Mythos #2: Der Strafrahmen der DSGVO reicht bis 20 Millionen Euro

15. August 2017 |

Kurz und bündig: Der Strafrahmen liegt weit höher – und kann wesentlich durch das Verhalten des Unternehmens bzw. Verantwortlichen beeinflusst werden.

Hier die Details mit dem Hinweis vorweg: Es handelt sich hierbei um KEINE Rechtsberatung, ich bin kein Jurist (siehe https://informationssicherheit.jetzt/informationen/) sondern IT Praktiker!

Die Aussage, dass die Strafen Aufgrund von Vergehen gegen die DSGVO bis zu 20.000.000 Euro betragen kann, findet sich oft auch in Fachartikeln. Trotzdem ist diese Aussage nicht ganz richtig:
In Art.83 Abs. 5 findet sich die genaue Definition (Auszug):
„Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist“
Der letzte Halbsatz – eben die Bestimmung, dass der höhere der beiden Werte gilt, wird oft vernachlässigt. Das bedeutet, dass der Höchstbetrag an sich unbegrenzt ist – allein abhängig vom weltweiten Jahresumsatz.
Unternehmer werden erkennen, dass 4% des Jahresumsatzes für Unternehmen jeder Größe sehr schmerzhaft sind. Je nach Umsatzrentabilität auch existenzbedrohend.

Beachtet man allerdings die Anmerkungen, Regelungen in weiteren Artikeln der DSGVO und vor Allem die Beweggründe zur DSGVO lässt sich freilich erkennen, dass es nicht Absicht des Gesetzgebers ist, Unternehmen zu vernichten. Vielmehr wird von den Behörden bei der Festsetzung von allfälligen Strafen gefordert, dass die Maßnahmen abschreckend sein sollen. Vor allem soll aber erreicht werden, dass sich die Verantwortlichen bzw. Verarbeiter mit der DSGVO ernsthaft auseinandersetzen und das Thema des Datenschutzes eine wichtige und zentrale Stelle in der Organisationsführung einnimmt.

So können die Behörden auch Verwarnungen aussprechen, vor Allem bei leichten bzw. erstmaligen Verstößen. Überdies können die Behörden die Umsetzung von entsprechenden Maßnahmen verlangen, mit dem Ziel, das Niveau des Datenschutzes in der betroffenen Organisation anzuheben.

Freilich ist zum jetzigen Zeitpunkt noch nicht absehbar, wie die verantwortlichen Behörden die Gesetzlichen Rahmen auslegen werden. Erkennbar ist allerdings, dass bei entsprechender Vorbereitung und Umsetzung „angemessener“ Maßnahmen, die Wahrscheinlichkeit eine hohe Strafe auszufassen bedeutend reduziert wird. Ebenfalls muss die Kommunikation mit den Datenschutzbehörden im Vorfeld geklärt werden – ein Datenschutzbeauftragter oder ein Datenschutzverantwortlicher bestellt und auch klar nach Außen hin kommuniziert werden.

Nichts zu unternehmen und einfach abzuwarten, ist aus meiner Sicht hingegen äußerst gefährlich und wird sowohl bei der Kommunikation mit den Behörden wie auch in allfälligen Verfahren negative Auswirkungen auf die Strafhöhe nach sich ziehen.

Darum mein Fazit: Jetzt Beginnen, sich mit der DSGVO auseinander zu setzen. Jetzt erheben, wo und wie personenbezogene Daten in der Organisation erhoben und verarbeitet werden. Jetzt entsprechende Schulungen aller Mitarbeiter durchführen. Jetzt die erforderlichen Dokumentationen anlegen. Jetzt erheben, welche weiteren Maßnahmen umgesetzt werden müssen!

Unterstützung gewünscht? Gerne! Gleich hier unten das Kontaktformular nutzen, oder gleich direkt anrufen +43 512 580447 oder mailen info@re-systems.com – oder zum Infomail anmelden (siehe Anmeldeformular unten).

Am Laufenden bleiben – und für E-Mailinfo registrieren!

[contact-form-7 id=”225″ title=”Kontaktformular 1″]

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.