Startseite Themen Warum künftig hohe Strafen bei Datenlecks drohen
26.03.2018
EU-Daten­schutz­recht

Warum künf­tig hohe Stra­fen bei Daten­lecks dro­hen

Einen Hack lieber unter den Teppich kehren? Das war noch nie eine gute Idee. Ab Mai könnte das richtig teuer werden. Auch kleine und mittlere Unternehmen müssen bei Verlust von Kundendaten schnell handeln, wenn sie keine hohen Strafen riskieren wollen.

Bußgeld bei Datenklau: Wenn der Diebstahl von von personenbezogenen Daten nicht schnell gemeldet wird, drohen saftige Strafen.

© Get­ty­i­ma­ges / Lili­Gra­phie

Wenn die Firewall anschlägt, könnte es künftig teuer werden: Unternehmen – egal ob kleiner Handwerksbetrieb oder kalifornischer Internet-Gigant – müssen den Klau von personenbezogenen Informationen an die zuständige Datenschutzbehörde melden, sobald die Rechte und Freiheiten der Kunden oder Nutzer bedroht sind. Kommen sie dieser Pflicht nicht nach, drohen saftige Strafen.
Die strengen Regeln sind Teil der EU-Datenschutzgrundverordnung (EU-DSGVO), mit der erstmals in allen 28 EU-Staaten einheitliche Vorgaben gelten und die nationalen Unterschiede verschwinden. Die Verordnung ist zwar bereits seit 2016 in Kraft, aber erst ab dem 25. Mai 2018 werden die Regeln auch durchgesetzt.

So gut wie alle Unternehmen fallen unter das Datenschutzrecht

Sie gelten für jedes Unternehmen mit einer Niederlassung in der EU, das zum Beispiel Kunden- oder Mitarbeiterdaten elektronisch speichert und verarbeitet – unabhängig davon, wo die Server stehen. Auch Betriebe, die nur ein Kontaktformular auf ihrer Website haben oder die Online-Besucher statistisch erfassen, fallen unter das Datenschutzrecht. In der Praxis dürfte es daher kaum einen Betrieb geben, der nicht von der EU-DSGVO betroffen ist. 

Die wichtigsten Neuerungen der EU-Datenschutzgrundverordnung
  • Stren­gere Infor­ma­ti­ons­pflich­ten

    Für Unternehmen, die Daten verarbeiten, gelten künftig umfangreichere Informationspflichten. In ihren Datenschutzerklärungen müssen sie zum Beispiel Namen und Kontaktdaten von Verantwortlichen nennen und angeben, für welchen Zweck und auf welcher Rechtsgrundlage sie die Daten verarbeiten. Sie müssen  Kunden ferner darüber aufklären, wie und welche Daten in Ländern außerhalb der EU verarbeitet werden, wie lange sie gespeichert werden und welche Rechte die Betroffenen haben, etwa in Bezug auf die Berichtigung oder Löschung ihrer Informationen. Für die Aufsichtsbehörden müssen die meisten Firmen zudem ein Verzeichnis anlegen, in dem sie Ihre Verarbeitungstätigkeiten dokumentieren. Besonders Online-Shops oder Arztpraxen dürften hier nachbessern müssen, da sie viele oder sehr sensible Daten nutzen.

  • Erstel­lung einer Daten­schutz­fol­ge­ab­schät­zung

    Völlig neu ist die sogenannte Datenschutzfolgeabschätzung, die vor allem auf Unternehmen zukommt, die besonders viele oder sensible Daten verarbeiten. Sie müssen zunächst das Risiko für die Rechte und Freiheiten ihrer Kunden abschätzen, falls es zu einem Datendiebstahl kommen sollte. Hoch dürfte es zum Beispiel bei der Nutzung von Gesundheitsdaten sein. Im zweiten Schritt müssen die Firmen bewerten, ob ihre Sicherheitsvorkehrungen ausreichen, um die Daten zu schützen. Zudem haben sie nachzuweisen, dass sie die EU-Datenschutzgrundverordnung einhalten und die Interessen der Betroffenen wahren. Besteht trotz Schutzmaßnahmen weiterhin ein hohes Risiko, ist die zuständige Datenschutzbehörde einzuschalten. Sie spricht dann Empfehlungen aus.

  • Ernen­nung eines Daten­schutz­be­auf­trag­ten

    Die EU-DSGVO zieht neue Grenzen, ab der Unternehmen einen Datenschutzbeauftragten stellen müssen. Bislang gilt die Pflicht für Betriebe, in denen mindestens zehn Mitarbeiter mit der automatisierten Datenverarbeitung befasst sind. Künftig trifft die Vorgabe alle Unternehmen, die wenigstens zehn Mitarbeiter beschäftigen. Noch engere Grenzen gelten für Betriebe oder Freiberufler, die mit sensiblen Daten hantieren, wie zum Beispiel Ärzte. Sie müssen schon bei weniger als zehn Mitarbeitern einen Datenschutzbeauftragten benennen. Dieser muss wie bislang beruflich und fachlich qualifiziert sein, den Datenschutz überwachen zu können. Bislang gibt es auch nur geringe Sanktionsmöglichkeiten, wenn Unternehmen keinen Datenschutzbeauftragten benennen. Das ändert sich in Zukunft.

