Die EU-DSGVO und Haftungsfragen
Verschärfte Haftung durch die Datenschutz-Grundverordnung
- "Wir warten ab, was passiert!"
- Welche Strafen drohen?
- Sanktionierung immaterielle Schäden
- Wer haftet?
"Wir warten ab, was passiert!". Nach diesem Motto verfährt offenkundig ein beträchtlicher Teil der Unternehmen in Deutschland, wenn es um die Umsetzung der EU-Datenschutz-Grundverordnung (EU-DSGVO) geht. Nach Praxiserfahrungen von Bechtle setzen etliche Firmen auf eine Art "Risikostrategie", wenn es um die neuen Datenschutzregeln geht. Sie warten bewusst ab, was nach dem 25. Mai 2018 passiert. An diesem Tag tritt die neue Datenschutzregelung in den Mitgliedsländern der Europäischen Union in Kraft. Die Mehrzahl (55 Prozent) der Unternehmen in der Bundesrepublik wird laut einer Studie des Digitalverbandes Bitkom die Vorgaben der DSGVO bis zum Stichtag bestenfalls teilweise umsetzen können.
Dieses Ergebnis gibt zu denken. Denn der Bundestag hat am 24. April 2017 das "Datenschutz-Anpassungsgesetz EU" (DSanpUG) verabschiedet. Es setzt die Vorgaben der DSGVO in deutsches Recht um - das "Bundesdatenschutzgesetz (neu)", kurz BDSG (neu). Das Gesetz sieht eine Verschärfung der Haftungsregelungen sowie höhere Strafen vor, wenn Unternehmen und öffentliche Einrichtung Datenschutz-Vorgaben ignorieren.
Es kann teuer werden
Zuerst zu den möglichen Folgen: Ein Unterschied zwischen dem alten Bundesdatenschutzgesetz und der DSGVO beziehungsweise dem BDSG (neu) ist die Höhe der Strafen. Das BDSG sah bei Verstößen Geldbußen von bis zu 50.000 Euro vor, in schweren Fällen von 300.000 Euro. Die Datenschutz-Grundverordnung zieht in dieser Beziehung die Schrauben an. So können Unternehmen gemäß Artikel 83 Absatz 5 der DSGVO zu Strafzahlungen in Höhe von bis 20 Millionen Euro verurteilt werden. Bei schweren Verstößen sind bis zu vier Prozent des weltweiten Jahresumsatzes vorgesehen.
Das BDSG (neu) geht noch einen Schritt weiter. Es sieht in § 42 bei schwerwiegenden Verstößen sogar Haftstrafen zwischen zwei und drei Jahren vor. Allerdings gilt dies nur dann, wenn ein Mitarbeiter sich personenbezogene Daten verschafft, um sie zu verkaufen oder um "einen anderen zu schädigen". Dieser Passus bezieht sich somit auf Fälle, in denen der Täter ein gehöriges Maß an krimineller Energie aufbringt.
Auftragsdatenverarbeitung: Alle im selben Boot
Eine Regelung der DSGVO betrifft die Verantwortung für die ordnungsgemäße Verarbeitung personenbezogener Daten. Das gilt auch für die Bearbeitung durch externe Dienstleister. Das kann eine Steuerberatungskanzlei sein, aber auch ein Anbieter von Cloud-Services, bei dem ein Unternehmen Daten von Kunden und Mitarbeitern speichert und bearbeitet.
Wer solche Informationen zur Bearbeitung weitergibt, im Rahmen der so genannten Auftragsdatenverarbeitung, ist nach der DSGVO "Verantwortlicher". Das heißt, er muss zusammen mit dem Auftragnehmer sicherstellen, dass beispielsweise Kundendaten nicht in falsche Hände geraten. Passiert dies trotzdem, kann ein betroffener Kunde von beiden Unternehmen Schadenersatz verlangen - entweder vom Auftraggeber oder dem Dienstleister.
