So schützen sich Unternehmen vor DSGVO-Strafen

Am 25.05.2023 feierte die DSGVO ihr fünfjähriges Bestehen. Nicht zur Freude aller, denn nach wie vor werden fast täglich neue Bußgelder wegen DSGVO-Verstößen verhängt - teils in beträchtlicher Höhe. Immer wieder trifft dies auch kleine und mittelständische Unternehmen. Jedoch lassen sich mit gezielten Präventionsmaßnahmen und einer DSGVO-Versicherung die Risiken erheblich senken.

DSGVO-Bußgelder: Durchschnittliches Strafmaß steigt kontinuierlich

Als die Datenschutz-Grundverordnung vor rund fünf Jahren in der gesamten EU Geltung erlangte, ging ein Aufschrei durch alle Branchen. Unternehmen jeder Größe wurden seinerzeit verpflichtet, Maßnahmen zum Schutz sensibler, personenbezogener Daten zu ergreifen. Teils war der Aufwand hierfür immens. Doch selbst bei äußerster Sorgfalt ist vollständige Sicherheit vor DSGVO-Strafen kaum zu erreichen. Dies zeigt auch ein Blick auf die Zahlen.

So wurden laut im Jahr 2023 (Stand Mai) laut enforcementtracker.com bereits rund 1,6 Milliarden Euro Bußgelder wegen DSGVO-Verstößen verhängt - mehr als in den Jahren 2019, 2020 und 2021. Hintergrund ist die neue Rekordgeldbuße für Meta: Über 1,2 Milliarden Euro, die mit einer unberechtigten Datenübertragung in die USA zusammenhängt. Doch selbst, wenn die Meta-Geldstrafe herausgerechnet wird, zeigt sich ein klares Bild: Die durchschnittliche Höhe der Bußgelder ist seit der DSGVO-Einführung kontinuierlich gestiegen. Waren es 2019 noch rund 500.000 Euro pro Verstoß, so werden 2023 im Schnitt bereits 2,8 Millionen Euro fällig (Quelle). Die finanziellen Risiken sind also immens.

Auf diese Fallstricke sollten Unternehmen besonders achten

Um sich vor DSGVO-Strafen zu schützen, ist es zunächst erforderlich, sich der größten Risiken bewusst zu werden. Welche dies sind, weiß Tommy Herzer. Er ist Head of Insurance Product von hepster, einem Rostocker InsurTech Unternehmen, die auch spezielle Policen für den DSGVO-Bereich anbietet.

 Ein wichtiger, oft unterschätzter Aspekt ist laut Herzer beispielsweise die Passwortsicherheit. Denn die DSGVO fordert von Unternehmen, personenbezogene Daten vor unbefugtem Zugriff zu schützen. „Oftmals werden aber noch zeitlich unbegrenzte Passwörter genutzt, was Cyberkriminellen Zeit verschafft, um diese zu knacken und im Worst Case einen Cyberangriff zu starten“, gibt der Experte zu bedenken. Eine grundlegende Maßnahme besteht also darin, Passwortrichtlinien zu aktualisieren und sicherere Authentifizierungsmethoden in Betracht zu ziehen.

Ein weiteres Risiko bergen Daten, für die es keine Nutzung mehr gibt. „Diese erhöhen die Wahrscheinlichkeit für DSGVO-Verstöße schlicht durch ihr Vorhandensein“, so Herzer weiter. Denn wenn diese Daten nicht mehr für die Zwecke, für die sie erhoben wurden, notwendig sind, müssen sie gemäß DSGVO gelöscht werden. Ebenso riskant sei das Fortbestehen der Nutzerkonten von Mitarbeitern, die das Unternehmen verlassen haben. Diese sollten deaktiviert werden, da sie sonst eine zusätzliche Angriffsfläche für Cyberkriminalität darstellen.

