DSGVO-Faktencheck: Bußgelder, Urteile und Risiken unter der Lupe!
Die EU-Datenschutzgrundverordnung gilt seit dem 25. Mai 2018 in der Europäischen Union. Auch drei Jahre später sind Politik und Gerichte noch immer damit beschäftigt, die rechtlichen Vorgaben mit Erfahrungen aus der Praxis zu unterfüttern und stoßen dabei immer wieder auf komplexe Probleme, die für alle Beteiligten neue Fragen aufwerfen. Wir behalten die Entwicklungen in Sachen Datenschutzgrundverordnung im Auge und beleuchten, was sie für Unternehmen bedeuten.
Update Juli 2021: Rechtliche Unsicherheit bei der Drittstaatenübermittlung erhöht Bußgeldrisiko für Unternehmen
Weder Regierungen noch Unternehmen kommen ohne datenbasierte Technik aus. Damit das funktioniert, müssen Daten über Länder hinweg frei fließen können. Das wirft Fragen auf: Wie wird hier der Datenschutz gewährleistet? Wie ist es möglich, die verschiedenen Gesetzgebungen weltweit und deren Auslegungen zusammenzubringen? Exemplarisch dafür steht das „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH), das den US-Privacy-Shield-Beschluss am 20. Juli 2020 für nichtig erklärte. Dieser Beschluss hatte bis dato die Datenübermittlung zwischen den USA und der Europäischen Union bestimmt. Die Unsicherheit aufgrund dieser rechtlichen Lücke wird nun akut, denn die Aufsichtsbehörden stellen die Drittstaatenübermittlung aktuell verstärkt auf den Prüfstand.
Die Bestimmungen des EU-Rechts
Personenbezogene Daten dürfen den Europäischen Wirtschaftsraum (EWR) nach geltendem Recht eigentlich überhaupt nicht verlassen – es sei denn, das Versenden findet über einen gültigen Transfermechanismus, wie zum Beispiel Standardvertragsklauseln statt. Doch die Vorschriften für personenbezogene Daten gelten auch dann, wenn sie über Grenzen in Länder mit einer anderen Gesetzgebung transferiert werden. Um deren Einhaltung zu gewährleisten, bietet der rechtliche Rahmen drei Möglichkeiten:
- Die EU-Kommission befindet den Datenschutz eines Drittlandes in einem bilateralen Abkommen für angemessen.
- Es existieren „verbindliche interne Datenschutzvorschriften“, sogenannte Binding Corporate Rules. Dabei handelt es sich um Vorgaben zum Umgang mit personenbezogenen Daten, die die Artikel-29-Datenschutzgruppe der Europäischen Kommission entwickelt hat.
- Besonders verbreitet ist die Aufnahme genehmigter Verpflichtungserklärungen in Verträge, die sogenannten Standardvertragsklauseln. Der EuGH hatte diese Klauseln als gültigen Transfermechanismus für Daten in seinem Urteil „Schrems II“ bestätigt
Der Europäische Gerichtshof bestimmt aber, dass Firmen, die Standardvertragsklauseln zur Regelung der Datenübermittlung nutzen, prüfen müssen, ob die übermittelten Daten im Empfängerland angemessen geschützt werden. Diese Einzelfallprüfung ist in der Praxis aber kaum umzusetzen. Standardvertragsklauseln funktionieren in der Realität also nur dann sicher und praktikabel, wenn der Schutz der Daten beim Transfer durch internationale Vereinbarungen mit dem Empfängerland sichergestellt ist.
Da der Privacy Shield jedoch gekippt ist, sehen Unternehmen sich nicht nur mit dem Risiko eines Datenmissbrauchs konfrontiert, sondern auch mit der Unsicherheit über die eigenen Pflichten bei der Drittstaatenübermittlung. Zusätzlich stellt sich die Frage, inwieweit ein Staat im rechtlichen Rahmen auf die transferierten Daten zugreifen kann. Diese Ungewissheit tangiert über 5.000 Firmen in Europa und den USA, 70 Prozent davon bewegen sich in der Größenordnung klein bis mittelständisch. Bei vielen von ihnen fußt der internationale Datentransfer noch immer auf dem außer Kraft gesetzten Privacy Shield, was sie nun dazu zwingt, unter unklaren rechtlichen Verhältnissen zu arbeiten.
