26.03.2018
EU-Datenschutzrecht
Warum künftig hohe Strafen bei Datenlecks drohen
Einen Hack lieber unter den Teppich kehren? Das war noch nie eine gute Idee. Ab Mai könnte das richtig teuer werden. Auch kleine und mittlere Unternehmen müssen bei Verlust von Kundendaten schnell handeln, wenn sie keine hohen Strafen riskieren wollen.
Bußgeld bei Datenklau: Wenn der Diebstahl von von personenbezogenen Daten nicht schnell gemeldet wird, drohen saftige Strafen.
© Gettyimages / LiliGraphie
Wenn die Firewall anschlägt, könnte es künftig teuer werden: Unternehmen – egal ob kleiner Handwerksbetrieb oder kalifornischer Internet-Gigant – müssen den Klau von personenbezogenen Informationen an die zuständige Datenschutzbehörde melden, sobald die Rechte und Freiheiten der Kunden oder Nutzer bedroht sind. Kommen sie dieser Pflicht nicht nach, drohen saftige Strafen.
Die strengen Regeln sind Teil der EU-Datenschutzgrundverordnung (EU-DSGVO), mit der erstmals in allen 28 EU-Staaten einheitliche Vorgaben gelten und die nationalen Unterschiede verschwinden. Die Verordnung ist zwar bereits seit 2016 in Kraft, aber erst ab dem 25. Mai 2018 werden die Regeln auch durchgesetzt.
So gut wie alle Unternehmen fallen unter das Datenschutzrecht
Sie gelten für jedes Unternehmen mit einer Niederlassung in der EU, das zum Beispiel Kunden- oder Mitarbeiterdaten elektronisch speichert und verarbeitet – unabhängig davon, wo die Server stehen. Auch Betriebe, die nur ein Kontaktformular auf ihrer Website haben oder die Online-Besucher statistisch erfassen, fallen unter das Datenschutzrecht. In der Praxis dürfte es daher kaum einen Betrieb geben, der nicht von der EU-DSGVO betroffen ist.
Die wichtigsten Neuerungen der EU-Datenschutzgrundverordnung
-
Strengere Informationspflichten
Für Unternehmen, die Daten verarbeiten, gelten künftig umfangreichere Informationspflichten. In ihren Datenschutzerklärungen müssen sie zum Beispiel Namen und Kontaktdaten von Verantwortlichen nennen und angeben, für welchen Zweck und auf welcher Rechtsgrundlage sie die Daten verarbeiten. Sie müssen Kunden ferner darüber aufklären, wie und welche Daten in Ländern außerhalb der EU verarbeitet werden, wie lange sie gespeichert werden und welche Rechte die Betroffenen haben, etwa in Bezug auf die Berichtigung oder Löschung ihrer Informationen. Für die Aufsichtsbehörden müssen die meisten Firmen zudem ein Verzeichnis anlegen, in dem sie Ihre Verarbeitungstätigkeiten dokumentieren. Besonders Online-Shops oder Arztpraxen dürften hier nachbessern müssen, da sie viele oder sehr sensible Daten nutzen.
-
Erstellung einer Datenschutzfolgeabschätzung
Völlig neu ist die sogenannte Datenschutzfolgeabschätzung, die vor allem auf Unternehmen zukommt, die besonders viele oder sensible Daten verarbeiten. Sie müssen zunächst das Risiko für die Rechte und Freiheiten ihrer Kunden abschätzen, falls es zu einem Datendiebstahl kommen sollte. Hoch dürfte es zum Beispiel bei der Nutzung von Gesundheitsdaten sein. Im zweiten Schritt müssen die Firmen bewerten, ob ihre Sicherheitsvorkehrungen ausreichen, um die Daten zu schützen. Zudem haben sie nachzuweisen, dass sie die EU-Datenschutzgrundverordnung einhalten und die Interessen der Betroffenen wahren. Besteht trotz Schutzmaßnahmen weiterhin ein hohes Risiko, ist die zuständige Datenschutzbehörde einzuschalten. Sie spricht dann Empfehlungen aus.
-
Ernennung eines Datenschutzbeauftragten
Die EU-DSGVO zieht neue Grenzen, ab der Unternehmen einen Datenschutzbeauftragten stellen müssen. Bislang gilt die Pflicht für Betriebe, in denen mindestens zehn Mitarbeiter mit der automatisierten Datenverarbeitung befasst sind. Künftig trifft die Vorgabe alle Unternehmen, die wenigstens zehn Mitarbeiter beschäftigen. Noch engere Grenzen gelten für Betriebe oder Freiberufler, die mit sensiblen Daten hantieren, wie zum Beispiel Ärzte. Sie müssen schon bei weniger als zehn Mitarbeitern einen Datenschutzbeauftragten benennen. Dieser muss wie bislang beruflich und fachlich qualifiziert sein, den Datenschutz überwachen zu können. Bislang gibt es auch nur geringe Sanktionsmöglichkeiten, wenn Unternehmen keinen Datenschutzbeauftragten benennen. Das ändert sich in Zukunft.
