35 Millionen Euro Bußgeld für H&M, 230 Millionen für British Airways – teure Datenschutzverstöße bei Konzernen sorgen stets für große Schlagzeilen und Aufmerksamkeit. Dass die meisten Vorfälle in kleinen und mittelständischen Unternehmen auftreten und auch hier von den Behörden sanktioniert werden, fällt hierbei leicht unter den Tisch. Dabei sind gerade deren Inhaber und Geschäftsführer oft unzureichend abgesichert und haften im Zweifel mit ihrem Privatvermögen für Bußgelder und Schadenersatzzahlungen.
Die häufigsten Risiken beim Datenschutz
Das Problem: Unternehmer haften nicht nur für eigene Fehler. Auch wenn ihre Mitarbeiter gegen die DSGVO verstoßen, sind sie als Arbeitgeber meist zahlungspflichtig. Zu den gängigen Risiken für Datenschutzverletzungen in IT-Unternehmen zählen:
- Mangelhafte Datenschutzerklärungen
- Fehlende Auftragsverarbeitungsverträge mit Dienstleistern (z.B. externen Programmierern oder Cloud-Anbietern)
- Speicherung von nicht erforderlichen Daten (= Missachtung der Datensparsamkeit)
- Fehlende Berechtigungs- und Löschkonzepte für personenbezogene Daten
- Missachtung der umfangreichen Dokumentationspflichten nach der DSGVO
- Mangelhafte IT-Sicherheit (wenn etwa fehlende Patches Hackern den Datendiebstahl erleichtern)
- Im Fall eines Datenlecks: Missachtung der Meldepflichten
Teuer auch für kleine und mittlere Unternehmen
Verstöße können auch für kleine und mittelgroße Firmen teuer werden. So musste 2019 in Baden-Württemberg ein Mittelständler 100.000 Euro Bußgeld zahlen, weil er persönliche Daten von Bewerbern nicht ausreichend gegen unberechtigte Zugriffe geschützt hatte.
Zu den Bußgeldern können zudem noch Schadensersatzansprüche hinzukommen. Wenn die betroffenen Personen finanzielle Verluste, Diskriminierung, Rufschädigung oder wirtschaftliche Nachteile erleiden, steht ihnen hierfür in der Regel Entschädigung zu. Bekannt wurde unter anderem der Fall von Altaba, dem Eigentümer von Yahoo, der nach einem Datenschutz-Debakel 50 Millionen Dollar Schadensersatz zahlen musste – zusätzlich zu der bereits von der Aufsichtsbehörde verhängten Strafe von 35 Millionen Dollar.
Vorbeugen und absichern
Um sich gegen die finanziellen Risiken von Datenschutzverletzungen abzusichern, sollten Unternehmer im besten Fall zweigleisig fahren:
1. Kennen und beachten Sie die Vorgaben der DSGVO. Prüfen Sie, wo in Ihrem Unternehmen (oder bei beauftragten Dienstleistern) personenbezogene Daten verarbeitet werden – dies gilt für Daten von Mitarbeitern ebenso wie von Kunden oder Geschäftspartnern. Dokumentieren Sie, wie personenbezogene Daten in Ihrem Unternehmen verarbeitet und gespeichert werden, um im Fall eines Schadens dazulegen, dass Sie alles notwendige beachtet haben. Sensibilisieren Sie Ihre Mitarbeiter für das Thema. Und kümmern Sie sich um im Fall einer Datenpanne um Schadenbegrenzung: Binden Sie unverzüglich den zuständigen Datenschutzbeauftragten ein, um ggf. die Aufsichtsbehörde sowie eventuell die betroffenen Personen zu informieren.
2. Minimieren Sie Ihr persönliches Risiko, indem Sie eine gute IT-Haftpflichtversicherung abschließen. Diese springt im Fall von Schadenersatzansprüchen gegen Sie ein, auch bei Verstößen gegen den Datenschutz oder Datenverlust. Wenn Sie den Versicherungsschutz um eine Cyber-Eigenschadenversicherung erweitern, sind auch Bußgelder und zivilrechtliche Geldstrafen abgedeckt.