Jetzt zählt Eigeninitiative
Aktuell prüfen die Datenschutzaufsichtsbehörden die Umsetzung des „Schrems II“-Urteils über Fragebögen. Das trifft vor allem Unternehmen, die Dienste von US-Firmen nutzen. Für sie alle steigt das Bußgeldrisiko immens. Dabei sehen sie sich zusätzlich mit folgenden Fragen konfrontiert: Sind die Daten deutscher Unternehmen in der Cloud adäquat geschützt? In welchem Umfang und zu welchem Zweck werden diese Daten gespeichert? Reichen Standardvertragsklauseln überhaupt aus, um den Datenschutz zu gewährleisten?
Übereinstimmend lässt sich feststellen: Momentan fehlt die rechtliche Sicherheit beim Thema Drittstaatenübermittlung und diese Lücke wird sich in absehbarer Zeit auch erst einmal nicht schließen. Die weltweite Annährung der unterschiedlichen Datenschutzgesetze bleibt also weiterhin ein großes Thema, das für die betroffenen Unternehmen bisher mehr Fragen aufwirft als beantwortet. Um der momentanen Unsicherheit nicht vollkommen hilflos gegenüber zu stehen, sollten Firmen ihre Prozesse zur Datenübermittlung in Drittländer eigeninitiativ analysieren und die Ergebnisse sorgfältig dokumentieren. Auf diese Weise schaffen Sie eine Basis, um der Überprüfung durch die Behörden nicht vollkommen unvorbereitet gegenüber zu treten.
Update Oktober 2020: DSGVO bremst Innovationen
Der Bitkom Verband wollte wissen, wie die Lage beim Thema DSGVO ist und hat dafür 504 Unternehmen unterschiedlicher Branchen ab 20 Beschäftigten befragt. Hier sind die Ergebnisse:
- 37 Prozent haben die DSGVO größtenteils umgesetzt, 35 Prozent teilweise. Nur 20 Prozent gaben an, sie hätten die DSGVO vollständig umgesetzt und Prüfprozesse etabliert.
- Als größte Herausforderung bei der Umsetzung der DSGVO sehen 74 Prozent die Rechtsunsicherheit, 68 Prozent die zu vielen Änderungen und Anpassungen. 59 Prozent beklagen die mangelnde Hilfe bei der Umsetzung durch die Aufsichtsbehörden.
- Zwei Drittel der Unternehmen sagen, dass die DSGVO weiterhin für konstanten oder steigenden Aufwand sorgen wird.
- 89 Prozent halten die DSGVO für praktisch nicht vollständig umsetzbar; 71 Prozent sagen, sie mache Geschäftsprozesse komplizierter.
Die Befragung entblößt ein großes Problem der DSGVO: Sie bremst Innovationen in Unternehmen aus:
- Bei mehr als jedem zweiten Unternehmen (56 Prozent) sind neue innovative Projekte wegen der DSGVO gescheitert.
- Bei 31 Prozent scheiterte durch die DSGVO der Einsatz neuer Technologien wie Big Data oder Künstliche Intelligenz sowie die Digitalisierung von Geschäftsprozessen (24 Prozent).
- Jedes fünfte befragte Unternehmen verzichtete aufgrund der DSGVO auf den Einsatz neuer Datenanalysen.
Alle Ergebnisse aus der Bitkom-Umfrage können Sie hier nachlesen: PDF: Bitkom: DS-GVO und Corona – Datenschutzherausforderungen für die Wirtschaft.
