Rechtsschutz für DSGVO: So sichern sich KMUs gegen Datenschutzrisiken ab

Ein Wegweiser im Anordnungsdschungel.

DSGVO und KMUs

Die DSGVO schlug vor ihrer Einführung hohe Wellen. Unternehmen fürchteten beachtliche Risiken und hohe Geldstrafen. Rund anderthalb Jahre nach der Einführung der Datenschutzgrundverordnung ist klar: Die Risiken sind real. Mittlerweile wurden mehrere Unternehmen zu hohen Bußgeldern verdonnert. Auch Schadenersatzklagen im Zusammenhang mit Datenschutzverstößen sind ein beträchtliches Risiko. Dieser Beitrag erklärt, welches Risikopotenzial für KMUs im Zusammenhang mit der DSGVO besteht. Außerdem beleuchtet dieser Beitrag, wie sich Unternehmen dagegen schützen können. Im Mittelpunkt stehen dabei Versicherungsleistungen wie Rechtsschutz für DSGVO, Betriebshaftpflichtversicherungen und spezielle Cyberversicherungen.

Ihr wöchentliches Update zur Finanzbranche!

Erhalten Sie jede Woche die aktuellsten Meldungen zur Finanzwelt sowie exklusive Tipps und Tricks rund um das Thema Unternehmen und Finanzierung – kostenlos.

Ja! Ich möchte den FinCompare Newsletter erhalten.

Die Hinweise zum Datenschutz habe ich gelesen

Zusätzliche Information

Hohes Risikopotential für KMUs: Zunahme der Verordnungen und Gesetze

14,5 Millionen EUR Strafe: Verstöße gegen die DSGVO haben das Unternehmen Deutsche Wohnen viel Geld kostet. Die Berliner Datenschutzbeauftragte verhängte das bisher höchste in Deutschland angewandte Bußgeld wegen Datenschutzvergehen.

Nach Angaben der Aufsichtsbehörde hat die an der Börse notierten Wohnungsgesellschaft gegen den Datenschutz verstoßen. Demnach seien Daten von Mieterinnen und Mietern so gespeichert worden, dass keine Möglichkeit zur Löschung bestehe. Von dem Verstoß waren ganz unterschiedliche Daten betroffen. Darunter waren zum Beispiel Gehaltsbescheinigungen, Arbeits- und Ausbildungsverträge, Selbstauskunftsformulare, Steuerinformationen etc.

Rechtsschutz DSGVO: Hohe Strafen für Deutsche Wohnen

Die Berliner Behörde hat mit der hohen Strafe für Deutsche Wohnen einer ihrer Empfehlungen Nachdruck verliehen. Bereits 2017 hatte die Datenschutzbeauftragte dem Unternehmen die Umstellung seiner Archivsysteme nahegelegt. Im März 2019 sei es dann zu einer weiteren Untersuchung gekommen. Grundlegende Veränderungen hinsichtlich der angemahnten Zustände seien jedoch nicht zu erkennen gewesen.

Auch wenn der Bescheid noch nicht rechtskräftig ist, zeigt das Durchgreifen der Behörden, welche Risiken mit der DSGVO für Unternehmen einhergehen können. Die Berliner Datenschutzbeauftragte Maja Smoltczyk wird in einer Pressemitteilung zitiert:

Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist“.

Die Datenschutzbeauftragte stellt in dem Zusammenhang klar: Auch, wenn es nicht zu einem Cyberangriff kommt, liege bei einem solchen Archivierungsvorgehen ein erheblicher Verstoß gegen die Grundsätze des Datenschutzes vor. Das Bußgeld gegen die Deutsche Wohnen war das bisher höchste, aber nicht das erste DSGVO Bußgeld in Deutschland. Laut Gesetz drohen dem Unternehmen Strafen von bis zu 4 Prozent des weltweiten Vorjahresumsatzes. Ganz so hoch sind die Bußgelder bislang nicht ausgefallen. Das bislang höchste Bußgeld traf das Lieferunternehmen Delivery Hero. Der Dienstleister musste 195.000 EUR bezahlen.