-
Melde- und Informationspflichten bei Datenpannen
Gelangen personenbezogene Informationen in unbefugte Hände, müssen Unternehmen die Datenschutzbehörden und die betroffene Kunden darüber informieren. Solche Meldepflichten gibt es zwar schon heute, die Hürden dafür werden mit der EU-DSGVO jedoch gesenkt. Demnach ist grundsätzlich jede Datenpanne der Aufsicht zu melden, es sei denn, das Leck führt „voraussichtlich nicht zu einem Risiko für die betroffenen Kunden“. Das zu beurteilen, dafür haben die Unternehmen aber nur wenig Zeit: Innerhalb von 72 Stunden nach einem Datenabgriff müssen sie die Aufsicht informieren. Verstöße gegen die Meldepflicht werden künftig strenger bestraft. Bis zu zwei Prozent des Jahresumsatzes oder bis zu 10 Millionen Euro sind dann fällig.
-
Technische Vorgaben an die IT-Sicherheit
Die strengeren Anforderungen an die Datensicherheit bedeuten auch, dass die Unternehmen technisch aufrüsten müssen. Konkrete Vorgaben an die IT-Sicherheit enthält die EU-DSGVO zwar nicht, sie verpflichtet die Firmen aber zu einem „dem Risiko angemessenen Schutzniveau“. Heißt konkret: Je sensibler die genutzten Daten sind und je folgenschwerer ihr Verlust wäre, desto aufwendiger muss die IT gesichert sein. Im Zweifel müssen Unternehmen mehr als nötig in ihre IT-Sicherheit investieren, um im Ernstfall von den Aufsichtsbehörden nicht für Versäumnisse belangt werden zu können. Bislang werden IT-Sicherheitslücken nur selten sanktioniert. Das dürfte sich aber ändern.
-
Höhere Strafen bei Datenschutz-Verstößen
Die Missachtung der Datenschutzvorschriften wird künftig härter sanktioniert. Leichte Verstöße, wenn etwa das Verzeichnis der Verarbeitungstätigkeiten fehlt, werden mit einem Bußgeld in Höhe von zwei Prozent des Jahresumsatzes oder bis zu 10 Mio. Euro belegt. Bei schweren Verstößen, dazu zählt etwa die Nutzung persönlicher Daten ohne ausreichende Einwilligung der Betroffenen, drohen sogar Geldstrafen in Höhe von bis zu vier Prozent des Jahresumsatzes oder bis maximal 20 Mio. Euro. Solche Summen können selbst große Konzerne empfindlich treffen. Bislang werden schwere Datenschutzverstöße in Deutschland mit maximal 300.000 Euro geahndet.
Vor allem wegen der verschärften Meldefristen und höheren Bußgelder kann eine Cyberversicherung für viele Unternehmen sehr sinnvoll sein. Denn sie übernimmt im Ernstfall unter anderem die Kosten für eine Rechtsberatung. Direkt nach einer Datenpanne ist die schnelle Hilfe von spezialisierten IT- und Datenschutz-Anwälten extrem wichtig. Sie können einschätzen, ob und – wenn ja – an wen der Datenverlust zu melden ist, um Strafzahlungen zu vermeiden.
Gerade kleinere Unternehmen oder Freiberufler können eine solche aufwendige rechtliche Prüfung kaum leisten. Doch das Verschweigen eines Datenverlustes sollte künftig keine Option mehr sein – auch weil bei einer anschließenden Strafzahlung keine Versicherung mehr hilft.
Welche Kosten die Cyberversicherung beim Datenklau übernimmt
- Datenschutzrechtliche Bewertung durch einen Anwalt: Die Cyberversicherung übernimmt die Kosten für die Beratung beim Datenschutz-Anwalt, ob ein Datenschutzverstoß vorliegt und ob ein Datenklau gemeldet werden muss.
- Call-Center: Laufen die Telefone nach einem Datenleck heiß, weil besorgte Kunden Aufklärung verlangen, trägt die Cyberversicherung die Kosten für ein Call-Center, bei dem sich Kunden informieren können.
- Werbeanzeigen: Muss ein Unternehmen seine Kunden aktiv über einen Datenklau benachrichtigen, trägt die Cyber-Police dafür die Kosten, zum Beispiel für Werbeanzeigen in Zeitungen.
- PR-Agentur: Gerade für Unternehmen mit sensiblen Daten kann ein Hack können negative Schlagzeilen schnell zu einer Bedrohung der Existenz geraten. Die Cyberversicherung bezahlt eine PR-Agentur, die hilft, den Schaden für den eigenen Ruf möglichst zu minimieren.
- Strafzahlungen: Bekommt ein Unternehmen eine Strafzahlung aufgebrummt, weil es zum Beispiel einen Datenklau nicht oder zu spät gemeldet hat, bezahlt dies die Cyberversicherung nicht. Strafzahlungen, Bußgelder oder gerichtliche Geldstrafen sind auch in anderen Versicherungen in der Regel ausgeschlossen.
- Prozesskosten und Anwälte in anschließenden Rechtsstreitigkeiten: Geht ein Unternehmen gerichtlich gegen ein Bußgeld einer Behörde vor, sollten Unternehmen eine Rechtsschutzversicherung haben. Denn die Cyberversicherung leistet hier standardmäßig nicht.
Zur Startseite