35,3 Millionen Euro Bußgeld gegen H&M
Auch zum Thema DSGVO-Bußgelder gibt es Neuigkeiten: Wegen der systematischen Überwachung von mehreren hundert Mitarbeitern und Mitarbeiterinnen des H&M Servicecenters in Nürnberg wurde gegen H&M ein Bußgeld in Höhe von rund 35,3 Millionen Euro verhängt. Mindestens seit 2014 wurden umfassende Daten zu privaten Lebensumständen wie Urlauben und Krankheiten der Angestellten gespeichert und waren für bis zu 50 Führungskräfte im Servicecenter lesbar. Die Daten wurden dafür genutzt, um die individuelle Arbeitsleistung auszuwerten und ein Profil der Beschäftigten anzulegen. Dieses Profil wurde verwendet, um über das weitere Arbeitsverhältnis zu entscheiden. Die Datenschutzbehörde wertete bei der Bemessung des Bußgeldes positiv, dass die Konzernleitung bemüht war, die Betroffenen finanziell zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen.
Update Juli 2020: AOK muss 1,2 Millionen Bußgeld zahlen
Jetzt hat es auch eine Krankenkasse erwischt: Wegen einem DSGVO-Verstoß muss die AOK 1,2 Millionen Euro Bußgeld bezahlen. Hintergrund ist ein Gewinnspiel, das die Krankenkasse von 2015 bis 2019 veranstaltete. Neben ihren Kontaktdaten mussten die Teilnehmer:innen auch ihre Krankenkassenzugehörigkeit angeben. Dabei konnten sie zustimmen, dass ihre Daten zu Werbezwecken verwendet werden. Dass keine:r von ihnen Werbung erhält, außer sie:er hat ausdrücklich zugestimmt hatte, wollte die AOK durch interne Richtlinien und Datenschutzschulungen sicherstellen.
Dies ging wohl offenbar schief: Personenbezogene Daten von mehr als 500 Gewinnspielteilnehmern und -teilnehmerinnen wurden ohne deren Einwilligung zu Werbezwecken verwendet. Der LfDI Baden-Württemberg verhängte deshalb gegen die AOK ein Bußgeld von 1,2 Millionen Euro. Die Datenschützer:innen teilten mit, dass bei der Bemessung des Bußgeldes zu Gunsten der AOK ausgelegt wurde, dass diese konstruktiv mit der Behörde zusammenarbeite, alle vertrieblichen Maßnahmen sofort eingestellt habe und sämtliche internen Abläufe grundlegend überprüfe.
Update vom 27.09.2019
Aufatmen in Sachen Schadenersatz? Der Beschluss des Amtsgerichts Bochum
Datenverantwortliche können bei Verstößen gegen die DSGVO mit hohen Bußgeldern und/oder Schadenersatzforderungen konfrontiert werden. Ein Beschluss des Amtsgerichts Bochum vom 11.03.2019 (Az. 65 C 485/18) könnte nun aber für vorsichtiges Aufatmen sorgen. Demnach besteht ein Schadenersatzanspruch nur dann, wenn auch tatsächlich ein nachweisbarer Schaden eingetreten ist.
Im verhandelten Fall klagte ein Mann gegen seine ehemalige Berufsbetreuerin. Ein:e Berufsbetreuer:in ist eine Person, die in Deutschland eine rechtliche Betreuung im Rahmen einer selbständigen Tätigkeit ausübt. Berufsbetreuer:innen sind sozusagen der rechtliche „Vormund“ der betreuten Person und kümmern sich zum Beispiel um deren Finanzen, Verträge, Mietangelegenheiten usw. Das Betreuungsverhältnis wird in einer sogenannten Bestellungsurkunde festgehalten. Darin stehen der Name des Betreuers oder der Betreuerin, seine beziehungsweise ihre Aufgaben und der Name der zu betreuenden Person.
Diese Bestellungsurkunde wurde von der:dem Berufsbetreuer:in nach Beendigung der Betreuung an den:die Vermieter:in des betreuten Mannes verschickt. Darin sah dieser einen Verstoß gegen Artikel 6 DSGVO, seiner Ansicht nach hatte die:der Betreuer:in kein Recht darauf die Urkunde zu versenden. Das Gericht folgte dieser Ansicht aber nicht, da die Betreuungsperson nur ihre berufliche Pflicht erfüllt habe, indem sie als Bevollmächtigte:r den:die Vermieter:in über das Ende des Betreuungsverhältnisses informierte.
