DSGVO-Faktencheck: Bußgelder, Urteile und Risiken unter der Lupe!

DSGVO-Faktencheck: Bußgelder, Urteile und Risiken

20.000 Euro Bußgeld gegen Knuddels.de

Die ersten Monate, in denen die DSGVO in Kraft war, blieb es erstaunlich ruhig. Keine Berichte über Abmahnungen oder Bußgelder, die anfängliche Panik war schnell verflogen. Der erste Fall, der für Aufsehen sorgte, war in Deutschland das Bußgeld in Höhe von 20.000 Euro gegen Knuddels.de. Das Netzwerk hatte personenbezogene Daten seiner Nutzer nicht ausreichend gesichert und war prompt gehacked worden. Über 800.000 E-Mail-Adressen sowie zwei Millionen Pseudonyme und Passwörter von circa 330.000 Nutzern wurden im Netz veröffentlicht! Dass das Bußgeld nicht noch höher ausfiel, lag nur daran, dass Knuddels sehr transparent mit dem Verstoß umging, seiner Meldepflicht nachkam und gut mit der Datenschutzbehörde zusammenarbeitete.

5.000 Euro wegen fehlendem Vertrag zur Auftragsverarbeitung

Im Januar sorgte dann der Fall Kolibri Image für Schlagzeilen. Das kleine Versandunternehmen aus Hamburg soll 5.000 Euro Bußgeld wegen eines fehlenden Auftragsverarbeitungsvertrags zahlen (Art. 83 Abs. 4 DSGVO). Den Fall hatte das Unternehmen selbst ins Rollen gebracht: Im Mai 2018 hatte es eine Mail an den Hessischen Datenschutzbeauftragten geschrieben und diesem um Rat bezüglich eines beauftragten spanischen Dienstleisters gefragt, der sich trotz mehrfacher Aufforderung weigerte, einen Vertrag zur Auftragsverarbeitung zu übersenden. Daraufhin antwortete der Datenschutzbeauftragte, dass nicht nur der Dienstleister datenschutzrechtlich verantwortlich sei, sondern auch das Unternehmen selbst und dieses daher selbst einen Vertrag zur Auftragsverarbeitung verfassen und dem Dienstleister übersenden müsse.

Kolibri Image antwortete daraufhin, dass es sich in ihren Augen um eine Pflicht des Dienstleisters handelt und sie außerdem die teure Übersetzung ins Spanische ablehnen. Daraufhin gab die hessische Datenschutzbehörde den Fall an den zuständigen Beauftragten in Hamburg ab, der dem Unternehmen den Bußgeldbescheid in Höhe von 5.000 Euro übersandte. Die Begründung: Kolibri Image habe Daten ohne Rechtsgrundlage an den Dienstleister übermittelt und sich trotz der rechtlichen Hinweise des Datenschutzbeauftragten entschieden, nicht rechtskonform zu handeln. Eine gute Zusammenarbeit mit der Behörde – die sich, wie der Fall Knuddels zeigt, strafmildernd auswirken kann – sei nicht erfolgt.

Dirk Maass, Geschäftsführer von Kolibri Image, kritisierte dagegen gegenüber heise online das Vorgehen der Datenschutzbehörde. Das Unternehmen habe sich hilfesuchend an diese gewandt und als Antwort nur einen Hinweis auf eine PDF-Vorlage erhalten. Es sei außerdem für ein kleines Unternehmen wie Kolibri Image nicht realistisch, einen teuren IT-Anwalt zu beauftragen, den Vertrag ins Spanische übersetzen zu lassen und ihn dann an den Dienstleister in Madrid zu senden. Wie es mit dem Fall weitergeht, bleibt abzuwarten, denn Maass kündigte bereits Widerspruch gegen den Bußgeldbescheid an.

