EU-DSGVO
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Gastartikel - Gerald Ganzger, Lansky, Ganzger + partner Rechtsanwälte

EU-DSGVO: Mögliche rechtliche Konsequenzen für KMU

Die EU meint es mit der DSGVO und dem Datenschutz wirklich ernst. Das zeigen die enthaltenen Sanktionen. Gerade für KMUs sind die zahlreichen Verpflichtungen eine echte Herausforderung.

Mit 25.05.2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in der gesamten EU in Kraft. Die DSGVO gilt für die automatisierte Verarbeitung personenbezogener Daten. Darunter werden die Daten von identifizierten oder identifizierbaren natürlichen Personen (betroffene Personen) verstanden. Erklärtes Ziel der DSGVO ist ein möglichst hohes Schutzniveau für Daten sicherzustellen. Dies geschieht einerseits durch die Stärkung der Rechte der betroffenen Personen, beispielsweise Auskunftsrechte, Recht auf Datenportabilität, Informationsrechte und Recht auf Löschung und andererseits durch zahlreiche Verpflichtungen für die Verantwortlichen. Das sind alle jene natürlichen oder juristischen Personen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Die DSGVO verpflichtet aber nicht nur diese Verantwortlichen, sondern auch die Auftragsverarbeiter, das sind jene, die personenbezogene Daten im Auftrag der Verantwortlichen verarbeiten. Die DSGVO gilt – von wenigen Ausnahmen abgesehen – für alle Unternehmen, die solche personenbezogenen Daten anwenden. Die betroffenen Personen können somit ihre Rechte gegenüber EPUs und KMUs genauso geltend machen, wie gegenüber multinationalen Konzernen. Die Unternehmer, die Daten verarbeiten, müssen grundsätzlich selbst entscheiden, welche Maßnahmen notwendig sind, um ein möglichst hohes Schutzniveau zu erreichen. Die DSGVO enthält mehrere Vorgaben, die von jedem Verantwortlichen zu erfüllen sind. Beispielsweise ist der Grundsatz der Datenminimierung zu nennen, es sollen nur jene Daten verarbeitet werden, die für den jeweiligen Zweck unbedingt notwendig sind.

Gerade für KMUs sind die zahlreichen Verpflichtungen der DSGVO eine echte Herausforderung. Auch kleinere Unternehmen werden nicht ohne einen "Datenschutzmanager" auskommen können. Es muss in jedem Betrieb eine Person geben, die sich um den Datenschutz kümmert und vor allem darauf achtet, dass die Rechte der betroffenen Personen gewahrt bleiben. Dieser "Datenschutzmanager" muss vor allem dafür Sorge tragen, dass Anträge und Anfragen von Kunden betreffend Datenschutz nicht ignoriert werden oder liegen bleiben.

Die EU meint es mit der DSGVO und dem Datenschutz wirklich ernst. Das zeigen die in der DSGVO enthaltenen Sanktionen. Bei Verstößen gegen die Verpflichtungen der DSGVO können Geldbußen bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im letzten Wirtschaftsjahr verhängt werden. Natürlich wird dieser Geldbußenrahmen bei KMUs nicht ausgeschöpft werden, jedoch zeigt alleine dieser ungewöhnlich hohe Geldbußenrahmen, dass es sich bei Datenschutzverstößen nicht um Kavaliersdelikte handelt. Neben diesen Geldbußen können auch bei vorsätzlichen Datenschutzverstößen Verwaltungsstrafen verhängt werden. Personen, die in ihren Datenschutzrechten verletzt worden sind, können darüber hinaus Schadenersatzklagen gegen die Verantwortlichen und die Auftragsverarbeiter einbringen. Mit solchen Klagen kann auch immaterieller Schadenersatz gefordert werden, vergleichbar wie bei medienrechtlichen oder urheberrechtlichen Verstößen. Es muss somit gar kein konkreter Schaden eingetreten sein, um einen solchen immateriellen Schaden zu erhalten.

