DSGVO-Faktencheck: Bußgelder, Urteile und Risiken
Die einen verkündeten eine Abmahnsintflut, die anderen beschimpften alle, die vor der DSGVO warnten, als Panikmacher. Jetzt haben wir elf Monate DSGVO hinter uns und so langsam gibt es die ersten Berichte über Bußgelder und verstärktes Vorgehen der Datenschutzbehörden. Grund genug für uns, einmal einen Blick auf die aktuellen Entwicklungen in Sachen DSGVO zu werfen und uns zu fragen: Wie ernst ist die Lage?
20.000 Euro Bußgeld gegen Knuddels.de
Die ersten Monate, in denen die DSGVO in Kraft war, blieb es erstaunlich ruhig. Keine Berichte über Abmahnungen oder Bußgelder, die anfängliche Panik war schnell verflogen. Der erste Fall, der für Aufsehen sorgte, war in Deutschland das Bußgeld in Höhe von 20.000 Euro gegen Knuddels.de. Das Netzwerk hatte personenbezogene Daten seiner Nutzer nicht ausreichend gesichert und war prompt gehacked worden. Über 800.000 E-Mail-Adressen sowie zwei Millionen Pseudonyme und Passwörter von circa 330.000 Nutzern wurden im Netz veröffentlicht! Dass das Bußgeld nicht noch höher ausfiel, lag nur daran, dass Knuddels sehr transparent mit dem Verstoß umging, seiner Meldepflicht nachkam und gut mit der Datenschutzbehörde zusammenarbeitete.
5.000 Euro wegen fehlendem Vertrag zur Auftragsverarbeitung
Im Januar sorgte dann der Fall Kolibri Image für Schlagzeilen. Das kleine Versandunternehmen aus Hamburg soll 5.000 Euro Bußgeld wegen eines fehlenden Auftragsverarbeitungsvertrags zahlen (Art. 83 Abs. 4 DSGVO). Den Fall hatte das Unternehmen selbst ins Rollen gebracht: Im Mai 2018 hatte es eine Mail an den Hessischen Datenschutzbeauftragten geschrieben und diesem um Rat bezüglich eines beauftragten spanischen Dienstleisters gefragt, der sich trotz mehrfacher Aufforderung weigerte, einen Vertrag zur Auftragsverarbeitung zu übersenden. Daraufhin antwortete der Datenschutzbeauftragte, dass nicht nur der Dienstleister datenschutzrechtlich verantwortlich sei, sondern auch das Unternehmen selbst und dieses daher selbst einen Vertrag zur Auftragsverarbeitung verfassen und dem Dienstleister übersenden müsse.
Was ist Auftragsdatenverarbeitung?
Wenn ein Unternehmen einen Dritten (beispielsweise einen externen Dienstleister) beauftragt und dieser im Rahmen des Auftrags personenbezogene Daten verarbeitet, dann handelt es sich um Auftragsdatenverarbeitung.
In diesem Fall muss das Unternehmen mit dem Dienstleister einen Vertrag zur Auftragsdatenverarbeitung (ADV-Vertrag) gemäß Art. 28 DSGVO schließen. Diese Regelung gilt auch, wenn Unternehmen Tracking-Software nutzen (zum Beispiel Google Analytics) oder ihre Buchhaltung oder Rechenzentren auslagern.
Achtung: Der Auftraggeber darf sich nie darauf verlassen, dass sich der Dienstleister um den Datenschutz kümmert, er bleibt dafür weiterhin der Hauptverantwortliche!
Kolibri Image antwortete daraufhin, dass es sich in ihren Augen um eine Pflicht des Dienstleisters handelt und sie außerdem die teure Übersetzung ins Spanische ablehnen. Daraufhin gab die hessische Datenschutzbehörde den Fall an den zuständigen Beauftragten in Hamburg ab, der dem Unternehmen den Bußgeldbescheid in Höhe von 5.000 Euro übersandte. Die Begründung: Kolibri Image habe Daten ohne Rechtsgrundlage an den Dienstleister übermittelt und sich trotz der rechtlichen Hinweise des Datenschutzbeauftragten entschieden, nicht rechtskonform zu handeln. Eine gute Zusammenarbeit mit der Behörde – die sich, wie der Fall Knuddels zeigt, strafmildernd auswirken kann – sei nicht erfolgt.
