Endlich gibt es mit „DSGVO – information privacy standard“ nun den ersten Kriterienkatalog für ein DSGVO Zertifikat in Deutschland, mit dem sowohl Verantwortliche Stellen als auch Auftragsverarbeiter zertifiziert werden können. Falls Sie sich fragen, welche Vorteile sich aus einem solchen Zertifikat ergeben, möchten wir in dieser Beitragsreihe Antworten geben. Im Teil 1 haben wir uns um Datenschutz als Erfolgsfaktor gekümmert und in Teil 2 haben wir uns angeschaut, wie eine DSGVO-Zertifizierung gem. Art. 42 DSGVO zur Marktzutrittsvoraussetzung werden kann. Heute betrachten wir, inwiefern eine solche Zertifizierung zur Verringerung von Haftungsrisiken beitragen kann.
Reduktion von Haftungsrisiken
Wir alle haben sicher in den letzten Jahren den ein oder anderen schockierende Newsbeitrag in Bezug auf Datenschutzverstöße mitbekommen. Bei einem Datenschutzverstoß drohen nicht nur ein massiver Imageschaden und ein Vertrauensverlust für ein Unternehmen. Aufsichtsbehörden haben seit Einführung der DSGVO deutlich mehr Möglichkeiten, Verstöße gegen das Datenschutzrecht auch mit einem Bußgeld zu ahnden. Diese Bußgelder können bis zu 2% vom Jahresumsatz oder 10 Mio. € betragen.
Um ein paar Beispiele zu nennen:
2021 wurde z. B. ein Bußgeld gegen Booking.com i.H.v. 475.000€ publik, wir berichteten. Dieses wurde verhängt, da es Cyberkriminellen Anfang 2019 gelang, über 4.000 Kundendatensätze mit Namen, Adressen, Telefonnummern und in knapp 300 Fällen auch Kreditkarteninformationen vom Betreiber zu stehlen.
2024 verhängte die niederländische Aufsichtsbehörde eine 290 Millionen Euro Strafe an Uber wegen unerlaubter Datenübermittlung in die USA.
Ein weiteres Beispiel von Juni 2023 zeigt: Bei rechtswidriger Datenverarbeitung durch ein Telekommunikationsunternehmen, welches trotz eines Widerspruchs und eines Löschantrags fünf Werbe-E-Mails an die betroffene Person sendete, kann schon mal mit einem Bußgeld i. H. v. 150.000 Euro, hier verhängt durch die griechische Aufsichtsbehörde, bestraft werden.
Einen ähnlichen Fall gab es auch in Deutschland, wo die Aufsichtsbehörden gehen gegen unzulässige Datenverarbeitungen per E-Mail vorgingen und 2022 ein Bußgeld i. H. v. 75.000 Euro gegen ein Unternehmen aufgrund von unzulässiger E-Mail-Werbung nebst Tracking verhingen. In Baden-Württemberg kostete das unrechtmäßige E-Mail-Marketing im selben Jahr einen Online-Dienstleister 40.000 Euro.
Die vielen Anforderungen der DSGVO
Aber nicht nur Datenpannen können zum Problem werden. In der DSGVO sind zahlreiche Pflichten für die Verarbeitung von Daten festgelegt. Für die Umsetzung dieser Pflichten ist eine Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO normiert. Demnach muss der Verantwortliche die Einhaltung der Grundsätze für die Datenverarbeitung nachweisen können. Aufsichtsbehörden fragen teilweise mit Fragebögen bei Unternehmen an, um die Umsetzung zu überprüfen. So etwa erfolgte es 2021 nach der Schrems II Entscheidung des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 (Rechtssache C-311/18, „Schrems II“). In der Praxis kommt es selten vor, dass Aufsichtsbehörden bei ihren Untersuchungen Zwangsmaßnahmen anwenden, kommen Unternehmen den Anfragen jedoch nicht nach, kann es zu unerwünschtem Besuch von der Aufsichtsbehörde kommen.
Teilweise sind in der DSGVO aber auch Nachweispflichten mit direktem Verweis auf ein unabhängiges Zertifikat verankert.
Haftungsreduktion durch ein Zertifikat.
In diesem Zusammenhang kann ein Zertifikat doppelt bei der Reduktion des Haftungsrisikos beitragen:
Zum einen werden bei einem Zertifizierungsverfahren auch interne Praktiken zum Datenschutz geprüft, sodass bereits im Voraus der Datenschutz im Unternehmen, z. B. auch die Prozesse zur rechtzeitigen Meldung von Datenpannen, geprüft wird. Unter Umständen kommt es so gar nicht zum Verstoß mit Bußgeldfolge. Oder der Verstoß ist weniger gravierend und führt somit schon zu einem geringeren Bußgeld.
Zum anderen zeigt ein Zertifikat auch den Aufsichtsbehörden im Falle einer Untersuchung, dass der Datenschutz in Ihrem Unternehmen Priorität genießt. Auch bei einer reinen Anfrage auf Erfüllung der Nachweispflichten kann ein Zertifikat unterstützend wirken. Der Bericht stellt eine umfassende Feststellung der Umsetzung des Datenschutzes dar und kann Aufsichtsbehörden vorgelegt werden. Auch im Falle eines Bußgeldes kann ein DSGVO-Zertifikat als „Faktor“ bei der Bemessung des Bußgeldes herangezogen werden. Somit ist ein Zertifikat auch bilanziell interessant. Stichwort: Rücklagen, KonTraG, aber auch Versicherungen. Denn je geringer das Risiko, desto leichter und günstiger ist es zu versichern. Es lässt sich also auch Geld einsparen, wenn der Aufwand an der richtigen Stelle erbracht wird.
Damit lässt sich festhalten: Mit einem offiziellen DSGVO-Zertifikat können Sie Ihre Haftung reduzieren! Oder Ihre Rückstellungen!
14. April 2025 @ 12:24
„Demnach war der Verantwortliche ist für die Einhaltung der Grundsätze für die Datenverarbeitung nachweisen können muss.“
Soso.
15. April 2025 @ 9:01
Vielen Dank für den Hinweis. Wir haben den Satz korrigiert.
Mit freundlichen Grüßen
Ihre Blogredaktion