Personen, die in ihren Rechten verletzt worden sind, können auch Beschwerden an die Datenschutzbehörde erheben. Es ist zu erwarten, dass betroffene Personen bei Verletzungen ihrer Rechte auch tatsächlich rechtliche Schritte ergreifen und diese Sanktionen zum Tragen kommen. Deshalb ist es auch für KMUs von wesentlicher Bedeutung, sich mit der DSGVO auseinanderzusetzen und entsprechende Vorkehrungen zu treffen, die DSGVO wirkungsvoll umzusetzen. Wenn tatsächlich ein Verstoß erfolgt, werden jene Unternehmen, die möglichst umfassend ihre Kontrollpflichten und Dokumentationspflichten nachweisen können, die relativ geringsten Konsequenzen tragen müssen.

Rechtsanwalt Dr. Gerald Ganzger ist Partner der Kanzlei Lansky, Ganzger + partner Rechtsanwälte GmbH in Wien und beschäftigt sich seit vielen Jahren mit allen Aspekten des Persönlichkeitsschutzes und des Datenschutzes.

Mehr Artikel zum Thema: EU-DSGVO

Doppelt gemoppelt schützt besser

Die neue Datenschutzgrundverordnung kennt kein Pardon: Neben...

Weiterlesen

In sieben Schritten zum DSGVO-Erfolg

Austrian Standards hat eine praxisorientierte Publikation...

Weiterlesen

DSGVO-Software aus dem Burgenland

Im Rahmen des sechsmonatigen Projektes DAFAPO (Datenschutz |...

Weiterlesen

EU-DSGVO: Chancenreiches Damoklesschwert

Die Europäische Datenschutzgrundverordnung hängt wie ein...

Weiterlesen

In 12 Stufen zur EU-DSGVO

Ab dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung...

Weiterlesen

EU-Datenschutz-Grundverordnung als Chance sehen

Der Countdown für die Umsetzung der EU-DSGVO läuft. Knapp 60...

Weiterlesen

Werden Sie dem künftigen Datenschutz gerecht?

In weniger als einem Jahr wird das neue, europaweit geltende...

Weiterlesen

DSGVO wird zur Zerreißprobe

Weniger als die Hälfte der Unternehmen hat einen konkreten...

Weiterlesen

Post gibt Tipps zur DSGVO-Umsetzung

Die EU-Datenschutz-Grundverordnung kommt in Riesenschritten...

Weiterlesen

Die letzten Datenschutz-Einhörner gibt es noch

In einigen Branchen gibt es letzte Einhörner, die sich noch...

Weiterlesen

S&T und LGP laden zu DSGVO-Infoveranstaltung

S&T und LANSKY, GANZGER + partner laden am 24. Oktober 2017...

Weiterlesen

EU-DSGVO gilt auch für die Kleinsten

Von der neuen Datenschutzgrundverordnung der EU sind nicht...

Weiterlesen

Software-Lösung für DSGVO-Umsetzung

Die Software Intervalid 1.0 nimmt nicht nur bei der...

Weiterlesen

Post hilft bei DSGVO-Umsetzung

Die Österreichische Post AG berät Geschäftskunden zu allen...

Weiterlesen

Die EU-DSGVO und ihre Mythen

Kein Richter und auch nicht die Datenschutzbehörde werden...

Weiterlesen

BYOD: Sicherheit und Datenschutz regeln

Seit Smartphones & Co. den Arbeitsalltag erobert haben,...

Weiterlesen

10 DSGVO-Tipps für Österreichs Unternehmer

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung...

Weiterlesen

EU-DSGVO: Dokumentation ist A&O

Wolfgang Honold, DSAG-Vorstand Österreich, beschreibt im...

Weiterlesen

DSGVO & NIS stellen Unternehmen unter Zugzwang

Ob wir es wollen oder nicht: Die EU-DSGVO wird im Jahr 2018...

Weiterlesen