In anderen Ländern gab es bereits höhere Strafen. Die britische Fluggesellschaft British Airways wurde zu einer Strafe in Höhe von mehr als 200 Millionen EUR verdonnert. Die ebenfalls britische Hotelkette Marriott musste mehr als 110 Million EUR bezahlen. Der Suchmaschinenbetreiber Google wurde in Frankreich zu 50 Millionen EUR Strafe verdonnert.

Rechtsschutz DSGVO: Strafen bei  Verstößen

Die Geldbußen im Zusammenhang mit der Datenschutzgrundverordnung sind in Art. 83 Abs. 4 sowie Art. 83 Abs. 5 DSGVO vermerkt. Demnach gibt es Strafen von bis zu 10 Million EUR oder 2 Prozent des gesamten weltweit erzielten Vorjahresumsatzes oder Strafen bis 20 Millionen EUR bzw. 4 Prozent des weltweiten Vorjahresumsatzes.

Rechtsschutz DSGVO? Für diese Pflichtverletzungen gibt es Strafen

Laut Art. 83 Abs. 4 DSGVO gibt es 10 Millionen Euro bzw. 2 Prozent des Vorjahresumsatzes als Höchststrafe, wenn folgende Pflichten verletzt werden:

    1. Die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43
    2. Die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;
    3. Die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.

Gemäß Art. 83 Abs. 5 DSGVO beträgt die Höchststrafe 20 Millionen Euro bzw. 4 Prozent des Jahresumsatzes, wenn eine der folgenden Bestimmungen verletzt wird:

    1. Die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9
    2. Die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22
    3. Die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49
    4. Alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;
    5. Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.

Diese Anforderungen stellt die DSGVO an Unternehmen

Die DSGVO ist eine Verordnung der Europäischen Union. Die Verordnung regelt die Verarbeitung personenbezogener Daten. Der Gesetzgeber wollte mit der Verabschiedung den Schutz personenbezogener Daten verbessern. Deshalb wurde die 1995 erstellte Vorgängerrichtlinie mit Wirkung zum 24. Mai 2018 durch die DSGVO ersetzt. Die DSGVO gilt seitdem in allen Mitgliedstaaten. Eine Umsetzung in nationales Recht (wie bei anderen EU-Richtlinien üblich) ist nicht erforderlich. Die EU-Mitgliedstaaten können jedoch durch Rechtsvorschriften gewisse Interpretationsspielräume nutzen.

Die DSGVO besitzt 11 Kapitel und 99 Artikel. Für Unternehmen besonders relevant sind die Teile der Verordnung, bei denen Verstöße zu hohen Strafen führen können. Dabei handelt es sich um die Art. 5-50. Diese regeln unter anderem:

  • Grundsätze und Rechtmäßigkeit der Verarbeitung personenbezogener Daten
  • Bedingungen für die Einwilligung in die Datenverarbeitung
  • Verarbeitung besonderer Kategorien personenbezogener Daten
  • Rechte der von Datenverarbeitung betroffenen Personen (zum Beispiel Recht auf Auskunft zu personenbezogenen Daten, Recht auf Berichtigung und Löschung, Recht auf „Vergessenwerden“)
  • Verantwortliche für den Datenschutz inklusive Verhaltensregeln und Zertifizierung
  • Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen

Datenschutzgesetz an Vorgängerrichtlinien orientiert

Die DSGVO ist keinesfalls eine grundlegende Neuschaffung eines Datenschutzgesetzes in Europa. Viele Bereiche der Verordnung wurden von der Vorgängerrichtlinie übernommen. Dies gilt zum Beispiel für den Begriff der personenbezogenen Daten. Schon vor der DSGVO war die Verarbeitung solcher Daten nur mit einer Einwilligung bzw. bei einem Erlaubnistatbestand möglich. Solche Erlaubnistatbestände sind in Art. 6 der DSGVO aufgeführt.

