Die DSGVO und ihre besondere Relevanz für Unternehmen

Ein Gastbeitrag von Hans-Dieter Seibert und Thomas Noll

Seit dem 25.05.2018 gilt die EU-Datenschutzgrundverordnung (kurz: EU-DSGVO), die wie alle Verordnungen der EU automatisch Gesetzesrang in Deutschland und sämtlichen anderen Mitgliedsstaaten der Europäischen Union hat. Viele in der Wirtschaft oder auch in Behörden tätigen Personen denken, dass diese Rechtsvorschrift nur für Betreiber von Websites, Online-Händler oder Personalverantwortliche von Belang ist. Doch dies ist ein weit verbreiteter Irrtum.

Sehr wahrscheinlich hat die EU-DSGVO mittel- bis langfristig Auswirkungen auf die Verhaltens- wie auch Arbeitsweise der Mehrzahl aller Unternehmen und Beschäftigten in ganz Deutschland – vom global operierenden Konzern bis zum kleinen Handwerksbetrieb. Doch damit wollen wir uns erst am Schluss dieses Beitrages beschäftigen.  Zuerst werden wir uns die mit der EU-DSGVO verbundenen Vorteile genauer ansehen, bevor wir uns mit den potentiellen Problemen und Risiken auseinandersetzen.

Die Vorteile der DSGVO

  1. Mit der Einführung der EU-DSGVO ist ein Raum mit einem einheitlichen Datenschutzniveau für die ca. 500 Mio. Bürger und Bürgerinnen der 28 Mitgliedsstaaten der Europäischen Union entstanden, der sowohl den privaten wie auch den öffentlichen Bereich umfasst.
  2. Die EU-DSGVO schafft ein besseres Verständnis und einen höheren Stellenwert für personenbezogene Daten. Zudem definiert sie genauer, was unter personenbezogenen Daten zu verstehen ist und erweitert den Umfang der besonderen personenbezogenen Daten (Gesundheitsdaten, biometrische Daten usw.)
  3. Bei Verstößen gegen die EU-DSGVO können Geldbußen bis 20 Mio. € oder wahlweise bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängt werden. Somit drohen Firmen, die die EU-DSGVO verletzen, massive juristische Konsequenzen. Nicht zu unterschätzen ist der Imageverlust einer Firma, wenn derartige Datenschutzverstöße in den traditionellen oder digitalen Medien publiziert werden. Im Übrigen können Sanktionen in Gestalt von Bußgeldern oder Strafen auch gegen einzelne Mitarbeiter ausgesprochen werden, doch dazu erst am Schluss des Beitrags.
  4. Gegenüber großen Online-Portalen wie Facebook, Twitter, Google etc. haben User das Recht auf Löschen ihrer persönlichen Daten. In diesem Zusammenhang spricht man auch vom Recht auf „Vergessen-Werden“.
  5. Alle Betroffenen können sich an die Datenschutzbehörde ihres jeweiligen Landes wenden; gleichgültig, wo der Verstoß aufgetreten ist. Bei einem Datenschutzverstoß eines beispielsweise in Irland ansässigen großen Konzerns können sich Betroffene unmittelbar an die deutschen Datenschutzbehörden wenden.
  6. Mit dem Zwei-Säulen-Modell des Datenschutzes wird ein interner Datenschutz mit einem betrieblichen Datenschutzbeauftragten sowie ein weiterer externer Datenschutz installiert.

Bislang hatte die Rechtsprechung vorwiegend mit Datenschutzverstößen zu tun, die Datenschutzverstöße aus dem Internet oder der digitalen Welt betrafen. Die überwiegende Mehrheit der verhandelten Fälle betraf bisher a) die fehlende Einholung einer Datenschutzerklärung, b) fehlerhafte Datenschutzerklärungen sowie c) inhaltlich falsche Datenschutzerklärungen. In der Tat haben die Landesdatenschutzbehörden in Deutschland seit dem Oktober 2018 damit begonnen, Datenschutzverstöße mit Bußgeldern zu ahnden und schon entsprechende Sanktionen verhängt.