Nicht zu vernachlässigen sind außerdem zu umfangreiche Berechtigungen. Da personenbezogene Daten nur gemäß Verarbeitungszweck verwendet werden dürfen, sollten auch die Berechtigungen nur auf Grundlage dieses Zweckes verteilt werden. Ergänzend empfiehlt es sich, nur denjenigen Mitarbeitern Zugang zu diesen Daten zu erteilen, die auch tatsächlich mit ihnen arbeiten. Denn mit steigender Anzahl zugriffsberechtigter Personen steigt auch das Risiko, menschliche Fehler zu begehen oder eine unbemerkte Schadsoftware einzuschleusen.

Gezielte Prävention ist empfehlenswert

„Für Unternehmen jeder Größe wird es immer wichtiger, den internen Umgang mit personenbezogenen Daten der Mitarbeiter, Kunden, Partner und Dienstleister sorgfältig und verantwortungsbewusst zu gestalten“, sagt Tommy Herzer. Das gelte nicht nur für den technischen Schutz, sondern auch in den alltäglichen Arbeitsprozessen. Entsprechend ist eine fortlaufende Sensibilisierung der Belegschaft zu empfehlen. Weiterhin ist es aus Herzers Sicht ratsam, einen Datenschutzbeauftragten zu installieren und eine Kommunikationsstrategie für Krisen parat zu haben. Nicht zuletzt sollten alle im Einsatz befindlichen und neuen Softwareprodukte auf DSGVO-Konformität überprüft werden.

DSGVO-Versicherung bietet zusätzlichen Schutz

Umsichtigkeit und der richtige Umgang mit sensiblen, personenbezogenen Daten sollten für jedes Unternehmen eine Grundvoraussetzung sein. Doch selbst mit höchstem Verantwortungsbewusstsein und trotz der Umsetzung oben skizzierter Präventionsmaßnahmen können Fehler nicht gänzlich ausgeschlossen werden. Hinzu kommt, dass nicht jeder DSGVO-Verstoß umgehend als solcher zu erkennen ist. Für den Ernstfall existieren speziell geschaffene DSGVO-Versicherungen. Ein flexibles Angebot dieser Art kommt beispielsweise von hepster.

Mit deren DSGVO-Versicherung schützen sich Unternehmen vor den hohen Kosten, die ein DSGVO-Rechtsstreit mit sich bringt. Unter anderem kommt die weltweit geltende Versicherung für Schadenersatzansprüche sowie Prozess- und Anwaltskosten auf. Doch auch die Abwehr zivilrechtlicher Ansprüche gegen Mitarbeiter ist inklusive. Gleiches gilt für eine schnelle Rund-um-die-Uhr-Beratung durch Spezialisten im Ernstfall. Eine weitere Besonderheit liegt darin, dass die DSGVO-Versicherung im jederzeit kündbaren Abomodell verfügbar ist. Außerdem richtet sich die Gebühr nach der Anzahl der Mitarbeiter. Somit steht für Unternehmen aller Größen ein passendes Angebot bereit.

Fazit: Schutz vor DSGVO-Strafen sollte Priorität haben

Fünf Jahre nach Einführung der DSGVO sind es nach wie vor hauptsächlich kleine und mittelständische Unternehmen, denen die Regularien und deren Einhaltung zu schaffen machen. Hierzu zählen unter anderem Ärzte, medizinische Praxen, Steuerberater und Software-Händler, aber auch Hotels oder handwerkliche Betriebe, Vereine und Website-Betreiber. Selbst kleine Fehler können in diesen und weiteren Branchen zu schwerwiegenden, teils existenzbedrohenden Strafen führen. Insofern sollten sich Unternehmen, die täglich mit sensiblen und personenbezogenen Daten arbeiten, bestmöglich absichern. Technische und organisatorische Maßnahmen sind hierbei die tragenden Säulen. Noch höher wird das Schutzlevel, wenn sich Unternehmen zusätzlich für eine DSGVO-Versicherung entscheiden. In diesem Bereich existieren preislich sehr attraktive Angebote. Insbesondere im Vergleich mit den drastischen Bußgeldern, die bei DSGVO-Verstößen drohen, ist die Investition in eine entsprechende Versicherung verschwindend gering.