DSGVO-Faktencheck: Bußgelder, Urteile und Risiken
Die einen verkündeten eine Abmahnsintflut, die anderen beschimpften alle, die vor der DSGVO warnten, als Panikmacher. Jetzt haben wir über zwei Jahre DSGVO hinter und es gibt einige Berichte über Bußgelder und verstärktes Vorgehen der Datenschutzbehörden. Grund genug für uns, fortlaufend einen Blick auf die aktuellen Entwicklungen in Sachen DSGVO zu werfen und uns zu fragen: Wie ernst ist die Lage?
Update Juli 2020: AOK muss 1,2 Millionen Bußgeld zahlen
Jetzt hat es auch eine Krankenkasse erwischt: Wegen einem DSGVO-Verstoß muss die AOK 1,2 Millionen Euro Bußgeld bezahlen. Hintergrund ist ein Gewinnspiel, das die Krankenkasse von 2015 bis 2019 veranstaltete. Neben ihren Kontaktdaten mussten die Teilnehmer auch ihre Krankenkassenzugehörigkeit angeben. Dabei konnten die Teilnehmer zustimmen, dass ihre Daten zu Werbezwecken verwendet werden. Dass niemand Werbung erhält, der nicht ausdrücklich zugestimmt hatte, wollte die AOK durch interne Richtlinien und Datenschutzschulungen sicherstellen.
Dies ging wohl offenbar schief: Personenbezogene Daten von mehr als 500 Gewinnspielteilnehmern wurden ohne deren Einwilligung zu Werbezwecken verwendet. Der LfDI Baden-Württemberg verhängte deshalb gegen die AOK ein Bußgeld von 1,2 Millionen Euro. Die Datenschützer teilten mit, dass bei der Bemessung des Bußgeldes zu Gunsten der AOK ausgelegt wurde, dass diese konstruktiv mit der Behörde zusammenarbeite, alle vertrieblichen Maßnahmen sofort eingestellt habe und sämtliche internen Abläufe grundlegend überprüfe.
Update vom 27.09.2019
Aufatmen in Sachen Schadenersatz? Der Beschluss des Amtsgerichts Bochum
Datenverantwortliche können bei Verstößen gegen die DSGVO mit hohen Bußgeldern und/oder Schadenersatzforderungen konfrontiert werden. Ein Beschluss des Amtsgerichts Bochum vom 11.03.2019 (Az. 65 C 485/18) könnte nun aber für vorsichtiges Aufatmen sorgen. Demnach besteht ein Schadenersatzanspruch nur dann, wenn auch tatsächlich ein nachweisbarer Schaden eingetreten ist.
Im verhandelten Fall klagte ein Mann gegen seine ehemalige Berufsbetreuerin. Ein Berufsbetreuer ist jemand, der in Deutschland eine rechtliche Betreuung im Rahmen einer selbständigen Tätigkeit ausübt. Berufsbetreuer sind sozusagen der rechtliche „Vormund“ der betreuten Person und kümmern sich zum Beispiel um deren Finanzen, Verträge, Mietangelegenheiten usw. Das Betreuungsverhältnis wird in einer sogenannten Bestellungsurkunde festgehalten. Darin stehen die Namen des Betreuers und der zu betreuenden Person sowie die Aufgaben des Betreuers.
Diese Bestellungsurkunde wurde von der Berufsbetreuerin nach Beendigung der Betreuung an den Vermieter des betreuten Mannes verschickt. Darin sah dieser einen Verstoß gegen Artikel 6 DSGVO, seiner Ansicht nach hatte die Betreuerin kein Recht darauf die Urkunde zu versenden. Das Gericht folgte dieser Ansicht aber nicht, da die Betreuerin nur ihre berufliche Pflicht erfüllt habe, indem sie als Bevollmächtigte den Vermieter über das Ende des Betreuungsverhältnisses informierte.