Die:der Berufsbetreuer:in schickte die Bestellungsurkunde auch an die neue Betreuungsperson des Mannes, um diesem die notwendigen Informationen zukommen zu lassen. Der Versand erfolgte unverschlüsselt per E-Mail, was einen Verstoß gegen Artikel 32 DSGVO darstellt. Weil aber nicht nachgewiesen werden könne, dass die unverschlüsselten Daten für Dritte zugänglich waren und dem Mann kein nachweislicher materieller oder immaterieller Schaden entstanden sei, bestehe kein Anspruch nach Artikel 82 DSGVO, so das Gericht.
Ein Verstoß gegen die Datenschutzgrundverordnung alleine genügt somit nicht, um einen Anspruch auf Schadenersatz zu haben. Wer sich in seinen Datenschutzrechten verletzt sieht, muss nachweisen können, dass ein materieller oder immaterieller Schaden entstanden ist. Wer nicht nachweisen kann, dass unbefugte Dritte Zugang zu den Daten hatten oder davon Kenntnis genommen haben, hat folglich auch keinen Anspruch auf Schadenersatz.
Das Urteil dürfte die angespannte Lage beim Thema DSGVO etwas beruhigen. Selbständige, zu denen auch Berufsbetreuer:innen zählen, und Unternehmer:innen haben in ihrem beruflichen Alltag oft mit der Datenschutzgrundverordnung zu kämpfen. Verstöße sind schnell passiert. Dennoch dürften massenweise Schadenersatzansprüche aufgrund mangelnder Beweise vorerst ausbleiben. Auch das OLG Dresden (Hinweisbeschluss vom 11. Juni 2019, Az. 4 U 760/19) und das AG Diez (Urteil vom 7. November 2018, Az. 8 C 130/18), entschieden jeweils, dass für einen Schadenersatzanspruch auch ein Schaden vorhanden sein muss. Allerdings drohen bei Verstößen gegen die DSGVO weiterhin hohe Bußgelder. Auch dann, wenn kein Schadenersatzanspruch vorliegt.
Was noch ausbleibt ist eine höchstrichterliche Entscheidung, um eine abschließende Rechtssicherheit bei Schadenersatzansprüchen zu schaffen.
Rekordbußgeld gegen die Deutsche Wohnen
Wegen Verstößen gegen die DSGVO soll die Deutsche Wohnen SE ein Rekordbußgeld von 14,5 Millionen Euro bezahlen. Das ist das bisher höchste DSGVO-Bußgeld, das in Deutschland verhängt wurde. Was die Deutsche Wohnen falsch gemacht hat und was Sie zur DSGVO in der Immobilienbranche wissen müssen, können Sie in unserem Artikel nachlesen: Millionenbußgeld gegen die Deutsche Wohnen: Was Sie über die DSGVO in der Immobilienbranche wissen müssen.
Weitere Fakten rund um die DSGVO können Sie in unserem ursprünglichen Artikel vom 15.04.2019 nachlesen:
20.000 Euro Bußgeld gegen Knuddels.de
Die ersten Monate, in denen die DSGVO in Kraft war, blieb es erstaunlich ruhig. Keine Berichte über Abmahnungen oder Bußgelder, die anfängliche Panik war schnell verflogen. Der erste Fall, der für Aufsehen sorgte, war in Deutschland das Bußgeld in Höhe von 20.000 Euro gegen Knuddels.de. Das Netzwerk hatte personenbezogene Daten seiner Nutzer:innen nicht ausreichend gesichert und war prompt gehacked worden. Über 800.000 E-Mail-Adressen sowie zwei Millionen Pseudonyme und Passwörter von circa 330.000 Nutzern und Nutzerinnen wurden im Netz veröffentlicht! Dass das Bußgeld nicht noch höher ausfiel, lag nur daran, dass Knuddels sehr transparent mit dem Verstoß umging, seiner Meldepflicht nachkam und gut mit der Datenschutzbehörde zusammenarbeitete.
