Christian Köhler

DSGVO: „Kleine Unternehmen wiegen sich in falscher Sicherheit“

Ende November 2019 wurde eine neue Regelung im Bundesdatenschutzgesetz (BDSG) wirksam: Unternehmen, die regelmäßig mit personenbezogenen Daten arbeiten, müssen erst ab 20 Mitarbeitern einen Datenschutzbeauftragten ernennen, nicht ab 10. Viele Betriebe ziehen daraus allerdings die falschen Schlüsse. Außerdem müssen sie damit rechnen, künftig häufiger kontrolliert zu werden.

Seit Ende November 2019 müssen Unternehmen, die mit personenbezogenen Daten arbeiten, erst ab einer Anzahl von 20 Mitarbeitern einen Datenschutzbeauftragten bestimmen. Bisher waren es 10 Mitarbeiter. Das bestimmt eine neue Regelung im Bundesdatenschutzgesetz (BDSG). Die Idee hinter dieser Neuregelung war, kleine Unternehmen zu entlasten. Das Problem jedoch: Viele denken, damit werden die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und die mit ihr verbundenen Anforderungen für sie ausgehebelt – doch dem ist nicht so. Es bedeutet lediglich, dass kleine Unternehmen alle Aufgaben eines Datenschutzbeauftragten selbst lösen dürfen. Im Klartext: Der Geschäftsführer muss sich um die rechtskonforme Umsetzung kümmern. Genau deswegen sind viele Datenschutzexperten über diese Anpassung unglücklich. Denn es wird suggeriert: „Ab jetzt wird alles einfacher für euch.“ Und kleine Unternehmen wiegen sich in einer falschen Sicherheit.

DSGVO: Am Ende haftet immer der Geschäftsführer

Die Praxis sieht dann oft so aus, dass der Geschäftsführer einen Mitarbeiter mit der Umsetzung der DSGVO betraut. Doch damit löst man meist einen inneren Konflikt bei den Betroffenen aus. Schließlich haben diese in der Regel genug Arbeit, sodass sie die zusätzliche Aufgabe nicht unbedingt mit der nötigen Priorität behandeln. Und Geschäftsführer dürfen nicht vergessen: Am Ende haften sie für jeden Verstoß gegen die DSGVO selbst. Die Lösung: die Bestellung eines Externen mit definierter Fachkunde. Die finanziellen Aufwände hierfür sind auch für kleine Unternehmen überschaubar.

Millionenstrafe für die Deutsche Wohnen SE

Denn bei den Großen sieht man, welche Summen hier fällig werden können: 200 Mio. Euro bei British Airways, 50 Mio. Euro bei Google. Beide Unternehmen haben Einspruch eingelegt. In Deutschland wurde unlängst die Deutsche Wohnen SE mit 14,5 Mio. Euro Strafe belangt. Klar sind das Strafen, die auf einen mittelständischen Unternehmer nicht zukommen werden. Aber Experten gehen davon aus, dass auch hier schon Geldbußen im sechsstelligen Bereich ausgesprochen wurden.  Genaue Summen sind leider nicht bekannt, da die Aufsichtsbehörden einer Verschwiegenheitspflicht unterliegen.

Vorsicht vor der „Vogel-Strauß-Taktik“

Doch damit ist genau diese Umsetzung gefährdet. Die umfassenden Anforderungen in einem Tagesseminar zu lernen und „nebenbei“ das operative Geschäft weiter zu führen ist nur schwer möglich. Das unternehmerische Risiko steigt – besonders wenn die „Vogel-Strauß-Taktik“ angewendet wird und kleine Unternehmen aufgrund ihrer Größe hoffen, unter dem Radar der Kontrollbehörden zu fliegen.

Denn: Für 2020 hat die Datenschutzkonferenz neue Prüfstandards festgezurrt. Es ist zwar alles noch relativ frisch und es gibt noch keine praktischen Fälle dazu. Aber feststeht: Das Thema Überprüfungen von KMU soll laut Aussagen der Aufsichtsbehörden in den nächsten Jahren stärker forciert werden. Ich rechne damit, dass es in den nächsten ein bis zwei Jahren gerade bei KMU deutlich häufiger Überprüfungen geben wird.

Es lauern viele teure Stolperfallen

Diese laufen etwa nach folgendem Schema ab: Die Unternehmen bekommen einen Fragenkatalog zugestellt. Auf diesen muss innerhalb einer bestimmten Frist reagiert werden. Daran müssen verschiedene Nachweise, etwa Beispiele von Verarbeitungsverträgen mit Dienstleistern, angefügt werden. Hier kann auch eine Stolperfalle lauern, die am Ende richtig teuer werden kann. Spätestens an diesem Punkt ist es ratsam, sich einen Profi zur Seite zu holen.