2.600 Euro Bußgeld wegen offenem E-Mail-Verteiler

Dass die Behörden nun verstärkt kontrollieren und DSGVO-Verstöße ahnden, zeigt ein Fall aus Sachsen-Anhalt. Dort hatte ein Mann vielfach E-Mails verschickt, in denen die Empfänger für jeden sichtbar waren. Rund 140 personenbezogene Adressen seien dadurch öffentlich geworden. Bei den Mails handelte es sich hauptsächlich um Beschwerden an Vertreter der Wirtschaft, Presse und Politik. Dabei hatte der Mann alle Mail-Adressen der Empfänger in das „An-Feld“ oder in cc gesetzt, sodass jeder sie sehen und hätte verarbeiten können. Wegen mehrfacher Verstöße gegen die DSGVO muss der Mann nun eine Geldbuße von über 2.600 Euro zahlen – und die Kosten für das Verfahren kommen noch dazu. In diesem Fall handelt es sich um eine Privatperson, die gegenüber Behörden gegen den Datenschutz verstoßen hat – das zeigt, wie ernst die Datenschutzbehörden nun DSGVO-Verstöße nehmen. Unternehmen sollten daher noch stärker auf den Datenschutz beim E-Mail-Versand achten. Denn wenn beispielsweise bei einer Mail an Kunden die Adressen im CC-Feld statt in „BCC“ stehen, ist das eine Datenpanne, die extrem teuer werden kann.

Bei rein privaten E-Mails besteht jedoch keine Sorge, denn in Artikel 2 DSGVO heißt es:

Faktencheck: Wie viele DSGVO-Bußgelder wurden verhängt?

Nach Bekanntwerden dieser Fälle ist die Frage: Machen die Datenschutzbehörden jetzt ernst, nachdem sie die ersten Monate DSGVO als „Testphase“ sahen und noch gnädig waren? Die Frage ist schwer zu beantworten, denn die meisten Bußgelder werden nicht publik, den Datenschutzbehörden wird fehlende Transparenz vorgeworfen. Doch der Bundesdatenschützer Ulrich Kelber versprach gegenüber dem Handelsblatt Besserung. Die Bundesdatenschutzbehörde in Bonn sei derzeit dabei, ein Konzept zu erstellen, um besser über Bußgelder und Datenschutzverstöße zu informieren. Denn nach dem Informationsfreiheitsgesetz hat jeder Bürger das Recht, Zugang zu den amtlichen Informationen der Bundesbehörden zu bekommen.

Spitzenreiter in Sachen DSGVO-Bußgeld in Europa ist auf jeden Fall Google: Der Konzern soll wegen Datenschutz-Verstößen 50 Millionen Euro zahlen! Die französische Datenschutzbehörde wirft Google vor, seine Nutzer nicht transparent über die Datenverarbeitung zu informieren und außerdem keine wirksame Einwilligung zur Verarbeitung der Daten für Werbezwecke zu haben.

Eine Anfrage des Handelsblatts an die Datenschutzbehörden der 16 deutschen Bundesländer ergab folgendes Bild:

Neben Google dürfte es demnächst noch weitere namhafte Konzerne treffen, darunter Netflix, Spotify, YouTupe und Apple – denn diese sind unter anderem wegen ihrer Streaming-Angebote im Visier von Datenschützern. Und auch die Telekom reiht sich vielleicht bald in die Riege der Datenschutz-Sünder ein. Denn wie kürzlich bekannt wurde bekam in einer Telekomfiliale in Schleswig-Holstein eine Kundin einen USB-Stick, auf dem hunderte Urlaubsbilder, Nachrichten und Anrufprotokolle von anderen Telekom-Kunden gespeichert waren. Insgesamt sind von dem Daten-Debakel mehrere hundert Menschen betroffen. Die Verbraucherzentrale und die Datenschutzbehörde prüfen bereits eine Abmahnung und ein Bußgeld.