Die Berufsbetreuerin schickte die Bestellungsurkunde auch an den neuen Betreuer des Mannes, um diesem die notwendigen Informationen zukommen zu lassen. Der Versand erfolgte unverschlüsselt per E-Mail, was einen Verstoß gegen Artikel 32 DSGVO darstellt. Weil aber nicht nachgewiesen werden könne, dass die unverschlüsselten Daten für Dritte zugänglich waren und dem Mann kein nachweislicher materieller oder immaterieller Schaden entstanden sei, bestehe kein Anspruch nach Artikel 82 DSGVO, so das Gericht.
Ein Verstoß gegen die Datenschutzgrundverordnung alleine genügt somit nicht, um einen Anspruch auf Schadenersatz zu haben. Wer sich in seinen Datenschutzrechten verletzt sieht, muss nachweisen können, dass ein materieller oder immaterieller Schaden entstanden ist. Wer nicht nachweisen kann, dass unbefugte Dritte Zugang zu den Daten hatten oder davon Kenntnis genommen haben, hat folglich auch keinen Anspruch auf Schadenersatz.
Das Urteil dürfte die angespannte Lage beim Thema DSGVO etwas beruhigen. Selbständige, zu denen auch Berufsbetreuer zählen, und Unternehmer haben in ihrem beruflichen Alltag oft mit der Datenschutzgrundverordnung zu kämpfen. Verstöße sind schnell passiert. Dennoch dürften massenweise Schadenersatzansprüche aufgrund mangelnder Beweise vorerst ausbleiben. Auch das OLG Dresden (Hinweisbeschluss vom 11. Juni 2019, Az. 4 U 760/19) und das AG Diez (Urteil vom 7. November 2018, Az. 8 C 130/18), entschieden jeweils, dass für einen Schadenersatzanspruch auch ein Schaden vorhanden sein muss. Allerdings drohen bei Verstößen gegen die DSGVO weiterhin hohe Bußgelder. Auch dann, wenn kein Schadenersatzanspruch vorliegt.
Was noch ausbleibt ist eine höchstrichterliche Entscheidung, um eine abschließende Rechtssicherheit bei Schadenersatzansprüchen zu schaffen.
Rekordbußgeld gegen die Deutsche Wohnen
Wegen Verstößen gegen die DSGVO soll die Deutsche Wohnen SE ein Rekordbußgeld von 14,5 Millionen Euro bezahlen. Das ist das bisher höchste DSGVO-Bußgeld, das in Deutschland verhängt wurde. Was die Deutsche Wohnen falsch gemacht hat und was Sie zur DSGVO in der Immobilienbranche wissen müssen, können Sie in unserem Artikel nachlesen: Millionenbußgeld gegen die Deutsche Wohnen: Was Sie über die DSGVO in der Immobilienbranche wissen müssen.
Weitere Fakten rund um die DSGVO können Sie in unserem ursprünglichen Artikel vom 15.04.2019 nachlesen:
20.000 Euro Bußgeld gegen Knuddels.de
Die ersten Monate, in denen die DSGVO in Kraft war, blieb es erstaunlich ruhig. Keine Berichte über Abmahnungen oder Bußgelder, die anfängliche Panik war schnell verflogen. Der erste Fall, der für Aufsehen sorgte, war in Deutschland das Bußgeld in Höhe von 20.000 Euro gegen Knuddels.de. Das Netzwerk hatte personenbezogene Daten seiner Nutzer nicht ausreichend gesichert und war prompt gehacked worden. Über 800.000 E-Mail-Adressen sowie zwei Millionen Pseudonyme und Passwörter von circa 330.000 Nutzern wurden im Netz veröffentlicht! Dass das Bußgeld nicht noch höher ausfiel, lag nur daran, dass Knuddels sehr transparent mit dem Verstoß umging, seiner Meldepflicht nachkam und gut mit der Datenschutzbehörde zusammenarbeitete.