Weitere Artikel zum Gleichen Thema
Christian Köhler

DSGVO: „Kleine Unternehmen wiegen sich in falscher Sicherheit“

Ende November 2019 wurde eine neue Regelung im Bundesdatenschutzgesetz (BDSG) wirksam: Unternehmen, die regelmäßig mit personenbezogenen Daten arbeiten, müssen erst ab 20 Mitarbeitern einen Datenschutzbeauftragten ernennen, nicht ab 10. Viele Betriebe ziehen daraus allerdings die falschen Schlüsse. Außerdem müssen sie damit rechnen, künftig häufiger kontrolliert zu werden.

Seit Ende November 2019 müssen Unternehmen, die mit personenbezogenen Daten arbeiten, erst ab einer Anzahl von 20 Mitarbeitern einen Datenschutzbeauftragten bestimmen. Bisher waren es 10 Mitarbeiter. Das bestimmt eine neue Regelung im Bundesdatenschutzgesetz (BDSG). Die Idee hinter dieser Neuregelung war, kleine Unternehmen zu entlasten. Das Problem jedoch: Viele denken, damit werden die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) und die mit ihr verbundenen Anforderungen für sie ausgehebelt – doch dem ist nicht so. Es bedeutet lediglich, dass kleine Unternehmen alle Aufgaben eines Datenschutzbeauftragten selbst lösen dürfen. Im Klartext: Der Geschäftsführer muss sich um die rechtskonforme Umsetzung kümmern. Genau deswegen sind viele Datenschutzexperten über diese Anpassung unglücklich. Denn es wird suggeriert: „Ab jetzt wird alles einfacher für euch.“ Und kleine Unternehmen wiegen sich in einer falschen Sicherheit.

DSGVO: Am Ende haftet immer der Geschäftsführer

Die Praxis sieht dann oft so aus, dass der Geschäftsführer einen Mitarbeiter mit der Umsetzung der DSGVO betraut. Doch damit löst man meist einen inneren Konflikt bei den Betroffenen aus. Schließlich haben diese in der Regel genug Arbeit, sodass sie die zusätzliche Aufgabe nicht unbedingt mit der nötigen Priorität behandeln. Und Geschäftsführer dürfen nicht vergessen: Am Ende haften sie für jeden Verstoß gegen die DSGVO selbst. Die Lösung: die Bestellung eines Externen mit definierter Fachkunde. Die finanziellen Aufwände hierfür sind auch für kleine Unternehmen überschaubar.

Millionenstrafe für die Deutsche Wohnen SE

Denn bei den Großen sieht man, welche Summen hier fällig werden können: 200 Mio. Euro bei British Airways, 50 Mio. Euro bei Google. Beide Unternehmen haben Einspruch eingelegt. In Deutschland wurde unlängst die Deutsche Wohnen SE mit 14,5 Mio. Euro Strafe belangt. Klar sind das Strafen, die auf einen mittelständischen Unternehmer nicht zukommen werden. Aber Experten gehen davon aus, dass auch hier schon Geldbußen im sechsstelligen Bereich ausgesprochen wurden.  Genaue Summen sind leider nicht bekannt, da die Aufsichtsbehörden einer Verschwiegenheitspflicht unterliegen.

Vorsicht vor der „Vogel-Strauß-Taktik“

Doch damit ist genau diese Umsetzung gefährdet. Die umfassenden Anforderungen in einem Tagesseminar zu lernen und „nebenbei“ das operative Geschäft weiter zu führen ist nur schwer möglich. Das unternehmerische Risiko steigt – besonders wenn die „Vogel-Strauß-Taktik“ angewendet wird und kleine Unternehmen aufgrund ihrer Größe hoffen, unter dem Radar der Kontrollbehörden zu fliegen.

Denn: Für 2020 hat die Datenschutzkonferenz neue Prüfstandards festgezurrt. Es ist zwar alles noch relativ frisch und es gibt noch keine praktischen Fälle dazu. Aber feststeht: Das Thema Überprüfungen von KMU soll laut Aussagen der Aufsichtsbehörden in den nächsten Jahren stärker forciert werden. Ich rechne damit, dass es in den nächsten ein bis zwei Jahren gerade bei KMU deutlich häufiger Überprüfungen geben wird.

Es lauern viele teure Stolperfallen

Diese laufen etwa nach folgendem Schema ab: Die Unternehmen bekommen einen Fragenkatalog zugestellt. Auf diesen muss innerhalb einer bestimmten Frist reagiert werden. Daran müssen verschiedene Nachweise, etwa Beispiele von Verarbeitungsverträgen mit Dienstleistern, angefügt werden. Hier kann auch eine Stolperfalle lauern, die am Ende richtig teuer werden kann. Spätestens an diesem Punkt ist es ratsam, sich einen Profi zur Seite zu holen.

Weitere Artikel zum Gleichen Thema
nach oben