5.000 Euro wegen fehlendem Vertrag zur Auftragsverarbeitung
Im Januar sorgte dann der Fall Kolibri Image für Schlagzeilen. Das kleine Versandunternehmen aus Hamburg soll 5.000 Euro Bußgeld wegen eines fehlenden Auftragsverarbeitungsvertrags zahlen (Art. 83 Abs. 4 DSGVO). Den Fall hatte das Unternehmen selbst ins Rollen gebracht: Im Mai 2018 hatte es eine Mail an die:den hessischen Datenschutzbeauftragte:n geschrieben und diesen um Rat bezüglich einer:s beauftragten spanischen Dienstleisterin beziehungsweise Dienstleisters gefragt, die:der sich trotz mehrfacher Aufforderung weigerte, einen Vertrag zur Auftragsverarbeitung zu übersenden. Daraufhin antwortete die:der Datenschutzbeauftragte, dass nicht nur Dienstleister:innen datenschutzrechtlich verantwortlich sei, sondern auch das Unternehmen selbst und dieses daher selbst einen Vertrag zur Auftragsverarbeitung verfassen und übersenden müsse.
Was ist Auftragsdatenverarbeitung?
Wenn ein Unternehmen Dritte (beispielsweise externe Dienstleister:innen) beauftragt und diese im Rahmen des Auftrags personenbezogene Daten verarbeiten, dann handelt es sich um Auftragsdatenverarbeitung.
In diesem Fall muss das Unternehmen mit der:dem Dienstleister:in einen Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) gemäß Art. 28 DSGVO schließen. Diese Regelung gilt auch, wenn Unternehmen Tracking-Software nutzen (zum Beispiel Google Analytics) oder ihre Buchhaltung oder Rechenzentren auslagern.
Achtung: Auftraggeber:innen dürfen sich nie darauf verlassen, dass sich Dienstleister:innen um den Datenschutz kümmern, sie:er bleibt dafür weiterhin hauptverantwortlich!
Kolibri Image antwortete daraufhin, dass es sich in ihren Augen um eine Dienstleister:innen-Pflicht handelt und sie außerdem die teure Übersetzung ins Spanische ablehnen. Daraufhin gab die hessische Datenschutzbehörde den Fall an die:den zuständige:n Beauftragte:n in Hamburg ab, die:der dem Unternehmen den Bußgeldbescheid in Höhe von 5.000 Euro übersandte. Die Begründung: Kolibri Image habe Daten ohne Rechtsgrundlage an die:den Dienstleister:in übermittelt und sich trotz der rechtlichen Hinweise der:des Datenschutzbeauftragten entschieden, nicht rechtskonform zu handeln. Eine gute Zusammenarbeit mit der Behörde – die sich, wie der Fall Knuddels zeigt, strafmildernd auswirken kann – sei nicht erfolgt.
Dirk Maass, Geschäftsführer von Kolibri Image, kritisierte dagegen gegenüber heise online das Vorgehen der Datenschutzbehörde. Das Unternehmen habe sich hilfesuchend an diese gewandt und als Antwort nur einen Hinweis auf eine PDF-Vorlage erhalten. Es sei außerdem für ein kleines Unternehmen wie Kolibri Image nicht realistisch, einen teuren IT-Anwalt oder eine IT-Anwältin zu beauftragen, den Vertrag ins Spanische übersetzen zu lassen und ihn dann an die:den Dienstleister:in in Madrid zu senden. Wie es mit dem Fall weitergeht, bleibt abzuwarten, denn Maass kündigte bereits Widerspruch gegen den Bußgeldbescheid an.