Dirk Maass, Geschäftsführer von Kolibri Image, kritisierte dagegen gegenüber heise online das Vorgehen der Datenschutzbehörde. Das Unternehmen habe sich hilfesuchend an diese gewandt und als Antwort nur einen Hinweis auf eine PDF-Vorlage erhalten. Es sei außerdem für ein kleines Unternehmen wie Kolibri Image nicht realistisch, einen teuren IT-Anwalt zu beauftragen, den Vertrag ins Spanische übersetzen zu lassen und ihn dann an den Dienstleister in Madrid zu senden. Wie es mit dem Fall weitergeht, bleibt abzuwarten, denn Maass kündigte bereits Widerspruch gegen den Bußgeldbescheid an.
2.600 Euro Bußgeld wegen offenem E-Mail-Verteiler
Dass die Behörden nun verstärkt kontrollieren und DSGVO-Verstöße ahnden, zeigt ein Fall aus Sachsen-Anhalt. Dort hatte ein Mann vielfach E-Mails verschickt, in denen die Empfänger für jeden sichtbar waren. Rund 140 personenbezogene Adressen seien dadurch öffentlich geworden. Bei den Mails handelte es sich hauptsächlich um Beschwerden an Vertreter der Wirtschaft, Presse und Politik. Dabei hatte der Mann alle Mail-Adressen der Empfänger in das „An-Feld“ oder in cc gesetzt, sodass jeder sie sehen und hätte verarbeiten können. Wegen mehrfacher Verstöße gegen die DSGVO muss der Mann nun eine Geldbuße von über 2.600 Euro zahlen – und die Kosten für das Verfahren kommen noch dazu. In diesem Fall handelt es sich um eine Privatperson, die gegenüber Behörden gegen den Datenschutz verstoßen hat – das zeigt, wie ernst die Datenschutzbehörden nun DSGVO-Verstöße nehmen. Unternehmen sollten daher noch stärker auf den Datenschutz beim E-Mail-Versand achten. Denn wenn beispielsweise bei einer Mail an Kunden die Adressen im CC-Feld statt in „BCC“ stehen, ist das eine Datenpanne, die extrem teuer werden kann.
Bei rein privaten E-Mails besteht jedoch keine Sorge, denn in Artikel 2 DSGVO heißt es:
Faktencheck: Wie viele DSGVO-Bußgelder wurden verhängt?
Nach Bekanntwerden dieser Fälle ist die Frage: Machen die Datenschutzbehörden jetzt ernst, nachdem sie die ersten Monate DSGVO als „Testphase“ sahen und noch gnädig waren? Die Frage ist schwer zu beantworten, denn die meisten Bußgelder werden nicht publik, den Datenschutzbehörden wird fehlende Transparenz vorgeworfen. Doch der Bundesdatenschützer Ulrich Kelber versprach gegenüber dem Handelsblatt Besserung. Die Bundesdatenschutzbehörde in Bonn sei derzeit dabei, ein Konzept zu erstellen, um besser über Bußgelder und Datenschutzverstöße zu informieren. Denn nach dem Informationsfreiheitsgesetz hat jeder Bürger das Recht, Zugang zu den amtlichen Informationen der Bundesbehörden zu bekommen.
Es lässt sich also nicht exakt sagen, wie viele Bußgelder in welchem Bundesland verhängt wurden und wie hoch diese ausfielen. Laut Berichten von die Welt und heise ergibt sich ungefähr dieses Bild:
Im Visier der Datenschützer in Europa ist auch Google: Der Konzern soll wegen Datenschutz-Verstößen 50 Millionen Euro zahlen! Die französische Datenschutzbehörde wirft Google vor, seine Nutzer nicht transparent über die Datenverarbeitung zu informieren und außerdem keine wirksame Einwilligung zur Verarbeitung der Daten für Werbezwecke zu haben.Neben Google dürfte es demnächst noch weitere namhafte Konzerne treffen, darunter Netflix, Spotify, YouTupe und Apple – denn diese sind unter anderem wegen ihrer Streaming-Angebote im Visier von Datenschützern. Und auch die Telekom reiht sich vielleicht bald in die Riege der Datenschutz-Sünder ein. Denn wie kürzlich bekannt wurde bekam in einer Telekomfiliale in Schleswig-Holstein eine Kundin einen USB-Stick, auf dem hunderte Urlaubsbilder, Nachrichten und Anrufprotokolle von anderen Telekom-Kunden gespeichert waren. Insgesamt sind von dem Daten-Debakel mehrere hundert Menschen betroffen. Die Verbraucherzentrale und die Datenschutzbehörde prüfen bereits eine Abmahnung und ein Bußgeld.