  • Melde- und Infor­ma­ti­ons­pflich­ten bei Daten­pan­nen

    Gelangen personenbezogene Informationen in unbefugte Hände, müssen Unternehmen die Datenschutzbehörden und die betroffene Kunden darüber informieren. Solche Meldepflichten gibt es zwar schon heute, die Hürden dafür werden mit der EU-DSGVO jedoch gesenkt. Demnach ist grundsätzlich jede Datenpanne der Aufsicht zu melden, es sei denn, das Leck führt „voraussichtlich nicht zu einem Risiko für die betroffenen Kunden“. Das zu beurteilen, dafür haben die Unternehmen aber nur wenig Zeit: Innerhalb von 72 Stunden nach einem Datenabgriff müssen sie die Aufsicht informieren. Verstöße gegen die Meldepflicht werden künftig strenger bestraft. Bis zu zwei Prozent des Jahresumsatzes oder bis zu 10 Millionen Euro sind dann fällig. 

  • Tech­ni­sche Vor­ga­ben an die IT-Sicher­heit

    Die strengeren Anforderungen an die Datensicherheit bedeuten auch, dass die Unternehmen technisch aufrüsten müssen. Konkrete Vorgaben an die IT-Sicherheit enthält die EU-DSGVO zwar nicht, sie verpflichtet die Firmen aber zu einem „dem Risiko angemessenen Schutzniveau“. Heißt konkret: Je sensibler die genutzten Daten sind und je folgenschwerer ihr Verlust wäre, desto aufwendiger muss die IT gesichert sein. Im Zweifel müssen Unternehmen mehr als nötig in ihre IT-Sicherheit investieren, um im Ernstfall von den Aufsichtsbehörden nicht für Versäumnisse belangt werden zu können. Bislang werden IT-Sicherheitslücken nur selten sanktioniert. Das dürfte sich aber ändern.

  • Höhere Stra­fen bei Daten­schutz-Ver­stö­ßen

    Die Missachtung der Datenschutzvorschriften wird künftig härter sanktioniert. Leichte Verstöße, wenn etwa das Verzeichnis der Verarbeitungstätigkeiten fehlt, werden mit einem Bußgeld in Höhe von zwei Prozent des Jahresumsatzes oder bis zu 10 Mio. Euro belegt. Bei schweren Verstößen, dazu zählt etwa die Nutzung persönlicher Daten ohne ausreichende Einwilligung der Betroffenen, drohen sogar Geldstrafen in Höhe von bis zu vier Prozent des Jahresumsatzes oder bis maximal 20 Mio. Euro. Solche Summen können selbst große Konzerne empfindlich treffen. Bislang werden schwere Datenschutzverstöße in Deutschland mit maximal 300.000 Euro geahndet.


Vor allem wegen der verschärften Meldefristen und höheren Bußgelder kann eine Cyberversicherung für viele Unternehmen sehr sinnvoll sein. Denn sie übernimmt im Ernstfall unter anderem die Kosten für eine Rechtsberatung. Direkt nach einer Datenpanne ist die schnelle Hilfe von spezialisierten IT- und Datenschutz-Anwälten extrem wichtig. Sie können einschätzen, ob und – wenn ja – an wen der Datenverlust zu melden ist, um Strafzahlungen zu vermeiden. 
Gerade kleinere Unternehmen oder Freiberufler können eine solche aufwendige rechtliche Prüfung kaum leisten. Doch das Verschweigen eines Datenverlustes sollte künftig keine Option mehr sein – auch weil bei einer anschließenden Strafzahlung keine Versicherung mehr hilft.

Wel­che Kos­ten die Cyber­ver­si­che­rung beim Daten­klau über­nimmt

  • Datenschutzrechtliche Bewertung durch einen Anwalt: Die Cyberversicherung übernimmt die Kosten für die Beratung beim Datenschutz-Anwalt, ob ein Datenschutzverstoß vorliegt und ob ein Datenklau gemeldet werden muss.
  • Call-Center: Laufen die Telefone nach einem Datenleck heiß, weil besorgte Kunden Aufklärung verlangen, trägt die Cyberversicherung die Kosten für ein Call-Center, bei dem sich Kunden informieren können.
  • Werbeanzeigen: Muss ein Unternehmen seine Kunden aktiv über einen Datenklau benachrichtigen, trägt die Cyber-Police dafür die Kosten, zum Beispiel für Werbeanzeigen in Zeitungen. 
  • PR-Agentur: Gerade für Unternehmen mit sensiblen Daten kann ein Hack können negative Schlagzeilen schnell zu einer Bedrohung der Existenz geraten. Die Cyberversicherung bezahlt eine PR-Agentur, die hilft, den Schaden für den eigenen Ruf möglichst zu minimieren. 
  • Strafzahlungen: Bekommt ein Unternehmen eine Strafzahlung aufgebrummt, weil es zum Beispiel einen Datenklau nicht oder zu spät gemeldet hat, bezahlt dies die Cyberversicherung nicht. Strafzahlungen, Bußgelder oder gerichtliche Geldstrafen sind auch in anderen Versicherungen in der Regel ausgeschlossen.
  • Prozesskosten und Anwälte in anschließenden Rechtsstreitigkeiten: Geht ein Unternehmen gerichtlich gegen ein Bußgeld einer Behörde vor, sollten Unternehmen eine Rechtsschutzversicherung haben. Denn die Cyberversicherung leistet hier standardmäßig nicht. 





Zur Startseite
Auch inter­essant
Schwer­punkt

Cyber­se­cu­rity
IT-Sicher­heit

Der Mit­tel­stand als Angriffs­ziel von Cyber­kri­mi­nel­len
Bran­chen­fo­kus Gesund­heit

Kost­bare Beute Pati­en­ten­da­ten