2.600 Euro Bußgeld wegen offenem E-Mail-Verteiler
Dass die Behörden nun verstärkt kontrollieren und DSGVO-Verstöße ahnden, zeigt ein Fall aus Sachsen-Anhalt. Dort hatte ein Mann vielfach E-Mails verschickt, in denen die Empfänger:innen für jeden sichtbar waren. Rund 140 personenbezogene Adressen seien dadurch öffentlich geworden. Bei den Mails handelte es sich hauptsächlich um Beschwerden an Vertreter:innen der Wirtschaft, Presse und Politik. Dabei hatte der Mann alle Mail-Adressen der Empfänger:innen in das „An-Feld“ oder in cc gesetzt, sodass jeder sie sehen und hätte verarbeiten können. Wegen mehrfacher Verstöße gegen die DSGVO muss der Mann nun eine Geldbuße von über 2.600 Euro zahlen – und die Kosten für das Verfahren kommen noch dazu. In diesem Fall handelt es sich um eine Privatperson, die gegenüber Behörden gegen den Datenschutz verstoßen hat – das zeigt, wie ernst die Datenschutzbehörden nun DSGVO-Verstöße nehmen. Unternehmen sollten daher noch stärker auf den Datenschutz beim E-Mail-Versand achten. Denn wenn beispielsweise bei einer Mail an Kunden oder Kundinnen die Adressen im CC-Feld statt in „BCC“ stehen, ist das eine Datenpanne, die extrem teuer werden kann.
Bei rein privaten E-Mails besteht jedoch keine Sorge, denn in Artikel 2 DSGVO heißt es:
Faktencheck: Wie viele DSGVO-Bußgelder wurden verhängt?
Nach Bekanntwerden dieser Fälle ist die Frage: Machen die Datenschutzbehörden jetzt ernst, nachdem sie die ersten Monate DSGVO als „Testphase“ sahen und noch gnädig waren? Die Frage ist schwer zu beantworten, denn die meisten Bußgelder werden nicht publik, den Datenschutzbehörden wird fehlende Transparenz vorgeworfen. Doch der Bundesdatenschützer Ulrich Kelber versprach gegenüber dem Handelsblatt Besserung. Die Bundesdatenschutzbehörde in Bonn sei derzeit dabei, ein Konzept zu erstellen, um besser über Bußgelder und Datenschutzverstöße zu informieren. Denn nach dem Informationsfreiheitsgesetz hat jede:r Bürger:in das Recht, Zugang zu den amtlichen Informationen der Bundesbehörden zu bekommen.
Es lässt sich also nicht exakt sagen, wie viele Bußgelder in welchem Bundesland verhängt wurden und wie hoch diese ausfielen. Laut Medienberichten ergibt sich ungefähr dieses Bild:
Im Visier der Datenschützer:innen in Europa ist auch Google: Der Konzern soll wegen Datenschutz-Verstößen 50 Millionen Euro zahlen! Die französische Datenschutzbehörde wirft Google vor, seine Nutzer:innen nicht transparent über die Datenverarbeitung zu informieren und außerdem keine wirksame Einwilligung zur Verarbeitung der Daten für Werbezwecke zu haben. Neben Google dürfte es demnächst noch weitere namhafte Konzerne treffen, darunter Netflix, Spotify, YouTupe und Apple – denn diese sind unter anderem wegen ihrer Streaming-Angebote im Visier von Datenschützern und Datenschützerinnnen. Und auch die Telekom reiht sich vielleicht bald in die Riege der Datenschutz-Sünder:innen ein. Denn wie kürzlich bekannt wurde bekam in einer Telekomfiliale in Schleswig-Holstein ein Kunde beziehungsweise eine Kundin einen USB-Stick, auf dem hunderte Urlaubsbilder, Nachrichten und Anrufprotokolle von anderen Telekom-Kunden und -Kundinnen gespeichert waren. Insgesamt sind von dem Daten-Debakel mehrere hundert Menschen betroffen. Die Verbraucherzentrale und die Datenschutzbehörde prüfen bereits eine Abmahnung und ein Bußgeld.