Missachtung des Datenschutzes ist teuer

Den Datenschutz-Sündern droht dabei zweierlei Ungemach:

  1. Zum einen können Datenschutzverstöße, die eine bestimmte Schwelle überschreiten, mit den zuvor erwähnten Geldbußen seitens der Datenschutzbehörden belegt werden; wobei, wie schon aufgezeigt, solche Sanktionen nicht nur Unternehmen, sondern auch deren Organe wie Geschäftsführer, Vorstände, Aufsichtsräte oder Angestellte in einer bestimmten Position treffen können. Bislang waren die Datenschutzbehörden in diesem Zusammenhang noch zurückhaltend, um den handelnden juristischen und natürlichen Personen Zeit für den erforderlichen Transformationsprozess zu geben.
  2. Zum anderen können Datenschutzverstöße von Wirtschaftsverbänden oder auch Verbrauchervereinen oder ggf. auch von Wettbewerbern im Wege einer Abmahnung verfolgt werden. Konkurrenten können bei Datenschutzverstößen immer dann abmahnen, wenn solche Normen des Datenschutzrechts tangiert sind, die gleichzeitig Marktverhaltensregeln darstellen. So kann eine fehlende Datenschutzerklärung Vorschriften des Gesetzes gegen den unlauteren Wettbewerb (UWG) verletzen. In bestimmten Fällen können Wettbewerber ergänzend zur Abmahnung noch Ersatz eines erlittenen Schadens geltend machen.

Bei rechtlichen Auseinandersetzungen entweder mit den Datenschutzbehörden oder mit abmahnenden Wirtschaftsverbänden/Konkurrenten kann selbst die Abwehr unberechtigter Vorwürfe erhebliche finanzielle Ressourcen in einem Unternehmen binden. Zumal dann, wenn es sich um den Kampf David gegen Goliath handelt. D. h., wenn sich eine kleine oder mittlere Firma gegen einen Konzern zur Wehr setzen muss.

Online-Schulungen für Mitarbeiter sind sinnvoll

Von daher ist es sinnvoll, durch Schulungen und fachkundige Beratung Schlupflöcher zu schließen, die später zum Einfallstor für juristische Attacken wegen angeblicher oder tatsächlicher Verstöße gegen das Datenschutzrecht werden können. Unter Umständen sollten sich Start-ups, kleine oder auch mittlere Unternehmen überlegen, inwieweit der Abschluss geeigneter Versicherungen, die die Abwehrkosten oder die Befriedigung bei Datenschutzverstößen übernehmen, für die eigene Firma sinnvoll sind. Des Weiteren bieten manche Bildungsträger Online-Schulungen für Mitarbeiter von Unternehmen an. Andere Bildungsträger veranstalten hochwertige Präsenzveranstaltungen zu allen Themen um die EU-Datenschutzgrundverordnung, dabei wird auch explizit die Haftungs-Thematik von Unternehmen und handelnden Personen angesprochen. Nun zurück zum Hinweis in meiner Einleitung, dass die EU-DSGVO früher oder später den Großteil der deutschen Unternehmen wie auch Beschäftigten berühren wird. Aus der EU-DSGVO ergibt sich, dass sie für alle natürlichen wie juristischen Personen, die Daten erheben, verarbeiten oder nutzen, gilt. Das ist unabhängig davon, ob dies in automatisierter oder nicht-automatisierter Form geschieht.

Die DSGVO ist noch jung

Daraus folgt, dass jeder Handelsvertreter, jeder Call-Center-Agent, jeder Mitarbeiter eines Pflegedienstes, eines Handwerksunternehmens, jeder in der Produktion Tätige, der in handschriftlicher, schriftlicher, automatisierter oder digitaler Form mit personenbezogenen Daten in Berührung kommt, in den Anwendungsbereich der EU-DSGVO gerät. Gegenwärtig konzentriert sich die Rechtsprechung auf die zuvor erwähnten Anwendungsfälle im Internet oder der digitalen Welt. Doch die EU-DSGVO ist noch jung und es ist wahrscheinlich, dass sich die Rechtsprechung noch mit zahlreichen Fällen in anderen Branchen in unterschiedlichsten Konstellationen beschäftigen wird.

