20 Millionen oder 50.000? Was bei einem DSGVO-Verstoß wirklich passiert
Ich bin kein Jurist. Das sage ich direkt. Ich bin Kfz-Meister und Unternehmer, der sich seit anderthalb Jahren intensiv mit KI und Datenschutz auseinandersetzt, weil ich für mein eigenes Unternehmen und für meine Kunden Antworten brauchte.
Und eine der ersten Fragen, die ich mir gestellt habe, war: Was passiert eigentlich wirklich, wenn etwas schiefläuft?
Die Antwort war überraschender als ich dachte.
Die Zahl, die alle kennen, und die kaum einen trifft
20 Millionen Euro. Oder vier Prozent des weltweiten Jahresumsatzes. Das sind die Maximalstrafen der DSGVO, und genau diese Zahlen tauchen in jedem Artikel auf.
Was dabei gern vergessen wird: Diese Strafen treffen Meta, Google, Amazon. Die Datenschutzbehörden verhängen solche Beträge gegen Konzerne, die systematisch gegen die DSGVO verstoßen, Millionen Menschen betreffen und die Bescheide erst nach jahrelangen Verfahren bekommen.
Ein Werkstattbetrieb mit zwölf Mitarbeitern landet nicht bei 20 Millionen. Aber das bedeutet nicht, dass nichts passiert.
Was bei einem KMU wirklich auf dem Tisch liegt
Wenn eine Datenschutzbehörde einen kleinen oder mittleren Betrieb ins Visier nimmt, sieht das in der Praxis meist so aus:
Erst kommt die Beschwerde. Ein Mitarbeiter, ein Kunde, ein Wettbewerber, der sich auskennt. Jemand stellt eine Beschwerde bei der zuständigen Landesbehörde, zum Beispiel beim Bayerischen Landesamt für Datenschutzaufsicht oder beim Hessischen Beauftragten für Datenschutz.
Dann folgt die Anfrage. Die Behörde schreibt dich an und bittet um Stellungnahme. Du hast eine Frist. Du brauchst plötzlich jemanden, der dir erklärt, was du eigentlich geantwortet hast.
Dann kommt die Prüfung. Die Behörde schaut nicht nur auf den gemeldeten Verstoß, sondern auf alles drumherum. Gibt es ein Verzeichnis der Verarbeitungstätigkeiten? Gibt es Auftragsverarbeitungsverträge mit den Tools, die du nutzt? Wurde dein Team unterwiesen?
Und dann der Bescheid. Bußgelder für KMU bewegen sich häufig zwischen 5.000 und 50.000 Euro, abhängig von der Schwere des Verstoßes, ob du kooperierst, ob es Wiederholungen gibt. Dazu kommen Anwaltskosten, Zeitaufwand, manchmal Anordnungen die du umsetzen musst.
Das ist kein Drama wie bei Google. Aber für einen Betrieb mit schmalem Puffer ist es das trotzdem.
Der Verstoß, der am häufigsten passiert, ohne dass es jemand merkt
Du rufst ChatGPT auf, tippst “Schreib mir eine Antwort für diesen Kundenbeschwerdefall” und fügst die Details ein. Name, Fahrzeugproblem, vielleicht eine E-Mail des Kunden.
Das ist eine Weitergabe personenbezogener Daten an einen Drittanbieter ohne Rechtsgrundlage, ohne Auftragsverarbeitungsvertrag und in aller Regel an einen Server außerhalb der EU.
Dreifacher Verstoß. In einer einzigen Eingabe.
Nicht böswillig. Nicht fahrlässig im klassischen Sinn. Einfach weil keiner erklärt hat, wo die Grenze liegt.
Warum “Das passiert uns nicht” die falsche Antwort ist
Ich verstehe den Reflex. Ich hatte ihn selbst. Kleiner Betrieb, kein Aufsehen, wer soll uns melden?
Die Realität: Mitbewerber nutzen DSGVO-Beschwerden inzwischen aktiv. Bewerber die eine Absage nicht akzeptieren. Mitarbeiter die im Streit gehen. Kunden die sich ungerecht behandelt fühlen.
Du musst nichts Spektakuläres tun, damit eine Beschwerde entsteht.
Und selbst wenn nie eine Beschwerde kommt: Spätestens wenn du Fördermittel beantragst, ein größeres Unternehmen als Kunden gewinnen willst oder einen Datenschutzaudit im Rahmen einer Zertifizierung brauchst, wirst du gefragt.
Was du konkret tun kannst
Ich will keine Panik verbreiten. Das wäre das Falscheste, was ich tun könnte. Aber ich will, dass du das Risiko realistisch einschätzt, nicht dramatisiert und nicht weggeschaut.
Der erste Schritt ist so klein wie er aussieht: Entscheide welche KI-Tools du in deinem Betrieb nutzt, und prüfe für jedes dieser Tools zwei Fragen.
Erstens: Gibt es einen Auftragsverarbeitungsvertrag (AVV)? Viele Anbieter stellen ihn kostenlos bereit, du musst ihn nur abschließen.
Zweitens: Auf welchem Server werden meine Daten verarbeitet? EU-Server bedeutet keine Drittlandübertragung. Das eliminiert Schrems II als Risikofaktor.
Und drittens, noch bevor du irgendetwas eintippst: Ist das, was ich hier eingebe, ein personenbezogenes Datum? Name, Adresse, Kennzeichen, Kundennummer in Kombination mit anderen Daten. Wenn ja, gehört es nicht in einen Consumer-KI-Dienst.
Das ist kein Hexenwerk. Das ist eine kurze Gewohnheit, die du dir und deinem Team beibringen kannst.
Wenn du eine strukturierte Vorlage brauchst: Ich habe dafür eine kurze Checkliste zusammengestellt, die du direkt im Betrieb nutzen kannst. Hier als PDF herunterladen.
Das nimmst du mit
Die 20-Millionen-Grenze ist für dich unrealistisch. Aber das bedeutet nicht, dass nichts passiert.
DSGVO-Verstöße mit KI-Tools entstehen meistens nicht durch Absicht, sondern durch fehlende Gewohnheiten. Ein Bescheid über 10.000 Euro wegen eines Tools ohne AVV ist real. Und er kommt schneller als man denkt, wenn jemand die Beschwerde stellt.
Wenn du wissen willst, welche deiner KI-Tools gerade ein Risiko darstellen, schreib mir. Ich gehe das gern mit dir durch, ohne Juristendeutsch und ohne Panikmache.
Markus Mangold — Kfz-Meister, Gründer von Torq.Li, Inhaber Zeos83 SocialSolutions