Update: Millionen-Bußgelder gegen Marriott und British Airways
Bußgeld-Spitzenreiter in der EU könnte bald die Fluggesellschaft British Airways werden. Durch zwei Datenlecks konnten Unbekannte über das Online-Buchungssystem der Airline auf persönliche Daten von 500.000 Kunden und Kundinnen zugreifen, darunter auch Zahlungsdaten und Mail-Adressen. Grund dafür seien gravierende IT-Sicherheitsmängel der Airline. Die britische Datenschutzaufsicht ICO will dafür ein Bußgeld von umgerechnet 204 Millionen Euro verhängen (etwa 1,4 Prozent des weltweiten Jahresumsatzes von British Airways). Und auch der Hotelkette Marriott droht ein hohes Bußgeld: Auf Grund eines Hackerangriffs Ende 2018 gelangten Daten von rund 380 Millionen Hotelgästen in falsche Hände, darunter Ausweisnummern und Kreditkartendaten. Die ICO wirft dem Unternehmen vor, zu wenig für die Sicherheit seiner Computersysteme getan zu haben und will ein Bußgeld von umgerechnet 110 Millionen Euro verhängen.
Update: Hohes Bußgeld wegen Verstoß gegen Informationspflichten in Polen
Auch in Polen sorgt die DSGVO für Schlagzeilen und eine Diskussion, wie weit die Informationspflicht von Unternehmen gehen muss.
Das Unternehmen Bisnode Polska, ein:e große:r Anbieter:in für digitale Wirtschaftsinformationen, soll knapp 220.000 Euro Bußgeld bezahlen, weil es seiner Informationspflicht nach Art. 14 DSGVO nicht ausreichend nachgekommen sei. Die Firma hatte nur diejenigen Betroffenen über die Datenverarbeitung informiert, die eine E-Mail-Adresse angegeben hatten. Die restlichen – immerhin fast 6 Millionen – von denen das Unternehmen nur eine Telefonnummer und eine Postanschrift hatte, hat es nicht aufgeklärt. Die Firma ging davon aus, dass es viel zu aufwändig und nicht verhältnismäßig sei, 6 Millionen Menschen per Post oder Telefon zu informieren und berief sich damit auf Art. 14 Abs. 5 b) DSGVO, nach dem die Informationspflicht bei „unverhältnismäßigem Aufwand“ entfällt.
Doch diese Ausrede ließ die polnische Aufsichtsbehörde, die das Bußgeld verhängte, nicht gelten: Sie argumentierte, dem Unternehmen sei es schlicht zu teuer gewesen, alle Betroffenen ordentlich zu informieren. Die Behörde unterstellte dem Unternehmen sogar Vorsatz, da sich das Unternehmen seiner Informationspflicht bewusst gewesen sei, sonst hätte es schließlich niemanden informiert. Außerdem bemängelten die Datenschützer:innen die geringe Kooperationsbereitschaft des Unternehmens, denn weder holte dieses die Informationspflicht schnell nach, noch beendete es die Zuwiderhandlung. Nachdem fast 6 Millionen Datensätze betroffen waren, sei die Höhe des Bußgeldes angemessen.
Das Thema ist damit aber noch nicht erledigt: Bisnode Polska kündigte auf seiner Homepage an, gegen die Entscheidung der Aufsichtsbehörde gerichtlich vorgehen zu wollen.
Checkliste: Learnings aus den bisher verhängten Bußgeldern
Aus den Fällen Kolibri Image oder Knuddels kann jeder, der personenbezogene Daten verarbeitet, etwas lernen.
Diese Checkliste verrät Ihnen, was:
- Wenn Sie eine Datenpanne oder einen Datenschutzverstoß bemerken, holen Sie sofort fachlichen Rat ein und melden sie diesen ggf. bei der zuständigen Behörde
- Arbeiten Sie eng und transparent mit der Datenschutzbehörde zusammen und tun Sie alles, um den Schaden so gering wie möglich zu halten – das wirkt sich strafmildernd aus
- Vergessen Sie nie, mit Dienstleistern und Dienstleisterinnen einen Vertrag zur Auftragsverarbeitung abzuschließen und denken Sie daran: Sie können die Verantwortung nicht abgeben, Sie bleiben Hauptverantwortliche:r für den Datenschutz
- Achten Sie auch bei alltäglichem Schriftverkehr per E-Mail auf den Datenschutz und prüfen Sie besser mehrmals, dass keine Mail-Adressen öffentlich sichtbar sind
Datenschutzbehörden wollen jetzt ernst machen
Einige Datenschutzbehörden haben bereits angekündigt, dass sie ab sofort verstärkte Kontrollen durchführen. Viele Behörden haben dafür bereits ihr Personal aufgestockt. Während bisher der Schwerpunkt auf der Beratung und Aufklärung lag, soll nun verstärkt gegen Datenschutzverstöße vorgegangen werden. Auch wenn der Fokus auf Social-Media-Unternehmen und Unternehmen liegen soll, die große Mengen an sensiblen Daten verarbeiten, zeigt der Fall Kolibri Image, dass auch kleine Unternehmen ins Visier der Datenschützer:innen geraten können.
