Datenschutz Und Compliance 1

Manch­mal steckt der Daten­schutz-Teu­fel wirk­lich im Detail…

Wie Mah­nun­gen für den Absen­der teu­er wer­den kön­nen (Stich­wort: DSGVO)

Unser Man­dant strei­tet mit einem Unter­neh­men, weil sich die Zusa­gen des Ver­triebs nicht mit dem Vor­ge­hen der kauf­män­ni­schen Abtei­lung decken. Kon­kret geht es um indi­vi­du­ell schrift­lich zuge­si­cher­te Preis­ga­ran­tien, die nicht den “offi­zi­el­len Preis­ta­bel­len” entsprechen.

Eigent­lich eine ganz ein­fa­che Geschich­te. Natür­lich ver­drän­gen die indi­vi­du­el­len Abspra­chen die “gene­rel­len Rege­lun­gen” (vergl § 305 Abs. 1 Satz 3 BGB) der ver­wen­de­ten All­ge­mei­nen Geschäfts­be­din­gun­gen (AGB).

Die Par­tei­en schrei­ben also hin und her und es wird zuge­si­chert, dass sich irgend­je­mand, irgend­wann, irgend­wie im Unter­neh­men um irgend­was kümmert..

Nun erreich­te unse­ren Man­dan­ten etwas über­ra­schend die “2. Mah­nung” — wohl aus­ge­löst durch einen auto­ma­ti­sier­ten Pro­zess in der Buchhaltung.

Mahnung Verstoß Gegen Datenschutz

Wenn man sich die­se Mah­nung ein­mal etwas genau­er anschaut, sträu­ben sich die daten­schutz­recht­li­chen Härchen.

Denn natür­lich sind die in der Mah­nung genann­ten Rechts­grund­la­gen nicht mehr ein­schlä­gig. Das natio­na­le Bun­des­da­ten­schutz­ge­setz prä­sen­tiert sich seit Mai 2018 bekann­ter­ma­ßen anders und die gemein­ten Rechts­grund­la­gen nicht mehr vor­han­den sind.

Das scheint aber irgend­wie an den Mus­ter­tex­ten vor­bei­ge­gan­gen zu sein.

Mög­li­che Folgen

So, und was kön­nen die Fol­gen eines sol­chen Feh­lers sein?

Wenn das Unter­neh­men — wie ange­kün­digt — per­so­nen­be­zo­ge­ne Daten an Drit­te, also an Aus­kunftei­en wie Cre­dit­re­form oder Schufa wei­ter­lei­tet, erfolgt die­ses auf der Grund­la­gen einer nicht mehr vor­han­de­nen Rechts­grund­la­ge. Und das ist, wie Auto­fah­ren ohne Fahr­erlaub­nis: schön, dass Du es kannst, aber trotz­dem begehst Du eine Straf­tat.

Unter­stel­len wir bei der welt­weit täti­gen Unter­neh­mens­grup­pe dem das Unter­neh­men ange­hört, einen Umsatz von 200 Mio EUR im Vor­jahr; bewer­ten den Ver­stoß als “leicht” (was man durch­aus dis­ku­tie­ren kann) und gehen wei­ter davon aus, dass die Tat nicht vor­sätz­lich erfolgte…

In der Dik­ti­on der buß­geld­recht­li­chen Rege­lun­gen könn­te die­ser Ver­stoß gegen Art. 6 DSGVO (Ver­ar­bei­tung ohne Rechts­grund­la­ge) nach dem Posi­ti­ons­pa­pier der DSK mit­hin zu einem Buß­geld bis zu 10.000.000 EUR führen…

Nach­rech­nen lässt sich die­ses mit unse­rem Buß­geld­rech­ner.

Wei­te­re Ver­stö­ße z.B. Art. 5 DSGVO, Art. 12 ff. DSGVO usw. lie­gen auch noch auf der Hand, die wir aber zur Ver­ein­fa­chung mit der Figur der Kon­sum­ti­on ausblenden.

Nach der der­zei­ti­gen Pra­xis wird wohl kein Buß­geld 10 Mio€ ver­hängt wer­den. Aber selbst wenn es “nur” 50.000 EUR wer­den , ist das mehr als ärger­lich für das Unter­neh­men, oder?

Wir wer­den sicher nie erfah­ren, ob und in wel­cher Höhe die Lan­des­da­ten­schutz­be­hör­de ein Buß­geld ver­hängt, denn im Zwei­fel bekommt die Behör­de den Ver­stoß ja gar nicht mit.

Wir jeden­falls haben das Unter­neh­men auf das “Opti­mie­rungs­po­ten­ti­al” hin­ge­wie­sen — mehr wol­len wir hier nicht machen — und hof­fen auf die “Selbst­hei­lungs­kräf­te” des Unternehmens…

Kon­se­quen­zen

Als Daten­schutz­be­auf­trag­ter soll­te man unbe­dingt auch in die Tie­fen des Unter­neh­mens ein­tau­chen um einen Daten­schutz­ver­stoß mög­lichst zu ver­mei­den. Mah­nun­gen, (Muster-)Anschreiben usw. sind häu­fig ein Fund­ort für Ver­stö­ße gegen daten­schutz­recht­li­che Rege­lun­gen. Wohl dem, der alles rich­tig macht ;o)