eingeben und ausfüllen. Fertig. Zur Not müssen stundenweise Abteilungsleiter oder andere Führungskräfte befragt werden zu ihren Aufgabengebieten. Die Kontrolle und Aktualisierung kann dann in größeren Abständen erfolgen.

Einplanen: 8 Arbeitsstunden

Kontrolliert die Auftragsverarbeitungsverträge

Mein persönliches Unwort des Jahres 2018. Kurz AVV. Viel besser. Überlegt euch, welcher Dienstleister von euch personenbezogene Daten bekommt. Also wo gebt ihr personenbezogene Daten weiter, die nicht mehr nur von euch verarbeitet werden. In den meisten Fällen benötigt ihr für diesen Dienstleister einen AVV. Auch hier hilft Google. Einfach ein Muster runterladen, anpassen und ab zum Dienstleister. Wochenlang hinterhertelefonieren und irgendwann unterschrieben zurückbekommen! Fertig! Das bayrische Landesamt für Datenschutzaufsicht hat auf seiner Internetseite hierzu hilfreiche Handreichungen. https://www.lda.bayern.de/de/index.html

Einplanen: 6 Arbeitsstunden

Jeder sollte einen Tom haben oder wenigstens TOM

Die TOM beinhalten eure Skills der Defense Power. Also, wie schwer ist es, eure Daten zu bekommen. Außerdem wird hier noch abgefragt, was denn für diesen Schutz aktiv getan wird. Auch hier gibt es, ihr ahnt es bereits, bei Google genug Musterbeispiele zum ausfüllen.

Einplanen: 6 Arbeitsstunden

Den nigerianischen Prinzen, der euch Goldunzen schenkt, gibt es nicht

Jede Datenschutzfestung ist nur so gut, wie die Wachen vorm Tor. Wenn die einer Horde Datendieben die Zugbrücke aus Höflichkeit, Neugier oder Unwissen freiwillig und umgehend herunterlassen, bringt der tiefste Graben nichts. Es müssen also die Mitarbeiter und vor allem Führungskräfte zum Thema DSGVO und Datenschutz geschult werden. Am Besten nicht einfach durch vorlesen von Artikeln. Viel effektiver ist die Besprechung am Beispiel des eigenen Unternehmens und den Arbeitsprozessen. So kann vermieden werden, dass die Email vom nigerianischen Prinzen geöffnet oder in eine 1kb große Telefonrechnung Kreditkartendaten eingegeben werden.

Einplanen: 4 Arbeitsstunden

Aufstehen und schreiend im Kreis laufen ist keine Maßnahme

Richtlinien und Maßnahmen zu erstellen für Mitarbeiter ist wichtiger denn je. Die Mitarbeiter müssen wissen, was sie zu tun haben. Besonders bei Themen, die nicht ihrer eigentlichen Stellenausschreibung entsprechen. Wenn Anfragen zum Thema Datenschutz eingehen oder offensichtliche Datenschutzverstöße begangen werden, müssen diese umgehend bearbeitet werden. Daher empfehle ich ein Datenschutzkonzept auszuarbeiten. Im Zuge dieses Konzepts sollten Mitarbeiteranweisungen und Richtlinien erstellt und ausgegeben werden.

Einplanen 8 Arbeitsstunden

Dieses Internet wird sich niemals durchsetzen

Eure Homepage ist der größte Angriffspunkt für Nörgler, Enttäuschte und Abmahnanwälte. Neben den Standards wie dem SSL/TLS Zertifikat und der Datenschutzerklärung nach DSGVO sollte auch den Themen Cookies und Banner besondere Aufmerksamkeit geschenkt werden. Wenn hier die Erklärungen oder Buttons sowie Voreinstellungen mangelhaft sind, können tatsächlich Abmahnungen von findigen Geschäftsleuten in euren Briefkasten flattern. Das Thema Cookies, DSGVO und ePrivacy Verordnung wird 2020 noch einmal richtig hoch kochen. Hier lohnt es sich die aktuelle Entwicklung zu beobachten. Im Moment befinden wir uns in einer Suppe aus Recht, DSGVO, gelebten Recht, Richtersprüchen und sehr guten bis unzureichenden Umsetzungen.

Einplanen 4 Stunden

Zusammenfassend ist zu sagen, kümmert euch um:

1. Das Verzeichnis von Verarbeitungstätigkeiten

2. Die Auftragsverarbeitungsverträge

3. Eure technischen und organisatorischen Maßnahmen

4. Eure Mitarbeitersensibilisierungen

5. Richtlinien und Anweisungen für eure Mitarbeiter

6. Eure Homepage und die aktuelle Entwicklung

Aller Anfang ist… viel einfacher als die Vorstellung dazu im Kopf

Das ist nun meine Empfehlung an euch, damit die fünf Buchstaben D S G V und O nicht immer Brechreiz und Kopfschmerzen bei euch verursachen. Setzt euch in einer ruhigen Minute hin und plant 36 Stunden für die DSGVO ein in den nächsten Wochen. Die Zeitangaben sind zum einen Erfahrungswerte, die ich durch interne Datenschützer bekommen habe und zum anderen natürlich eigene Erfahrungswerte. Eventuell ist die Umsetzung dieser Punkte bei euch auch wesentlich schneller vorbei. Das kann man aber nur sagen, wenn man auch anfängt. Denkt immer daran: Grenzen entstehen im Kopf und vielleicht gewinnt ihr die DSGVO irgendwann genau so lieb wie ich. Bitte nutzt dann aber keinen Polizeicomputer, um ihre Handynummer heraus zu bekommen.

Euer Steffen

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir Cookies verwenden.