5.000 Euro wegen fehlendem Vertrag zur Auftragsverarbeitung
Im Januar sorgte dann der Fall Kolibri Image für Schlagzeilen. Das kleine Versandunternehmen aus Hamburg soll 5.000 Euro Bußgeld wegen eines fehlenden Auftragsverarbeitungsvertrags zahlen (Art. 83 Abs. 4 DSGVO). Den Fall hatte das Unternehmen selbst ins Rollen gebracht: Im Mai 2018 hatte es eine Mail an den Hessischen Datenschutzbeauftragten geschrieben und diesem um Rat bezüglich eines beauftragten spanischen Dienstleisters gefragt, der sich trotz mehrfacher Aufforderung weigerte, einen Vertrag zur Auftragsverarbeitung zu übersenden. Daraufhin antwortete der Datenschutzbeauftragte, dass nicht nur der Dienstleister datenschutzrechtlich verantwortlich sei, sondern auch das Unternehmen selbst und dieses daher selbst einen Vertrag zur Auftragsverarbeitung verfassen und dem Dienstleister übersenden müsse.
Was ist Auftragsdatenverarbeitung?
Wenn ein Unternehmen einen Dritten (beispielsweise einen externen Dienstleister) beauftragt und dieser im Rahmen des Auftrags personenbezogene Daten verarbeitet, dann handelt es sich um Auftragsdatenverarbeitung.
In diesem Fall muss das Unternehmen mit dem Dienstleister einen Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) gemäß Art. 28 DSGVO schließen. Diese Regelung gilt auch, wenn Unternehmen Tracking-Software nutzen (zum Beispiel Google Analytics) oder ihre Buchhaltung oder Rechenzentren auslagern.
Achtung: Der Auftraggeber darf sich nie darauf verlassen, dass sich der Dienstleister um den Datenschutz kümmert, er bleibt dafür weiterhin der Hauptverantwortliche!
Kolibri Image antwortete daraufhin, dass es sich in ihren Augen um eine Pflicht des Dienstleisters handelt und sie außerdem die teure Übersetzung ins Spanische ablehnen. Daraufhin gab die hessische Datenschutzbehörde den Fall an den zuständigen Beauftragten in Hamburg ab, der dem Unternehmen den Bußgeldbescheid in Höhe von 5.000 Euro übersandte. Die Begründung: Kolibri Image habe Daten ohne Rechtsgrundlage an den Dienstleister übermittelt und sich trotz der rechtlichen Hinweise des Datenschutzbeauftragten entschieden, nicht rechtskonform zu handeln. Eine gute Zusammenarbeit mit der Behörde – die sich, wie der Fall Knuddels zeigt, strafmildernd auswirken kann – sei nicht erfolgt.
Dirk Maass, Geschäftsführer von Kolibri Image, kritisierte dagegen gegenüber heise online das Vorgehen der Datenschutzbehörde. Das Unternehmen habe sich hilfesuchend an diese gewandt und als Antwort nur einen Hinweis auf eine PDF-Vorlage erhalten. Es sei außerdem für ein kleines Unternehmen wie Kolibri Image nicht realistisch, einen teuren IT-Anwalt zu beauftragen, den Vertrag ins Spanische übersetzen zu lassen und ihn dann an den Dienstleister in Madrid zu senden. Wie es mit dem Fall weitergeht, bleibt abzuwarten, denn Maass kündigte bereits Widerspruch gegen den Bußgeldbescheid an.
2.600 Euro Bußgeld wegen offenem E-Mail-Verteiler
Dass die Behörden nun verstärkt kontrollieren und DSGVO-Verstöße ahnden, zeigt ein Fall aus Sachsen-Anhalt. Dort hatte ein Mann vielfach E-Mails verschickt, in denen die Empfänger für jeden sichtbar waren. Rund 140 personenbezogene Adressen seien dadurch öffentlich geworden. Bei den Mails handelte es sich hauptsächlich um Beschwerden an Vertreter der Wirtschaft, Presse und Politik. Dabei hatte der Mann alle Mail-Adressen der Empfänger in das „An-Feld“ oder in cc gesetzt, sodass jeder sie sehen und hätte verarbeiten können. Wegen mehrfacher Verstöße gegen die DSGVO muss der Mann nun eine Geldbuße von über 2.600 Euro zahlen – und die Kosten für das Verfahren kommen noch dazu. In diesem Fall handelt es sich um eine Privatperson, die gegenüber Behörden gegen den Datenschutz verstoßen hat – das zeigt, wie ernst die Datenschutzbehörden nun DSGVO-Verstöße nehmen. Unternehmen sollten daher noch stärker auf den Datenschutz beim E-Mail-Versand achten. Denn wenn beispielsweise bei einer Mail an Kunden die Adressen im CC-Feld statt in „BCC“ stehen, ist das eine Datenpanne, die extrem teuer werden kann.
