EU-DSGVO
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Gastartikel - Gerald Ganzger, Lansky, Ganzger + partner Rechtsanwälte

EU-DSGVO: Mögliche rechtliche Konsequenzen für KMU

Die EU meint es mit der DSGVO und dem Datenschutz wirklich ernst. Das zeigen die enthaltenen Sanktionen. Gerade für KMUs sind die zahlreichen Verpflichtungen eine echte Herausforderung.

Mit 25.05.2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in der gesamten EU in Kraft. Die DSGVO gilt für die automatisierte Verarbeitung personenbezogener Daten. Darunter werden die Daten von identifizierten oder identifizierbaren natürlichen Personen (betroffene Personen) verstanden. Erklärtes Ziel der DSGVO ist ein möglichst hohes Schutzniveau für Daten sicherzustellen. Dies geschieht einerseits durch die Stärkung der Rechte der betroffenen Personen, beispielsweise Auskunftsrechte, Recht auf Datenportabilität, Informationsrechte und Recht auf Löschung und andererseits durch zahlreiche Verpflichtungen für die Verantwortlichen. Das sind alle jene natürlichen oder juristischen Personen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Die DSGVO verpflichtet aber nicht nur diese Verantwortlichen, sondern auch die Auftragsverarbeiter, das sind jene, die personenbezogene Daten im Auftrag der Verantwortlichen verarbeiten. Die DSGVO gilt – von wenigen Ausnahmen abgesehen – für alle Unternehmen, die solche personenbezogenen Daten anwenden. Die betroffenen Personen können somit ihre Rechte gegenüber EPUs und KMUs genauso geltend machen, wie gegenüber multinationalen Konzernen. Die Unternehmer, die Daten verarbeiten, müssen grundsätzlich selbst entscheiden, welche Maßnahmen notwendig sind, um ein möglichst hohes Schutzniveau zu erreichen. Die DSGVO enthält mehrere Vorgaben, die von jedem Verantwortlichen zu erfüllen sind. Beispielsweise ist der Grundsatz der Datenminimierung zu nennen, es sollen nur jene Daten verarbeitet werden, die für den jeweiligen Zweck unbedingt notwendig sind.

Gerade für KMUs sind die zahlreichen Verpflichtungen der DSGVO eine echte Herausforderung. Auch kleinere Unternehmen werden nicht ohne einen "Datenschutzmanager" auskommen können. Es muss in jedem Betrieb eine Person geben, die sich um den Datenschutz kümmert und vor allem darauf achtet, dass die Rechte der betroffenen Personen gewahrt bleiben. Dieser "Datenschutzmanager" muss vor allem dafür Sorge tragen, dass Anträge und Anfragen von Kunden betreffend Datenschutz nicht ignoriert werden oder liegen bleiben.

Die EU meint es mit der DSGVO und dem Datenschutz wirklich ernst. Das zeigen die in der DSGVO enthaltenen Sanktionen. Bei Verstößen gegen die Verpflichtungen der DSGVO können Geldbußen bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes im letzten Wirtschaftsjahr verhängt werden. Natürlich wird dieser Geldbußenrahmen bei KMUs nicht ausgeschöpft werden, jedoch zeigt alleine dieser ungewöhnlich hohe Geldbußenrahmen, dass es sich bei Datenschutzverstößen nicht um Kavaliersdelikte handelt. Neben diesen Geldbußen können auch bei vorsätzlichen Datenschutzverstößen Verwaltungsstrafen verhängt werden. Personen, die in ihren Datenschutzrechten verletzt worden sind, können darüber hinaus Schadenersatzklagen gegen die Verantwortlichen und die Auftragsverarbeiter einbringen. Mit solchen Klagen kann auch immaterieller Schadenersatz gefordert werden, vergleichbar wie bei medienrechtlichen oder urheberrechtlichen Verstößen. Es muss somit gar kein konkreter Schaden eingetreten sein, um einen solchen immateriellen Schaden zu erhalten.

Personen, die in ihren Rechten verletzt worden sind, können auch Beschwerden an die Datenschutzbehörde erheben. Es ist zu erwarten, dass betroffene Personen bei Verletzungen ihrer Rechte auch tatsächlich rechtliche Schritte ergreifen und diese Sanktionen zum Tragen kommen. Deshalb ist es auch für KMUs von wesentlicher Bedeutung, sich mit der DSGVO auseinanderzusetzen und entsprechende Vorkehrungen zu treffen, die DSGVO wirkungsvoll umzusetzen. Wenn tatsächlich ein Verstoß erfolgt, werden jene Unternehmen, die möglichst umfassend ihre Kontrollpflichten und Dokumentationspflichten nachweisen können, die relativ geringsten Konsequenzen tragen müssen.

Rechtsanwalt Dr. Gerald Ganzger ist Partner der Kanzlei Lansky, Ganzger + partner Rechtsanwälte GmbH in Wien und beschäftigt sich seit vielen Jahren mit allen Aspekten des Persönlichkeitsschutzes und des Datenschutzes.

Mehr Artikel zum Thema: EU-DSGVO

DSGVO: Fünf nach Zwölf

Obwohl die Übergangsfrist der Datenschutzgrundverordnung...

Weiterlesen

Österreichischer DSGVO-Spezialist eröffnet Niederlassung in Deutschland

Das junge österreichische Unternehmen Intervalid hat sich...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

DSGVO aus Sicht der Informatiker

Die Informatik-Experten Michael Sonntag und Reinhard Posch...

Weiterlesen

85% verpassen DSGVO-Deadline

Obwohl die Regulierung in einer Woche anwendbar wird,...

Weiterlesen

nic.at beschränkt Whois-Abfragen

In Hinblick auf die DSGVO hat die Domain-Registry nic.at...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Kein Freibrief für Datenschutzverstöße

Wir haben den Rechtsanwalt Gerald Ganzger gefragt, welche...

Weiterlesen

DSGVO: Ein zahnloser Löwe?

Knapp einen Monat vor dem Stichtag der EU-DSGVO am 25. Mai...

Weiterlesen

DSAG löst Datenschutz-Fragezeichen

Es soll immer noch Unternehmen geben, die im freien Fall auf...

Weiterlesen

"Das ist ein Wahnsinn"

"Wir brauchen drei bis sechs Monate, um gute Leute auf...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

Datenschutz bei der DSAG

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) macht auch vor...

Weiterlesen

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht...

Weiterlesen

DRACOON ist EU-DSGVO-ready

DRACOON, Experte im Bereich Enterprise Filesharing, erhält...

Weiterlesen

EU-Datenschutz-Grundverordnung: Die Zeit wird knapp

Die neue Datenschutz-Grundverordnung gilt ab 25. Mai 2018 in...

Weiterlesen

EU-DSGVO und die Cloud: Wer trägt welche Verantwortung?

Cloud-Computing ist kein Trend, sondern schlicht die nächste...

Weiterlesen

Orientierung im DSGVO-Dickicht

Das IT-Systemhaus NAVAX und VACE IT & SECURITY SERVICES...

Weiterlesen

EU-DSGVO: Darauf müssen Recruiter 2018 achten

Gerade bei Datenerhebung, -verarbeitung und -sicherheit...

Weiterlesen