Bestehen die Ansprüche zu Recht, muss eines der beiden Unternehmen dem Kunden Schadenersatz leisten. In der Regel wird dies das Unternehmen sein, das für das Datenleck verantwortlich ist. Es ist absehbar, dass in vielen Fällen Gerichte entscheiden müssen, wer denn die Hauptschuld an einem Daten-GAU trägt. Dominik Bleckmann, Justiziar der Datenschutz Nord Gruppe, geht davon aus, die Gerichte insbesondere die Haftungsfrage von IT-Dienstleistern "sehr weit auslegen" werden. Sie müssen somit in besonderen Maße dafür Sorge tragen, dass sensible Daten von Kunden vor Missbrauch und Offenlegung durch technische Pannen geschützt sind.
Sorgfalt bei der Auswahl des IT-Dienstleisters
Ein Unternehmen, das einen IT-Dienstleister mit der Verarbeitung personenbezogener Daten beauftragen möchte, sollte deshalb besonders sorgfältig prüfen, ob dieser die Vorgaben der DSGVO einhält. Davon ist auszugehen, wenn ein Anbieter beispielsweise Zertifizierungen vorweisen kann, etwa gemäß der ISO 27001, ISO 27002 und ISO 1802.
Bei Cloud-Service-Providern wird es allerdings "heikel". Denn die EU-DSGVO erlaubt nur die Verarbeitung von personenbezogenen Daten von EU-Bürgern in ausländischen Rechenzentren, wenn diese einen vergleichbaren Datenschutz bieten wie in der EU. Das ist beispielsweise im Fall von Cloud-Anbietern aus den USA umstritten.
Hinzu kommt, dass Irland dem Europäischen Gerichtshof (EuGH) die Standardvertrags-Klauseln zur Prüfung vorgelegt hat. Sie bilden die rechtliche Grundlage für die Übermittlung von personenbezogenen Daten aus der EU in die USA. Sollte der EuGH diese Klauseln als unzulässig einstufen, würde dies viele Unternehmen vor ein Problem stellen. Sie könnten dann beispielweise keine personenbezogenen Daten in ihre Niederlassungen in den USA übermitteln, aber auch keine Cloud-Dienste nutzen, bei denen solche Informationen in Rechenzentren außerhalb der EU gespeichert werden. Allerdings dürfte es noch etliche Monate dauern, bei der EuGH eine Stellungnahme veröffentlicht.
Auch immaterielle Schäden werden sanktioniert
Eine Neuerung der DSVGO betrifft die Art der Schäden, für die Unternehmen geradezustehen haben. In Artikel 83, Absatz 1 der DSGVO heißt es: "Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter." Neu ist, dass nun auch immaterielle Schäden einen Schadenersatz nach sich ziehen können. Dies war bislang im alten BDSG nicht vorgesehen.
Doch was ist ein "immaterieller Schaden"? Laut der DSGVO kann ein solcher Schaden beispielsweise dann eintreten, wenn die Verarbeitung von Daten zu einer Diskriminierung oder Rufschädigung führt. Auch wenn personenbezogene Daten an die Öffentlichkeit geraten, aus denen die ethnische Herkunft, politische Meinungen oder religiöse oder weltanschauliche Überzeugungen hervorgeht, kann dies einen immateriellen Schaden nach sich ziehen. Die Datenschutz-Grundverordnung weitet somit die Schadenersatzpflicht aus.
Geschäftsführer und Datenschutzbeauftragte haften ebenfalls
Eine weitere Änderung in Bezug auf die Haftung bringen die DSGVO beziehungsweise das neue Bundesdatenschutzgesetz für Führungskräfte, etwa Geschäftsführer und IT-Leiter. Sie können nun persönlich - als "natürliche Personen" - zur Rechenschaft gezogen werden, wenn es zu Verletzungen der Datenschutzbestimmungen kommt. Nach Angaben von Dr. Katharina Küchler, Rechtsanwältin im Geschäftsbereich Professional Service des eco - Verbandes der Internet-Wirtschaft, kann ein Verstoß sogar strafrechtliche Konsequenzen haben. Denn laut Artikel 82 Absatz 1 der DSGVO hat jede Person, der ein materieller oder immaterieller Schaden entstanden ist, einen direkten Anspruch an die dafür Verantwortlichen.
Daraus wiederum leiten sich möglicherweise Schadenersatzansprüche eines Unternehmens an eigenen Führungskräfte ab. Muss eine Firma beispielsweise wegen eines Verstoßes gegen die DSGVO einem Betroffenen 50.000 Euro Strafe zahlen, kann es den Geschäftsführer in die Pflicht nehmen. Dies natürlich nur dann, wenn dieser grob fahrlässig gegen die Datenschutz-Bestimmungen verstoßen hat oder rechtswidrige Anordnungen getroffen hat.