Bei rein privaten E-Mails besteht jedoch keine Sorge, denn in Artikel 2 DSGVO heißt es:
Faktencheck: Wie viele DSGVO-Bußgelder wurden verhängt?
Nach Bekanntwerden dieser Fälle ist die Frage: Machen die Datenschutzbehörden jetzt ernst, nachdem sie die ersten Monate DSGVO als „Testphase“ sahen und noch gnädig waren? Die Frage ist schwer zu beantworten, denn die meisten Bußgelder werden nicht publik, den Datenschutzbehörden wird fehlende Transparenz vorgeworfen. Doch der Bundesdatenschützer Ulrich Kelber versprach gegenüber dem Handelsblatt Besserung. Die Bundesdatenschutzbehörde in Bonn sei derzeit dabei, ein Konzept zu erstellen, um besser über Bußgelder und Datenschutzverstöße zu informieren. Denn nach dem Informationsfreiheitsgesetz hat jeder Bürger das Recht, Zugang zu den amtlichen Informationen der Bundesbehörden zu bekommen.
Es lässt sich also nicht exakt sagen, wie viele Bußgelder in welchem Bundesland verhängt wurden und wie hoch diese ausfielen. Laut Medienberichten ergibt sich ungefähr dieses Bild:
Im Visier der Datenschützer in Europa ist auch Google: Der Konzern soll wegen Datenschutz-Verstößen 50 Millionen Euro zahlen! Die französische Datenschutzbehörde wirft Google vor, seine Nutzer nicht transparent über die Datenverarbeitung zu informieren und außerdem keine wirksame Einwilligung zur Verarbeitung der Daten für Werbezwecke zu haben.Neben Google dürfte es demnächst noch weitere namhafte Konzerne treffen, darunter Netflix, Spotify, YouTupe und Apple – denn diese sind unter anderem wegen ihrer Streaming-Angebote im Visier von Datenschützern. Und auch die Telekom reiht sich vielleicht bald in die Riege der Datenschutz-Sünder ein. Denn wie kürzlich bekannt wurde bekam in einer Telekomfiliale in Schleswig-Holstein eine Kundin einen USB-Stick, auf dem hunderte Urlaubsbilder, Nachrichten und Anrufprotokolle von anderen Telekom-Kunden gespeichert waren. Insgesamt sind von dem Daten-Debakel mehrere hundert Menschen betroffen. Die Verbraucherzentrale und die Datenschutzbehörde prüfen bereits eine Abmahnung und ein Bußgeld.
Update: Millionen-Bußgelder gegen Marriott und British Airways
Bußgeld-Spitzenreiter in der EU könnte bald die Fluggesellschaft British Airways werden. Durch zwei Datenlecks konnten Unbekannte über das Online-Buchungssystem der Airline auf persönliche Daten von 500.000 Kunden zugreifen, darunter auch Zahlungsdaten und Mail-Adressen. Grund dafür seien gravierende IT-Sicherheitsmängel der Airline. Die britische Datenschutzaufsicht ICO will dafür ein Bußgeld von umgerechnet 204 Millionen Euro verhängen (etwa 1,4 Prozent des weltweiten Jahresumsatzes von British Airways). Und auch der Hotelkette Marriott droht ein hohes Bußgeld: Auf Grund eines Hackerangriffs Ende 2018 gelangten Daten von rund 380 Millionen Hotelgästen in falsche Hände, darunter Ausweisnummern und Kreditkartendaten. Die ICO wirft dem Unternehmen vor, zu wenig für die Sicherheit seiner Computersysteme getan zu haben und will ein Bußgeld von umgerechnet 110 Millionen Euro verhängen.