Erlaubt ist die Verarbeitung personenbezogener Daten zum Beispiel, wenn:

  • wine Einwilligung der betroffenen Person vorliegt
  • die Datenverarbeitung für (vor) vertragliche Maßnahmen notwendig ist
  • mit der Datenverarbeitung lediglich einer rechtlichen Pflicht entsprochen wird
  • mit der Datenverarbeitung lebenswichtige Interessen geschützt werden
  • mit der Datenverarbeitung Aufgaben im öffentlichen Interesse übernommen werden

Neuerungen gibt es zum Beispiel bei den Grundsätzen der Verarbeitung personenbezogener Daten. Diese sind in Art. 5 DSGVO geregelt. Personenbezogene Daten müssen demnach

  • Rechtmäßig, nachvollziehbar und transparent verarbeitet werden
  • Die Erhebung darf nur für festgelegte, eindeutige und legitime Zwecke erfolgen
  • Die Datenerhebung muss angemessen und auf das notwendige Maß beschränkt sein (Datenminimierung)
  • Daten müssen sachlich richtig und aktuell sein. Unrichtige Daten müssen sofort berichtigt oder gelöscht werden.
  • Daten müssen so gespeichert werden, dass eine Identifikation der betroffenen Person nur solange möglich ist, wie es für den Zweck der Datenerhebung notwendig ist
  • Daten müssen sicher verarbeitet und verwahrt werden; dies schließt Schutz vor unbefugtem Zugriff oder unbeabsichtigtem Verlust ein

Betrieblicher Datenschutzbeauftragte: Wann gilt die Pflicht?

In der Praxis ist Art. 37 DSGVO für viele Betriebe besonders wichtig. Hier verlangt die Verordnung die Stellung eines Datenschutzbeauftragten. Doch welche Unternehmen betrifft dies tatsächlich?

Die meisten KMUs sind nicht verpflichtet, einen eigenen Datenschutzbeauftragten zu stellen. Es gibt jedoch Ausnahmen. Diese sind in Art. 37 Abs. 1 DSGVO festgehalten. Demnach wird in jedem Fall ein Datenschutzbeauftragter benannt, wenn

  • „die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“

Umgang mit sensiblen Daten gemäß Art. 9

Bei Daten gemäß Art. 9 handelt sich um sehr sensible Daten, die in der Regel gar nicht verarbeitet werden dürfen. Es gibt jedoch Ausnahmen, unter denen eine Verarbeitung und Erhebung solcher Daten möglich ist. Es handelt sich zum Beispiel Daten aus denen politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder eine Gewerkschaftszugehörigkeit hervorgehen. Auch genetische oder biometrische Daten wie Gesundheitsdaten und ähnliche Daten fallen diese Kategorie.

Wann liegt Datenverarbeitung gemäß DSGVO in einem so großen Umfang vor, dass ein Datenschutzbeauftragter Pflicht ist? Ganz genau geklärt ist dies nicht. Umfangreich laut DSGVO ist die Datenverarbeitung, wenn

  • Personenbezogene Daten in größerer Menge verarbeitet werden
  • Bei der Datenverarbeitung neue Technologie eingesetzt wird
  • Eine große Zahl von Personen betroffen ist
  • Die Daten dauerhaft verarbeitet werden
  • Die Verarbeitung auf regionaler, nationaler oder supranationale Ebene erfolgt

Dafür spricht jedenfalls Erwägungsgrund 91.

Die Verarbeitung personenbezogener Daten wird typischerweise nicht als umfangreich eingestuft, wenn sie durch Angehörige von Gesundheitsberufen oder Rechtsanwälte im Zusammenhang mit der Ausübung ihres Berufs erfolgt. Auch dies geht aus Erwägungsgrund 91 der DSGVO hervor.

Ein Datenschutzbeauftragter ist Pflicht, wenn mindestens zehn Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt werden. Diese Pflicht ergibt sich allerdings nicht aus der DSGVO, sondern aus dem Bundesdatenschutzgesetz (§ 38 Abs. 1 BDSG).

Auch wenn weniger als zehn Personen mit der Datenverarbeitung beschäftigt sind, kann sich aus dem § Abs. 1 BDSG eine Pflicht zur Benennung eines Datenschutzbeauftragten ergeben. Dies gilt, wenn entweder eine Datenschutzfolgenabschätzung obligatorisch ist oder personenbezogene Daten „geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung“ verarbeitet werden.