Umstritten: Die Haftung von Datenschutzbeauftragten
Keine einheitliche Linie ist bezüglich der Haftung von Datenschutzbeauftragten (DSB) auszumachen. Ein Teil der Rechtsexperten sieht, ebenso wie bei Geschäftsführern und Führungskräften, eine persönliche Haftung bei DSB gegeben, ein anderer Teil nicht.
Tatsache ist, dass die Datenschutz-Grundverordnung die Rechte, aber auch Pflichten des Datenschutzbeauftragten erweitert. So muss er gemäß Artikel 39 der DSGVO unter anderem die Einhaltung der DSGVO und nationalen Sonderregelungen überwachen. Außerdem ist er für die "Beratung … im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35" zuständig, so Artikel 39. Diese Folgenabschätzung ist eine Art Vorabkontrolle wenn bei der Verarbeitung für die Betroffenen voraussichtlich ein hohes Risiko besteht. Bei ihr nimmt der DSB eine Bewertung der Risiken für die Rechte von Personen vor, deren Daten verarbeitet werden. Außerdem muss er prüfen, ob die Verarbeitung überhaupt erforderlich ist.
Unklar ist, ob sich aus diesen Pflichten des Datenschutzbeauftragten eine persönliche Haftung ergibt, sollte es in "seinem" Unternehmen zu Verletzungen der DSGVO kommen. So haben Vertreter der EU-Datenschutzbehörden und der Europäische Datenschutzbeauftragte in einem Arbeitspapier zur DSGVO eine solche Haftung verneint. In einem Beitrag im Fachorgan des Berufsverbands der Datenschutzbeauftragten Deutschlands kommt Stefan Sander, Rechtsanwalt und Fachanwalt für IT-Recht sowie Datenschutzbeauftragter (TU?V), dagegen zu dem Schluss, dass in Deutschland eben doch eine persönliche Haftung besteht. Sander rät daher Datenschutzbeauftragten, möglichst zügig alle Defizite aufzulisten, die im Bereich Datenschutz bestehen. Das gilt insbesondere für die Rolle des "Verantwortlichen" laut der Datenschutz-Grundverordnung. Nur dann könne sich ein DSB dagegen absichern, persönlich für Fehler anderer zur Verantwortung gezogen zu werden.
Hilfe vom Spezialisten holen
Als größte Herausforderungen bei der Umsetzung der DSGVO führen laut der Studie des Bitkom den schwer abzuschätzenden Aufwand (52 Prozent) und die Rechtsunsicherheit (43 Prozent) an. Hinzu kommt, dass es an praktischen Umsetzungshilfen fehlt (32 Prozent). Doch leider hilft es nicht, auf solche Faktoren zu verweisen: Wer bis Ende Mai 2018 die Verordnung nicht umgesetzt hat, kann Probleme bekommen.
Um das zu vermeiden, bietet sich folgende Lösung an: Hilfe von Fachleuten holen, am besten von Experten, die sowohl von Datenschutz und der DSGVO "Ahnung haben" als auch über ein fundiertes IT-Fachwissen verfügen. Bechtle bietet beispielsweise Unternehmen eine Beratung durch ausgewiesene Datenschutz-Experten mit "IT-Background" an. Das hat den Vorteil, dass im Rahmen einer Beratung nicht nur juristische Aspekte zur Sprache kommen. Der Kunde erhält auch Hinweise, wie er die Vorgaben der Datenschutz-Grundverordnung im IT-Betrieb umsetzen kann.
Denn "umsetzen" bedeutet beispielsweise, dass die IT-Umgebung darauf hin überprüft wird, wie sich geschäftskritische und personenbezogene Daten sicher speichern, verarbeiten und übermitteln lassen. Außerdem ist es notwendig, potenzielle Risiken für den Schutz von Daten zu analysieren und zu beseitigen. Zudem ist es notwendig, ein Datenschutz-Management-System zu implementieren - und so weiter und so fort. Dieser Berg an Aufgaben lässt sich in jedem Fall schneller bewältigen, wenn einem Unternehmen ein kompetenter Partner wie Bechtle zur Seite steht.