Was sagen die Gerichte? Rechtsprechung zur DSGVO
Die ersten Urteile zum Thema DSGVO befassten sich mit der Frage, ob ein DSGVO-Verstoß wettbewerbswidrig ist und von Wettbewerbern und Wettbewerberinnen abgemahnt werden kann. Leider sind sich die Gerichte in dieser Frage uneinig und es folgten drei Urteile mit zwei verschiedenen Meinungen. Das Landgericht Würzburg und das Oberlandesgericht Hamburg entschieden, dass Verstöße gegen die DSGVO wettbewerbsrechtlich abmahnbar sind; das Landgericht Bochum sagte das Gegenteil. Unseren Artikel zu diesen Entscheidungen können Sie hier nachlesen: Gerichte uneinig: DSGVO-Verstöße abmahnbar oder nicht? Bis zu diesem Thema Rechtssicherheit besteht, werden (Pseudo-)Wettbewerber:innen und Abmahnanwälte sowie -anwältinnen wohl weiter Abmahnungen verschicken.
Video: DSGVO-Bußgeld selber berechnen
Sie wollen wissen, wie hoch Ihr Bußgeld bei einem DSGVO-Verstoß aussehen könnte? Im Video erfahren Sie, mit welcher Formel Sie es berechnen können:
PGlmcmFtZSBhbGxvd2Z1bGxzY3JlZW49IiIgY2xhc3M9ImJpZ1ZpZGVvIiBoZWlnaHQ9IjU2MCIgc3JjPSJodHRwczovL3d3dy55b3V0dWJlLW5vY29va2llLmNvbS9lbWJlZC94TmZlc2hJNTlJSSIgd2lkdGg9IjU2MCI+PC9pZnJhbWU+
DSGVO-Verstöße absichern
Was Abmahnungen und Schadenersatzansprüche in Sachen DSGVO betrifft, können Sie sich zurücklehnen, wenn Sie eine Berufshaftpflicht über exali.de abgeschlossen haben. Wenn Sie eine Abmahnung wegen Datenschutz-Verstößen erhalten, prüft der Versicherer auf eigene Kosten, ob die Forderung berechtigt ist und bezahlt im Ernstfall die Schadenersatzforderung. Das Gleiche gilt für den Fall, dass Andere auf Grund Ihres Versäumnisses ein Bußgeld erhalten (beispielsweise einer Ihrer Kunden oder Kundinnen). Dann wird nämlich Ihre Kundschaft das Bußgeld in Form von Schadenersatz von Ihnen zurückverlangen. Auch diese Zahlung übernimmt der Versicherer.
Jetzt Berufshaftpflicht abschließen:
Hinweis
Bußgelder, die ein Gericht oder eine Datenschutzbehörde wegen einer Datenrechtsverletzung gegen Sie verhängt, sind im Rahmen Ihrer Berufshaftpflicht ebenfalls versichert (sofern dies nach geltendem Recht möglich ist).
Bei Fragen rufen Sie uns gerne jederzeit an, bei exali.de gibt es weder Callcenter noch Warteschleife!
Wer bin ich?
Nach einem Volontariat und ein paar Jahren in der Unternehmenskommunikation bin ich nun bei exali als Chefredakteurin in der Online-Redaktion für Content aller Art zuständig.
Was mag ich?
Sommer, Reisen, gutes Essen und Fußball.
Was mag ich nicht?
Bahn fahren, Rosenkohl und Schleimer.