DSGVO noch nicht umgesetzt: Das ist nun zu tun

Viele KMUs haben sich um die DSGVO noch nicht allzu viele Gedanken gemacht oder zumindest noch keine konkreten Maßnahmen getroffen. Nicht zuletzt angesichts der potenziell hohen Strafen gilt es, dies so schnell wie möglich nachzuholen.

Was müssen KMUs in der Praxis tun, um die DSGVO umzusetzen? Der Bundesverband mittelständische Wirtschaft (BVMW) hat im Vorfeld des Inkrafttretens der Richtlinie einige Praxishinweise veröffentlicht. Diese lauten kurz zusammengefasst:

  • Bestandsaufnahme: Alle Prozesse prüfen, in denen personenbezogene Daten erhoben, verarbeitet oder weitergegeben werden.
  • Rechtsgrundlage prüfen: Entsprechen die Datenverwaltungsprozesse den Anforderungen der DSGVO und hier insbesondere denen des Art. 6?
  • Prüfung aller Verträge und Anpassung an Datenschutzgrundverordnung. Relevant sind hier insbesondere Art. 26-28 DSGVO (Vorgaben für Vereinbarungen mit Auftragsdatenverarbeitern)
  • Informationspflichten prüfen und erfüllen (zum Beispiel Information über Beschwerderecht bei einer Aufsichtsbehörde). Relevant sind hier insbesondere Art. 13 und 14 DSGVO
  • Datenschutz und Einwilligungserklärungen an DSGVO anpassen. Dies betrifft zum Beispiel Erklärungen auf der Website für die Zusendung von Werbung via E-Mail
  • Datenschutzfreundliche Voreinstellungen umsetzen (zum Beispiel bei Software)
  • Datenschutzfolgeabschätzung durchführen. Diese ist in Art. 35 DSGVO geregelt. Unternehmen prüfen, ob die eigenen Datenverarbeitungsvorgänge ein hohes Risiko für Rechte von Betroffenen darstellen.
  • Rechte von Betroffenen umsetzen. Betroffene haben zum Beispiel das Recht auf Löschung ihrer Daten. Unternehmen müssen sicherstellen, dass dies kurzfristig möglich ist.

Rechtsschutz DSGVO oft nicht ausreichend

Selbst wenn alle Maßnahmen umgesetzt werden, stellt die DSGVO weiterhin ein potentielles Risiko dar. Bestimmte Risiken können durch entsprechenden Versicherungsschutz abgedeckt werden. Dieser Versicherungsschutz ist jedoch längst nicht in allen Unternehmen vorhanden. Nur sehr wenige Unternehmen verfügen über spezielle Cyberversicherungen. Rechtsschutzversicherungen sowie Betriebspflichtversicherungen sind häufig nicht optimal an die neuen Bedingungen der DSGVO angepasst.

DSGVO und Versicherungsschutz

Betriebs- und Berufshaftpflichtversicherung können Unternehmen Schutz bei Schadenersatzforderungen bieten. Versicherungsschutz für Geldbußen durch Datenschutzbeauftragte gibt es jedoch nicht.

Rechtschutz für KMUs

Ein Beispiel: Ein Unternehmen verletzt die Vorschrift zur Verarbeitung personenbezogener Daten und speichert E-Mail-Adressen in einer nicht zulässigen Art und Weise. Dies kann Schadensersatzansprüche nach sich ziehen. Deren Höhe ist häufig schwer abzuschätzen. Der Grund: die DSGVO kennt neben materiellen auch immaterielle Schäden. Hier gibt es bislang relativ wenige Erfahrungen aus der juristischen Praxis.

Gute Betriebs- oder Berufshaftpflichtversicherungen behandeln Schadensersatzansprüche aus der DSGVO ähnlich wie Vermögensschäden. Dann werden materielle und immaterielle Schäden ersetzt. Die Policen bieten damit einen gewissen DSGVO Rechtsschutz. Geldbußen können durch solche Versicherungen allerdings nicht ersetzt werden. Dies ist nicht erlaubt. Zulässig sind aber Regressansprüche gegen externe Datenschutzbeauftragte.