Update: Millionen-Bußgelder gegen Marriott und British Airways
Bußgeld-Spitzenreiter in der EU könnte bald die Fluggesellschaft British Airways werden. Durch zwei Datenlecks konnten Unbekannte über das Online-Buchungssystem der Airline auf persönliche Daten von 500.000 Kunden zugreifen, darunter auch Zahlungsdaten und Mail-Adressen. Grund dafür seien gravierende IT-Sicherheitsmängel der Airline. Die britische Datenschutzaufsicht ICO will dafür ein Bußgeld von umgerechnet 204 Millionen Euro verhängen (etwa 1,4 Prozent des weltweiten Jahresumsatzes von British Airways). Und auch der Hotelkette Marriott droht ein hohes Bußgeld: Auf Grund eines Hackerangriffs Ende 2018 gelangten Daten von rund 380 Millionen Hotelgästen in falsche Hände, darunter Ausweisnummern und Kreditkartendaten. Die ICO wirft dem Unternehmen vor, zu wenig für die Sicherheit seiner Computersysteme getan zu haben und will ein Bußgeld von umgerechnet 110 Millionen Euro verhängen.
Update: Hohes Bußgeld wegen Verstoß gegen Informationspflichten in Polen
Auch in Polen sorgt die DSGVO für Schlagzeilen und eine Diskussion, wie weit die Informationspflicht von Unternehmen gehen muss.
Das Unternehmen Bisnode Polska, ein großer Anbieter für digitale Wirtschaftsinformationen, soll knapp 220.000 Euro Bußgeld bezahlen, weil es seiner Informationspflicht nach Art. 14 DSGVO nicht ausreichend nachgekommen sei. Die Firma hatte nur diejenigen Betroffenen über die Datenverarbeitung informiert, die eine E-Mail-Adresse angegeben hatten. Die restlichen – immerhin fast 6 Millionen – von denen das Unternehmen nur eine Telefonnummer und eine Postanschrift hatte, hat es nicht aufgeklärt. Die Firma ging davon aus, dass es viel zu aufwändig und nicht verhältnismäßig sei, 6 Millionen Menschen per Post oder Telefon zu informieren und berief sich damit auf Art. 14 Abs. 5 b) DSGVO, nach dem die Informationspflicht bei „unverhältnismäßigem Aufwand“ entfällt.
Doch diese Ausrede ließ die polnische Aufsichtsbehörde, die das Bußgeld verhängte, nicht gelten: Sie argumentierte, dem Unternehmen sei es schlicht zu teuer gewesen, alle Betroffenen ordentlich zu informieren. Die Behörde unterstellte dem Unternehmen sogar Vorsatz, da sich das Unternehmen seiner Informationspflicht bewusst gewesen sei, sonst hätte es schließlich niemanden informiert. Außerdem bemängelten die Datenschützer die geringe Kooperationsbereitschaft des Unternehmens, denn weder holte dieses die Informationspflicht schnell nach, noch beendete es die Zuwiderhandlung. Nachdem fast 6 Millionen Datensätze betroffen waren, sei die Höhe des Bußgeldes angemessen.
Das Thema ist damit aber noch nicht erledigt: Bisnode Polska kündigte auf seiner Homepage an, gegen die Entscheidung der Aufsichtsbehörde gerichtlich vorgehen zu wollen.
Checkliste: Learnings aus den bisher verhängten Bußgeldern
Aus den Fällen Kolibri Image oder Knuddels kann jeder, der personenbezogene Daten verarbeitet, etwas lernen.
