Die Übergangsfrist, die Unternehmen zur Umsetzung von DSGVO-Richtlinien gegeben wurde, ist seit Mitte 2018 ausgelaufen – dennoch scheinen viele kleine und mittlere Unternehmen unter dem Radar geflogen zu sein, wenn es um Bußgelder für Verstöße gegen die Richtlinien ging.
Steffen Reimann, Produkt- und Partnermanager bei TÜV SÜD, warnt davor, dass kontinuierlicher Mut zur Lücke teuer werden kann.
Bei den Aufsichtsbehörden zeichnet sich eine Trendwende ab: Europäische Behörden sind mittlerweile bereit, hart durchzugreifen. Diese Entwicklung wird sich mutmaßlich auch im Jahr 2022 weiter fortsetzen. Was Bußgelder betrifft, war 2021 ein Rekordjahr, erstmals wurde die Milliardengrenze überschritten. Rund 1,2 Milliarden Euro mussten Unternehmen aufgrund ihrer Verstöße gegen die DSGVO zahlen, im Vergleich zum Vorjahr mit knapp 170 Millionen also eine enorme Steigerung.
Das Bewusstsein wächst
Das liegt unter anderem auch daran, dass die Anzahl der privat geführten datenschutzrechtlichen Verfahren, die mit Verstößen gegen die DSGVO in Zusammenhang stehen, im vergangenen Jahr merklich zugenommen hat. Immer mehr Betroffene klagen auf Schadensersatz. Ein Grund hierfür könnte die Medienberichterstattung der vergangenen Jahre sein, die das Bewusstsein der breiten europäischen Öffentlichkeit für ihre Rechte und für mögliche Rechtsmittel im Fall eines DSGVO-Verstoßes bedeutend geschärft hat. Unternehmen werden sich daher in Zukunft vermutlich immer häufiger neben Strafzahlungen auch mit Schadensersatzforderungen Betroffener konfrontiert sehen werden. Auch mit Sammelklagen ist in dem Zusammenhang zu rechnen – dabei könnten neue Höchstwerte an Bußgeldern resultieren.
Unternehmen werden sich in Zukunft vermutlich immer häufiger neben Strafzahlungen auch mit Schadenersatzforderungen Betroffener konfrontiert sehen.
Steffen Reimann
Lückenlose Konformität
Um dieser Entwicklung entgegenzutreten, bleibt Unternehmen nur eine Option: die lückenlose Konformität mit den Anforderungen der DSGVO und die regelmäßige Überprüfung selbiger. Zur Einhaltung bedarf es kontinuierlicher Anstrengungen. Jedes Mal, wenn ein neues Verfahren, in welchem personenbezogene Daten verarbeitet werden, im Unternehmen implementiert wird, muss dieses zuvor auf seine Kompatibilität hinsichtlich der DSGVO und der damit in Zusammenhang stehenden Urteile abgeklopft werden. Nicht alle Unternehmen sind dabei in der Lage, diese Anforderungen alleine zu stemmen. Vor allem bei kleinen und mittleren Unternehmen herrscht nach wie vor große Unsicherheit oder aber der Mangel an dem notwendigen Fachwissen und Ressourcen.
Allerdings können sie hierbei auf die Unterstützung durch externe Experten zurückgreifen. So kann auch gleich eine externe, neutrale Beurteilung der eigenen Datenschutzlage vorgenommen werden, um zusätzliche Sicherheit zu schaffen. Diese Experten sind dazu in der Lage, KMU beispielsweise mit Datenschutzberatung und -Audits, Stellung des (auch für viele KMU verpflichtende) externen Datenschutzbeauftragten, datenschutzrechtliche Weiterbildungen, GAP-Analysen oder Zertifizierung des Informationssicherheitsmanagements (ISMS) nach ISO 27001 zu unterstützen. Kurz gesagt: Sie sind in der Lage, das gesamte Spektrum abzudecken. Mit einer solchen externen Unterstützung können dann auch kleiner Unternehmen mit geringen Ressourcen ihre Datenverarbeitungsprozesse DSGVO-konform gestalten und potentielle kostspielige Lücken aufdecken und schließen, bevor es überhaupt zu Datenlecks, Verfahren oder Bußgeldern kommt.