Update: Hohes Bußgeld wegen Verstoß gegen Informationspflichten in Polen
Auch in Polen sorgt die DSGVO für Schlagzeilen und eine Diskussion, wie weit die Informationspflicht von Unternehmen gehen muss.
Das Unternehmen Bisnode Polska, ein großer Anbieter für digitale Wirtschaftsinformationen, soll knapp 220.000 Euro Bußgeld bezahlen, weil es seiner Informationspflicht nach Art. 14 DSGVO nicht ausreichend nachgekommen sei. Die Firma hatte nur diejenigen Betroffenen über die Datenverarbeitung informiert, die eine E-Mail-Adresse angegeben hatten. Die restlichen – immerhin fast 6 Millionen – von denen das Unternehmen nur eine Telefonnummer und eine Postanschrift hatte, hat es nicht aufgeklärt. Die Firma ging davon aus, dass es viel zu aufwändig und nicht verhältnismäßig sei, 6 Millionen Menschen per Post oder Telefon zu informieren und berief sich damit auf Art. 14 Abs. 5 b) DSGVO, nach dem die Informationspflicht bei „unverhältnismäßigem Aufwand“ entfällt.
Doch diese Ausrede ließ die polnische Aufsichtsbehörde, die das Bußgeld verhängte, nicht gelten: Sie argumentierte, dem Unternehmen sei es schlicht zu teuer gewesen, alle Betroffenen ordentlich zu informieren. Die Behörde unterstellte dem Unternehmen sogar Vorsatz, da sich das Unternehmen seiner Informationspflicht bewusst gewesen sei, sonst hätte es schließlich niemanden informiert. Außerdem bemängelten die Datenschützer die geringe Kooperationsbereitschaft des Unternehmens, denn weder holte dieses die Informationspflicht schnell nach, noch beendete es die Zuwiderhandlung. Nachdem fast 6 Millionen Datensätze betroffen waren, sei die Höhe des Bußgeldes angemessen.
Das Thema ist damit aber noch nicht erledigt: Bisnode Polska kündigte auf seiner Homepage an, gegen die Entscheidung der Aufsichtsbehörde gerichtlich vorgehen zu wollen.
Checkliste: Learnings aus den bisher verhängten Bußgeldern
Aus den Fällen Kolibri Image oder Knuddels kann jeder, der personenbezogene Daten verarbeitet, etwas lernen.
Diese Checkliste verrät Ihnen, was:
- Wenn Sie eine Datenpanne oder einen Datenschutzverstoß bemerken, holen Sie sofort fachlichen Rat ein und melden sie diesen ggf. bei der zuständigen Behörde
- Arbeiten Sie eng und transparent mit der Datenschutzbehörde zusammen und tun Sie alles, um den Schaden so gering wie möglich zu halten – das wirkt sich strafmildernd aus
- Vergessen Sie nie, mit Dienstleistern einen Vertrag zur Auftragsverarbeitung abzuschließen und denken Sie daran: Sie können die Verantwortung nicht abgeben, Sie bleiben Hauptverantwortlicher für den Datenschutz
- Achten Sie auch bei alltäglichem Schriftverkehr per E-Mail auf den Datenschutz und prüfen Sie besser mehrmals, dass keine Mail-Adressen öffentlich sichtbar sind
Datenschutzbehörden wollen jetzt ernst machen
Einige Datenschutzbehörden haben bereits angekündigt, dass sie ab sofort verstärkte Kontrollen durchführen. Viele Behörden haben dafür bereits ihr Personal aufgestockt. Während bisher der Schwerpunkt auf der Beratung und Aufklärung lag, soll nun verstärkt gegen Datenschutzverstöße vorgegangen werden. Auch wenn der Fokus auf Social-Media-Unternehmen und Unternehmen liegen soll, die große Mengen an sensiblen Daten verarbeiten, zeigt der Fall Kolibri Image, dass auch kleine Unternehmen ins Visier der Datenschützer geraten können.