DSGVO Rechtsschutz über Rechtsschutzversicherung

Auch Rechtsschutzversicherungen können einen DSGVO Rechtsschutz sicherstellen. Der Versicherungsschutz kann sich dabei sowohl auf das gesamte Unternehmen als auch auf den Datenschutzbeauftragten beziehen. Datenschutzbeauftragte können eine Strafrechtsschutzversicherung abschließen. Diese übernimmt die Kosten für rechtliche Auseinandersetzungen im Zusammenhang mit (vorgeworfenen) Verletzungen der DSGVO. Die Policen übernehmen die Kosten für gerichtliche Auseinandersetzungen, rechtliche Beratung etc.

Datenschutzbeauftragte können auch über eine Vermögensschadenhaftpflichtversicherung als DSGVO Rechtsschutz nachdenken. Diese Policen erstatten Kosten für gerichtliche und außergerichtliche Interessenwahrnehmungen des Versicherungsnehmers im Zusammenhang mit Vermögensschäden, die durch einen DSGVO Verstoß verursacht werden. Ein guter DSGVO Rechtsschutz umfasst sowohl Versicherungsschutz für rechtliche Auseinandersetzungen als auch einen Schutz für Schadenersatzanforderungen Dritter.

D&O Versicherung

Datenschutzbeauftragte sollten über eine D & O Versicherung nachdenken (Directors and Officers Police). Grund: Unternehmen können einen internen Datenschutzbeauftragten im Anschluss an eine Verletzung der DSGVO verklagen und Schadenersatz verlangen. Eine D & O Versicherung wehrt unberechtigte Forderungen ab und erstattet bei berechtigten Forderungen den Schadenersatz an das Unternehmen.

Cyberversicherung gegen DSGVO Risiken?

Auch einer mit einer Cyberversicherung ist DSGVO Rechtsschutz möglich. Cyberversicherungen sind relativ neue Policen, die jedoch spürbar an Bedeutung gewinnen. Im Kern geht es darum, im Schadensfall so früh wie möglich Maßnahmen zu ergreifen und aufgetretene Schäden im Nachgang zu ersetzen. Der Leistungsumfang von Cyberversicherungen geht jedoch weit über Risiken im Zusammenhang mit der DSGVO hinaus.

Rechtsschutz DSGCO – Was ist eine Cyberversicherung?

Eine Cyberversicherung kann zum Beispiel die finanziellen Konsequenzen eines Hackerangriffs abmildern.

Ein Beispiel: Durch Malware ist die gesamte IT für einen längeren Zeitraum außer Betrieb. Im schlimmsten Fall kann dies zur Insolvenz des Unternehmens führen. Cyber Versicherungen zahlen eine vereinbarte Summe, wenn die IT durch eine Hackerattacke, Malware etc. vorübergehend nicht mehr eingesetzt werden kann. Typischerweise stellen die Policen diverse Serviceleistungen zur Verfügung. Dazu gehören zum Beispiel die Dienste von Spezialisten, die die IT wieder in Gang bringen.

Serviceleistungen ergänzen jedoch nur klassischen Versicherungsschutz. Cyberversicherungen bieten zum Beispiel eine Entschädigung bei IT bedingten Betriebsunterbrechungen. Dann wird etwa ein vereinbarter Tagessatz gezahlt, bis die IT wieder vollständig funktioniert.

Im Leistungsumfang der Versicherungen inbegriffen sind häufig auch Kostenerstattungen für notwendige Datenwiederherstellungen. Solche Datenrettungen sind häufig nur mit Spezialisten möglich. Cyberversicherungen bezahlen diese Rekonstruktion.

Im Zusammenhang mit der DSGVO ist insbesondere der Verlust sensibler Daten relevant. Nach einem solchen Verlust können Kunden bei Missbrauch dieser Daten Schadenersatz verlangen. Cyberversicherungen entschädigen die vom Datenverlust betroffenen Kunden und agieren hier wie eine Haftpflichtversicherung. Weitere Leistungen einer typischen Cyberversicherung betreffen zum Beispiel die Übernahme von Kosten der IT Forensik und rechtliche Beratungen.