Viele Unternehmen aus diversen Branchen, die nur einen Teil ihrer Mitarbeiter – wenn dies überhaupt geschehen ist – geschult haben oder zu schulen beabsichtigen, sollten sich fragen, was passiert, wenn nicht in der EU-DSGVO bewanderte Arbeitnehmer in einem Notfall, wegen einer Urlaubsvertretung oder der Erkrankung eines Kollegen für in der EU-DSGVO eingewiesene Kollegen einspringen müssen. Daher kann es durchaus sinnvoll sein, in vielen Wirtschaftszweigen alle oder eine beträchtliche Zahl der Mitarbeiter in der DSGVO zu unterweisen. Schließlich werden von Behörden/Gerichten verhängte Sanktionen, sofern von nationalem Recht oder Unions-Recht bußgeldbewehrte oder strafbewehrte Tatbestände erfüllt sind, häufig nicht nur gegen juristische Personen, also Unternehmen, sondern auch gegen natürliche Personen, also Geschäftsführer, Vorstände, Aufsichtsräte, Beiräte oder auch Angestellte in speziellen Positionen ausgesprochen. Hiervon können auch einfache Angestellte betroffen sein, wenn Sie zum Beispiel zum Datenschutzbeauftragten ernannt wurden.

Beispiele aus der Praxis

Die Überschreitung der Vorschriften zum Datenschutz können vielfältig sein, daher liste ich hier ein paar Exempel aus der Praxis auf, um darzulegen, welche unterschiedlichen Verstöße gegen die EU-Datenschutzgrundverordnung bislang sanktioniert wurden:

So verhängte die Datenschutzbehörde der Freien und Hansestadt Hamburg ein Bußgeld wegen eines fehlenden  Auftragsverarbeitungsvertrages. Des Weiteren musste der Versender einer E-Mail in Merseburg (Sachsen-Anhalt) ein Bußgeld in Höhe von 2000.-€ entrichten, da sich Hunderte von Adressaten in seiner E-Mail befanden. Auch die mobile Bank N26 wurde zur Zahlung eines Bußgeldes verdonnert, nachdem ihr die Berliner Datenschutzbehörde nachgewiesen hatte, dass sie „Schwarze Listen“ führe.

Ergänzend sei noch darauf hingewiesen, dass Unternehmen, die einen Datenschutzbeauftragten nach dem EU-DSGVO benennen müssen, diesen unaufgefordert der zuständigen Landesdatenschutzbehörde melden müssen. Falls ein Unternehmer nach der EU-DSGVO keinen Datenschutzbeauftragten bestellen muss, dann obliegt dem zuständigen Geschäftsführer oder Vorstand die Umsetzung des Datenschutzes. Schließlich hat die EU-DSVGO wie jede Verordnung der Europäischen Union in jedem Mitgliedsstaat umgehend Gesetzesrang und ist entsprechend anzuwenden.

Im Übrigen hat jedes Unternehmen, in dem eine Datenpanne aufgetreten ist, im Sinne der EU-DSGVO die Pflicht, diesen Vorfall binnen 72 Stunden der zuständigen Landesdatenschutzbehörde mittels eines Online-Formulars zu melden. Dann kann die betreffende Datenschutzbehörde Auflagen für die meldende Firma bestimmen. Durch diese Auflagen sollen die unternehmensinternen Abläufe und Sicherheitsmaßnahmen derart abgeändert werden , dass sich die Datenpanne nicht mehr ereignen kann.

Grundkenntnisse in der EU-DSGVO und Wissen über ihre Auswirkung für die ganze Gesellschaft schaden bestimmt keiner im Wirtschafts- oder Geschäftsleben tätigen Person. Gleiches gilt für Mitarbeiter in Behörden, die in irgendeiner Form mit personenbezogenen Daten zu tun haben.


Herr Hans-Dieter Seibert ist seit 2008 in der Personalentwicklung und der Erwachsenenbildung tätig. Aktuell ist er als Leiter Personalentwicklung beim Bildungsträger Karriereknoten aktiv. Zuvor durchlief er Stationen beim AXA Konzern, bei Wall Street Institute und der TAW e.V. als Key Account Manager. Zusätzlich arbeitet Herr Hans-Dieter Seibert, der die Studiengänge Betriebswirtschaftslehre und Wirtschaftsrecht erfolgreich abschloss, als Sachbuchautor, Verfasser von Artikeln und Kurzbeiträgen sowie als Trainer.


Online-Schulung von capitoo

capitoo bietet die mit dem Comenius Award prämierte Online-Schulung „DSGVO-Schulung für Mitarbeiter“ an.

Jetzt kostenlos testen!

DSGVO-Schulung für Mitarbeiter

Online-Schulung kostenlos testen!