Eine Compliance-Risikoanalyse erfordert auch eine regelmäßige Überprüfung, ob die DSGVO eingehalten wird. Anlass bietet das gegen Google verhängte Bußgeld.
Es gibt vermutlich kaum ein Nachrichten-Format in Europa, das in der vergangenen Woche (KW 04/2019) nicht darüber berichtet hat: Die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat am 21. Januar 2019 auf ihrer Homepage verkündet, dass sie an diesem Tag ein Bußgeld in Höhe von EUR 50 Millionen gegen die Google LLC verhängt hat.
Schwere Verstöße gegen die wesentlichen DSGVO-Grundsätze
Dem Grunde nach sah die CNIL bei Google mehrere Verstöße gegen die DSGVO im Hinblick auf die Verarbeitung personenbezogener Daten, genauer:
- mangelnde Transparenz,
- unzureichende Erläuterungen zur Datenverarbeitung und
- ungültige Zustimmungen zur Personalisierung von Anzeigen.
Letzteres begründete die CNIL damit, dass die relevanten Informationen nicht leicht zugänglich und die geforderten Einwilligungserklärungen zu unkonkret waren. Der Höhe nach rechtfertigte sie das Bußgeld mit der Schwere der festgestellten Verstöße gegen die wesentlichen Grundsätze der DSGVO.
Auch in Deutschland steigen Anzahl und Höhe der Bußgelder
Die meisten größeren und großen Unternehmen, die in der EU über wenigstens eine Niederlassung verfügen und damit der DSGVO unterliegen, haben 2017, spätestens Anfang 2018 alle Hebel in Bewegung gesetzt, um die DSGVO-Vorgaben in der Kürze der Zeit bestmöglich umzusetzen. Dabei war eine häufige Einschätzung, dass mögliche Schäden und die Eintrittswahrscheinlichkeit eines DSGVO-Verstoßes, der mit einem Bußgeld verfolgt wird, jedenfalls in den ersten Monaten nach dem 25. Mai 2018, dem finalen Startschuss für die DSGVO, nicht allzu hoch sein würden.
Es konnte zum Beispiel argumentiert werden, dass die Datenschutzbehörden verhältnismäßig agieren müssten und es neben der Möglichkeit eines Bußgeldes auch noch andere verwaltungsrechtliche Mittel und Wege zur Sanktionierung gebe. Und selbst dann, wenn ein Bußgeld verhängt werden würde, würde dieses am Anfang noch nicht so hoch ausfallen, so nicht selten die Annahme.
Derartige Einschätzungen trafen im Wesentlichen zu. Das inzwischen höchste Bußgeld in Deutschland liegt allerdings bereits bei EUR 80.000. Die Schonfrist scheint vorbei zu sein. Jüngst berichtete das Handelsblatt von bereits 41 Bußgeldern unter der DSGVO in Deutschland.
Anlass zur Aktualisierung Ihrer Risikoanalyse zur DSGVO
Für die Compliance-Risikoanalyse in Ihrem Unternehmen bedeutet dies im Wesentlichen, dass diese jedenfalls im Hinblick auf die DSGVO aktualisiert werden sollte.
Wie bei jedem Compliance-Risiko ist auch das Risiko des DSGVO-Verstoßes zunächst zu identifizieren bzw. zu benennen. Das dürfte in allen Unternehmen bereits erfolgt sein. Sodann werden mögliche Schadenshöhen und Eintrittswahrscheinlichkeiten ermittelt. In genau diesem Punkt ist eine Aktualisierung angezeigt. Es ist insbesondere zu analysieren, welche Art von Unternehmen die Datenschutzbehörden zurzeit im Blick haben, wie hoch die Bußgelder bei welchen Verstößen ausfallen und wie die Angemessenheit der eigenen Compliance-Organisation im Lichte der Einlassungen der Datenschutzbehörden in den DSGVO-Verfahren zu bewerten ist.
Eine Risikoanalyse setzt sich für gewöhnlich mit der Bewertung und Ordnung der Risiken und der Identifizierung möglicher Maßnahmen zu jedem der Risiken, die zunächst angegangen werden sollen, fort. Das Risiko eines DSGVO-Verstoßes dürfte sich in diesem Ranking wieder „nach oben″ bewegt haben. Daher sollte das Thema „Datenschutz″, nachdem die To-dos zur DSGVO spätestens bis zum 25. Mai 2018 für viele Unternehmen erst einmal erledigt waren, wieder aufgegriffen werden.
Risiko-Reduzierung mit angemessener Compliance-Organisation
Am Ende einer Compliance-Risikoanalyse ist zu entscheiden, ob ein Compliance-Risiko vermieden, ausgelagert, reduziert oder übernommen werden soll. Die schlichte Übernahme eines Compliance-Risikos scheidet aus, wenn damit sehenden Auges Gesetze verletzt werden. Rechtlich gefordert ist, allgemein formuliert, eine angemessene Compliance-Organisation.
Risiken bei DSGVO-Verstößen sind mittels angemessener Compliance-Organisation proaktiv anzugehen und zu reduzieren. Dies gilt insbesondere vor dem Hintergrund, dass die Höhe der Bußgelder auch in Deutschland weiter steigen wird. Ferner liegt bei jenen Unternehmen, die sich in den vergangenen ein, zwei Jahren nicht oder nicht hinreichend mit der DSGVO auseinandergesetzt haben, ein wissentlicher Verstoß und damit ein Verstoß der Geschäftsleitung gegen das Legalitätsprinzip nahe. Die Compliance-Aufgabe ist eine Leitungsaufgabe, die im Zuständigkeitsbereich der Geschäftsleitung liegt und nicht in Gänze delegiert werden kann, d. h. die Geschäftsleitung trägt in jedem Fall eine Letztverantwortung für die recht- und zweckmäßige Erfüllung dieser Aufgabe. Neben hohen Bußgeldern, die in vorsätzlichen Fällen noch höher ausfallen dürften, stellt bei DSGVO-Verstößen daher die Frage nach einer Geschäftsleiterhaftung.
Knüpfen Sie an Ihre erfolgreichen Maßnahmen aus 2017/2018 an
Im Hinblick auf die DSGVO empfiehlt sich nach unserer Einschätzung, an die weit überwiegend erfolgreichen Projekte und Maßnahmen aus 2017/2018 zur Umsetzung der DSGVO-Vorgaben anzuknüpfen, die Compliance-Organisation zum Datenschutzrecht weiterzuentwickeln und dabei die behördliche und bald auch gerichtliche Praxis zu berücksichtigen. Hierzu gehört im Lichte der CNIL-Entscheidung insbesondere eine (erneute) Prüfung der Erklärungen Ihres Unternehmens zur Informationsverarbeitung im Hinblick auf Lesbarkeit, Verständlichkeit und Vollständigkeit. Einwilligungen, die der Kunde geben will, müssen außerdem hinreichend konkret sein.