Checkliste: Learnings aus den bisher verhängten Bußgeldern 

Aus den Fällen Kolibri Image oder Knuddels kann jeder, der personenbezogene Daten verarbeitet, etwas lernen.
Diese Checkliste verrät Ihnen, was:

• Wenn Sie eine Datenpanne oder einen Datenschutzverstoß bemerken, holen Sie sofort fachlichen Rat ein  und melden sie diesen ggf. bei der zuständigen Behörde
• Arbeiten Sie eng und transparent mit der Datenschutzbehörde zusammen und tun Sie alles, um den Schaden so gering wie möglich zu halten – das wirkt sich strafmildernd aus
• Vergessen Sie nie, mit Dienstleistern einen Vertrag zur Auftragsverarbeitung abzuschließen und denken Sie daran: Sie können die Verantwortung nicht abgeben, Sie bleiben Hauptverantwortlicher für den Datenschutz
• Achten Sie auch bei alltäglichem Schriftverkehr per E-Mail auf den Datenschutz und prüfen Sie besser mehrmals, dass keine Mail-Adressen öffentlich sichtbar sind

Datenschutzbehörden wollen jetzt ernst machen

Einige Datenschutzbehörden haben bereits angekündigt, dass sie ab sofort verstärkte Kontrollen durchführen. Viele Behörden haben dafür bereits ihr Personal aufgestockt. Während bisher der Schwerpunkt auf der Beratung und Aufklärung lag, soll nun verstärkt gegen Datenschutzverstöße vorgegangen werden. Auch wenn der Fokus auf Social-Media-Unternehmen und Unternehmen liegen soll, die große Mengen an sensiblen Daten verarbeiten, zeigt der Fall Kolibri Image, dass auch kleine Unternehmen ins Visier der Datenschützer geraten können.

Was sagen die Gerichte? Rechtsprechung zur DSGVO

Die ersten Urteile zum Thema DSGVO befassten sich mit der Frage, ob ein DSGVO-Verstoß wettbewerbswidrig ist und von Wettbewerbern abgemahnt werden kann. Leider sind sich die Gerichte in dieser Frage uneinig und es folgten drei Urteile mit zwei verschiedenen Meinungen. Das Landgericht Würzburg und das Oberlandesgericht Hamburg entschieden, dass Verstöße gegen die DSGVO wettbewerbsrechtlich abmahnbar sind; das Landgericht Bochum sagte das Gegenteil. Unseren Artikel zu diesen Entscheidungen können Sie hier nachlesen: Gerichte uneinig: DSGVO-Verstöße abmahnbar oder nicht? Bis zu diesem Thema Rechtssicherheit besteht, werden (Pseudo-)Wettbewerber und Abmahnanwälte wohl weiter Abmahnungen verschicken.

DSGVO-Verstoß: Berufshaftpflicht schützt bei Abmahnungen

Was Abmahnungen und Schadenersatzansprüche in Sachen DSGVO betrifft, können Sie sich zurücklehnen, wenn Sie eine Berufshaftpflicht über exali.de abgeschlossen haben. Wenn Sie eine Abmahnung wegen Datenschutz-Verstößen erhalten, prüft der Versicherer auf eigene Kosten, ob die Forderung berechtigt ist und bezahlt im Ernstfall die Schadenersatzforderung. Das Gleiche gilt für den Fall, dass auf Grund Ihres Versäumnisses jemand anderer ein Bußgeld erhält (beispielsweise einer Ihrer Kunden). Dann wird nämlich der Kunde das Bußgeld in Form von Schadenersatz von Ihnen zurückverlangen. Auch diese Zahlung übernimmt der Versicherer.

Wann Sie als exali.de-Kunde bei einem DSGVO-Verstoß abgesichert sind, können Sie hier nachlesen: DSGVO: Wann sind Sie als exali.de-Kunde versichert?

Bei Fragen rufen Sie uns gerne jederzeit an, bei exali.de gibt es weder Callcenter noch Warteschleife!

© Ines Rietzler – exali GmbH