Was sagen die Gerichte? Rechtsprechung zur DSGVO
Die ersten Urteile zum Thema DSGVO befassten sich mit der Frage, ob ein DSGVO-Verstoß wettbewerbswidrig ist und von Wettbewerbern abgemahnt werden kann. Leider sind sich die Gerichte in dieser Frage uneinig und es folgten drei Urteile mit zwei verschiedenen Meinungen. Das Landgericht Würzburg und das Oberlandesgericht Hamburg entschieden, dass Verstöße gegen die DSGVO wettbewerbsrechtlich abmahnbar sind; das Landgericht Bochum sagte das Gegenteil. Unseren Artikel zu diesen Entscheidungen können Sie hier nachlesen: Gerichte uneinig: DSGVO-Verstöße abmahnbar oder nicht? Bis zu diesem Thema Rechtssicherheit besteht, werden (Pseudo-)Wettbewerber und Abmahnanwälte wohl weiter Abmahnungen verschicken.
Video: DSGVO-Bußgeld selber berechnen
Sie wollen wissen, wie hoch Ihr Bußgeld bei einem DSGVO-Verstoß aussehen könnte? Im Video erfahren Sie, mit welcher Formel Sie es berechnen können:
PGlmcmFtZSBhbGxvdz0iYWNjZWxlcm9tZXRlcjsgYXV0b3BsYXk7IGVuY3J5cHRlZC1tZWRpYTsgZ3lyb3Njb3BlOyBwaWN0dXJlLWluLXBpY3R1cmUiIGFsbG93ZnVsbHNjcmVlbj0iIiBmcmFtZWJvcmRlcj0iMCIgaGVpZ2h0PSIzMTUiIHNyYz0iaHR0cHM6Ly93d3cueW91dHViZS1ub2Nvb2tpZS5jb20vZW1iZWQveE5mZXNoSTU5SUkiIHdpZHRoPSI1NjAiPjwvaWZyYW1lPg==
DSGVO-Verstöße absichern
Was Abmahnungen und Schadenersatzansprüche in Sachen DSGVO betrifft, können Sie sich zurücklehnen, wenn Sie eine Berufshaftpflicht über exali.de abgeschlossen haben. Wenn Sie eine Abmahnung wegen Datenschutz-Verstößen erhalten, prüft der Versicherer auf eigene Kosten, ob die Forderung berechtigt ist und bezahlt im Ernstfall die Schadenersatzforderung. Das Gleiche gilt für den Fall, dass auf Grund Ihres Versäumnisses jemand anderer ein Bußgeld erhält (beispielsweise einer Ihrer Kunden). Dann wird nämlich der Kunde das Bußgeld in Form von Schadenersatz von Ihnen zurückverlangen. Auch diese Zahlung übernimmt der Versicherer.
Hinweis
Bußgelder, die ein Gericht oder eine Datenschutzbehörde wegen einer Datenrechtsverletzung gegen Sie verhängt, sind im Rahmen Ihrer Berufshaftpflicht ebenfalls versichert (sofern dies nach geltendem Recht möglich ist).
Bei Fragen rufen Sie uns gerne jederzeit an, bei exali.de gibt es weder Callcenter noch Warteschleife!
© Ines Rietzler – exali AG
Wer bin ich?
Nach einem Volontariat und ein paar Jahren in der Unternehmenskommunikation bin ich nun bei exali als Chefredakteurin in der Online-Redaktion für Content aller Art zuständig.
Was mag ich?
Sommer, Reisen, gutes Essen und Fußball.
Was mag ich nicht?
Bahn fahren, Rosenkohl und Schleimer.
