Skip to main content
Metasoul Docs
Wechsel zwischen Dunkel/Hell/Auto Modus Wechsel zwischen Dunkel/Hell/Auto Modus Wechsel zwischen Dunkel/Hell/Auto Modus Zurück zur Startseite
  1. Metasoul Docs
  2. /
  3. Datenschutz Tips und Tricks
  4. /
  5. Allgemeines

Allgemeines

Wer haftet im Unternehmen für den Datenschutz?

Die Hauptverantwortung für die Einhaltung der Datenschutzgesetze (DSGVO/BDSG) liegt beim Unternehmen selbst, vertreten durch die Geschäftsführung oder den Vorstand. Sie sind verpflichtet, geeignete organisatorische und technische Maßnahmen zu ergreifen und deren Einhaltung zu überwachen. Bei bewusster Missachtung oder Nichterfüllung von Datenschutzanforderungen (grobe Fahrlässigkeit) haftet die Geschäftsführung auch mit ihrem Privatvermögen.

Wie hoch können Strafen für Datenschutzvergehen ausfallen?

Die Bußgelder nach der DSGVO betragen bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) bei schweren Verstößen. Für weniger gravierende Verstöße: bis zu 10 Mio. Euro oder 2 % des Umsatzes. Die genaue Höhe richtet sich nach Schwere, Dauer, Vorsatz/Fahrlässigkeit, Schadensminderung, Kooperation sowie weiteren Faktoren. Zusätzlich sind Schadensersatzforderungen von Betroffenen sowie in gravierenden Fällen auch strafrechtliche Sanktionen möglich. DSGVO-Datenschutzstrafen werden grundsätzlich von der Datenschutzbehörde verhängt.

Wie oft kommt es zu Strafen im Zuge von Datenschutzverstößen?

Bis Ende Dezember 2025 wurden circa 2700 Strafen im Gesamtvolumen von ca. 6,8 Millionen € aufgrund von Datenschutzvergehen ausgesprochen. Auf https://www.enforcementtracker.com/ können diese Strafen eingesehen werden.

Wie kann man Datenschutzstrafen vermeiden und muss ich vor Datenschutzverpflichtungen Angst haben?

Generell kann man Strafen vermeiden, indem man alle relevanten Datenschutzvorgaben einhält. Wichtig: Es verlangt niemand 100% Perfektion – was auch nicht möglich ist. Wichtig ist, dass man nachweisen kann, dass alle Vorgaben nach bestem Wissen und Gewissen eingehalten werden. Mit der Nutzung von Tools wie Metasoul zeigt man, dass man den Datenschutz ernst nimmt, aus der Gefahr von Fahrlässigkeit herauskommt und damit die Wahrscheinlichkeit von Strafen senkt. Das heißt, wenn man anfängt, sich mit Datenschutzverpflichtungen auseinanderzusetzen und diese schrittweise, wenn auch nicht perfekt, umsetzt, muss man auch keine Angst vor Datenschutzthemen haben. Die Nutzung von Datenschutz-Tools wie Metasoul unterstützt dabei zusätzlich.

Können Strafen auch von Behörden außerhalb der Datenschutzbehörde verhängt werden?

Auch andere Behörden können Bußgelder verhängen, wenn Datenschutzverstöße mit anderen Rechtsverstößen einhergehen. Auch bei strafrechtlich relevanten Datenschutzverstößen (z. B. vorsätzliche Datenweitergabe) können Staatsanwaltschaften Ermittlungen aufnehmen und Strafen verhängen.

Wie starte ich – insbesondere als Startup, Jungunternehmen oder KMU – am besten, um meine Datenschutzverpflichtungen zu erfüllen?

Wir wissen aus Erfahrung, dass Datenschutzthemen, besonders wenn man neu gründet oder aufgrund der Tätigkeit im Unternehmen, nicht die höchste Priorität haben. Datenschutzverpflichtungen sind meist schwer zu verstehen, die nötige Expertise fehlt, die Zeit fehlt und der Zukauf externer Hilfe ist zu teuer und würde das Budget sowieso schon sprengen. Und am wichtigsten: Zu Beginn einer Unternehmensgründung zählt das Überleben.