Diese Checkliste verrät Ihnen, was:
- Wenn Sie eine Datenpanne oder einen Datenschutzverstoß bemerken, holen Sie sofort fachlichen Rat ein und melden sie diesen ggf. bei der zuständigen Behörde
- Arbeiten Sie eng und transparent mit der Datenschutzbehörde zusammen und tun Sie alles, um den Schaden so gering wie möglich zu halten – das wirkt sich strafmildernd aus
- Vergessen Sie nie, mit Dienstleistern einen Vertrag zur Auftragsverarbeitung abzuschließen und denken Sie daran: Sie können die Verantwortung nicht abgeben, Sie bleiben Hauptverantwortlicher für den Datenschutz
- Achten Sie auch bei alltäglichem Schriftverkehr per E-Mail auf den Datenschutz und prüfen Sie besser mehrmals, dass keine Mail-Adressen öffentlich sichtbar sind
Datenschutzbehörden wollen jetzt ernst machen
Einige Datenschutzbehörden haben bereits angekündigt, dass sie ab sofort verstärkte Kontrollen durchführen. Viele Behörden haben dafür bereits ihr Personal aufgestockt. Während bisher der Schwerpunkt auf der Beratung und Aufklärung lag, soll nun verstärkt gegen Datenschutzverstöße vorgegangen werden. Auch wenn der Fokus auf Social-Media-Unternehmen und Unternehmen liegen soll, die große Mengen an sensiblen Daten verarbeiten, zeigt der Fall Kolibri Image, dass auch kleine Unternehmen ins Visier der Datenschützer geraten können.
Was sagen die Gerichte? Rechtsprechung zur DSGVO
Die ersten Urteile zum Thema DSGVO befassten sich mit der Frage, ob ein DSGVO-Verstoß wettbewerbswidrig ist und von Wettbewerbern abgemahnt werden kann. Leider sind sich die Gerichte in dieser Frage uneinig und es folgten drei Urteile mit zwei verschiedenen Meinungen. Das Landgericht Würzburg und das Oberlandesgericht Hamburg entschieden, dass Verstöße gegen die DSGVO wettbewerbsrechtlich abmahnbar sind; das Landgericht Bochum sagte das Gegenteil. Unseren Artikel zu diesen Entscheidungen können Sie hier nachlesen: Gerichte uneinig: DSGVO-Verstöße abmahnbar oder nicht? Bis zu diesem Thema Rechtssicherheit besteht, werden (Pseudo-)Wettbewerber und Abmahnanwälte wohl weiter Abmahnungen verschicken.
DSGVO-Verstoß: Berufshaftpflicht schützt bei Abmahnungen
Was Abmahnungen und Schadenersatzansprüche in Sachen DSGVO betrifft, können Sie sich zurücklehnen, wenn Sie eine Berufshaftpflicht über exali.de abgeschlossen haben. Wenn Sie eine Abmahnung wegen Datenschutz-Verstößen erhalten, prüft der Versicherer auf eigene Kosten, ob die Forderung berechtigt ist und bezahlt im Ernstfall die Schadenersatzforderung. Das Gleiche gilt für den Fall, dass auf Grund Ihres Versäumnisses jemand anderer ein Bußgeld erhält (beispielsweise einer Ihrer Kunden). Dann wird nämlich der Kunde das Bußgeld in Form von Schadenersatz von Ihnen zurückverlangen. Auch diese Zahlung übernimmt der Versicherer.
Hinweis
Nur Bußgelder, die Sie selbst auf Grund eines DSGVO-Verstoßes auferlegt bekommen, sind nicht versicherbar – denn sonst würde sich niemand um die Umsetzung der DSGVO kümmern, sondern einfach eine entsprechende Versicherung abschließen.
Wann Sie als exali.de-Kunde bei einem DSGVO-Verstoß abgesichert sind, können Sie hier nachlesen: DSGVO: Wann sind Sie als exali.de-Kunde versichert?
Bei Fragen rufen Sie uns gerne jederzeit an, bei exali.de gibt es weder Callcenter noch Warteschleife!
© Ines Rietzler – exali GmbH
Wer bin ich?
Nach einem Volontariat und ein paar Jahren in der Unternehmenskommunikation bin ich nun als Online-Redakteurin bei exali.de für Content aller Art zuständig.
Was mag ich?
Sommer, Reisen, gutes Essen und Fußball.
Was mag ich nicht?
Bahn fahren, Rosenkohl und Schleimer.