Datenschutzthemen zu ignorieren ist trotzdem keine Option, und wir empfehlen es auch nicht. Priorisieren ist hier wichtig. Aus unserer Arbeit mit KMUs, Startups und Jungunternehmern haben wir gelernt, dass sich folgende Strategie bewährt hat:

1. Themen mit Aussichtbarkeit erledigen: Verpflichtungen, die nach außen öffentlich sichtbar sind, sollten zuerst angepackt werden. Dies betrifft vorrangend die Informationspflicht, also die Datenschutzhinweise. Mit dem Datenschutzhinweis auf der Webseite oder in der App ist am schnellsten ersichtlich, ob man Datenschutz ernst nimmt, und man ist auch angreifbar, wenn der Datenschutzhinweis nicht passt. Wichtig: Datenschutzhinweise von der KI oder einem Mitbewerber, der Ähnliches anbietet, sind in fast allen Fällen nicht brauchbar, da hier immer der Unternehmenskontext fehlt. Schlimm ist es, wenn man weiters vergisst, beim kopierten Datenschutzhinweis Links zu entfernen und diese noch zum Konkurrenten zu zeigen. Ein sauberer Datenschutzhinweis ist auch ein Indikator für Kunden, dass das Unternehmen seriös ist.

2. Themen mit B2B-Kundenbezug erledigen: Bedient ein Unternehmen mit seinen Dienstleistungen andere Unternehmen (B2B-Geschäft), fallen zwei Datenschutzverpflichtungen in den Fokus. Auftragsverarbeitungsvereinbarungen (AVV) sowie technische und organisatorische Maßnahmen (TOM). Kann ein Unternehmen seinem Kunden bereits eine saubere AVV anbieten (auch wenn es an und für sich die Verpflichtung des Kunden wäre, für eine AVV zu sorgen), zeigt dies, dass es professionell aufgestellt ist. Meist wird eine AVV aktiv vom Kunden verlangt. In Kombination mit der AVV verlangt der Kunde meist auch eine Liste der technischen und organisatorischen Maßnahmen, die zum Schutz personenbezogener Daten umgesetzt wurden. Auch hier gilt: Wenn die Qualität der AVV und TOM passt, wirkt es professionell, steigert die Kundenzufriedenheit und aus wirtschaftlicher Sicht am wichtigsten: Die Zeit zur Vertragsunterzeichnung sinkt.

3. Einen Datenschutzbeauftragten benennen und der Behörde melden: Dieser Punkt kann auch als erster Schritt Sinn ergeben und sollte auch durchgeführt werden, auch wenn man nicht verpflichtet ist, einen Datenschutzbeauftragten zu benennen. Dadurch kann vermieden werden, dass man diesen Punkt irgendwann übersieht, wenn er schlagend wird, weil das Unternehmen zum Beispiel gewachsen ist. Noch wichtiger ist, dass damit jemand benannt ist, der Datenschutzthemen auf der Agenda hat und sich langfristig um die Umsetzung von Datenschutzverpflichtungen kümmert. Das sichert eine langfristige positive Entwicklung und einen Kompetenzaufbau. Wenn man einen Datenschutzbeauftragten benennt, sollte man nicht vergessen, diesen bei der zuständigen Datenschutzbehörde zu melden.

4. Alle anderen Datenschutzthemen zeitlich geplant oder anlassbezogen umsetzen:

Früher oder später wird man mit allen anderen Datenschutzthemen konfrontiert. Idealerweise plant man im laufenden Tagesgeschäft die Umsetzung einzelner Themen ein. Der Datenschutzbeauftragte kann hier die treibende Kraft sein. Sollten zum Beispiel unerwartet neue Themen wie die erste Betroffenenanfrage eines Kunden einfallen, muss man sich mit diesen Themen beschäftigen und sollte hier gleich eine nachhaltige, wiederholbare Lösung überlegen. Hier kann das Hinzuziehen eines Experten oder die Nutzung spezialisierter Tools oder Ressourcen nötig sein. Über die Jahre steigert man so seinen Umsetzungsgrad und die Qualität seines Datenschutzmanagements.

Abschließend lässt sich zusammenfassen: Sobald man personenbezogene Daten von betroffenen Personen verarbeitet, muss man die DSGVO einhalten. Die Unternehmenssituation erfordert einen wie zuvor beschriebenen risiko- und opportunitätsbezogenen Ansatz, wobei dies eine Entscheidung der Geschäftsführung ist und diese auch dafür haftet. Die Nutzung spezialisierter Tools wie Metasoul macht die Erfüllung von Datenschutzvorgaben einfacher und schneller umsetzbar.