180 Grad Datenschutz Bildmarke

Verstoß gegen den Datenschutz – Aufsichtsbehörden bitten zur Kasse

Allgemein

Fast ein Jahr ist es nun her, dass am 25. Mai 2018 die EU-weite Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist. Seitdem wurden – für viele tatsächlich überraschend – bereits etliche Bußgelder aufgrund von Verstoß gegen die DSGVO verhängt. Es zeigt sich, dass hier nicht nur globale Konzerne im Fokus der Aufsichtsbehörden stehen, sondern, dass es ebenso auch kleine Unternehmen treffen kann. Dies verdeutlicht einmal mehr, wie wichtig der Schutz personenbezogener Daten im beruflichen Umfeld ist. Daher sollen im weiteren Verlauf Beispiele und die Beantwortung von häufig gestellten Fragen dabei helfen, zukünftig Datenschutzverletzungen zu vermeiden.

Datenschutz-Verstöße werden bereits zahlreich sanktioniert

Was viele im Alltag als Datenmissbrauch oder Datenpanne beschreiben, bezeichnet meist eine Variante eines Datenschutzverstoßes und nennt sich offiziell: „Verletzung des Schutzes personenbezogener Daten“. Zu einer Verletzung kommt es beispielsweise dann, wenn personenbezogene Daten vernichtet, verloren oder verändert werden. Dabei spielt keine Rolle, ob dies vorsätzlich oder unbeabsichtigt geschieht.

Seit dem 25. Mai 2018 wurden schon viele Bußgelder verhängt. In Deutschland wurden bislang Strafen mit einer Summe von rund 24,6 Millionen Euro für insgesamt 37.636 Meldungen von Datenschutzverstößen (Platz 2 in Europa!) von den Behörden verhängt. Sicherlich am bekanntesten ist auch die Strafe der französischen Datenschutzbehörde, der Commission Nationale de l’Informatique et des Libertés (CNIL). Diese fordert von Google eine Rekordstrafe in Höhe von 50 Mio. Euro. Dabei handelt es sich um die höchste Bußgeldforderung in der Geschichte des europäischen Datenschutzes. Interessant ist hier, dass Google dabei nur zwei datenschutzrechtliche Vergehen vorgeworfen werden. Einerseits informiere der Internetkonzern seine Nutzer nicht transparent genug darüber, was mit ihren personenbezogenen Daten geschehe, also wozu sie genutzt werden. Und andererseits gebe es keine ausreichende Einwilligung für die Datenverarbeitung zu Werbezwecken. Die Höhe des verhängten Bußgelds rechtfertigte die CNIL mit der Marktdominanz des Konzerns und damit, dass es sich dabei nicht um einmalige Verstöße handele.

Ein weiterer Fall veranschaulicht, dass auch Privatpersonen ein Auge darauf haben sollten, wie sie mit personenbezogenen Daten Anderer umgehen. So wurde einem Mann aus Merseburg vorgeworfen, er habe wiederholt E-Mails mit offenen Verteilern versandt. Inhaltlich ging es in den Mails um Stellungnahmen, Verunglimpfungen und Strafanzeigen gegen Wirtschaftsvertreter, Presse, Kommunal- und Landespolitik. Dies stellte jedoch nicht das eigentliche Problem dar. Kritisch war eher, dass die E-Mail-Adressen der circa 1.600 Empfänger für alle einsehbar waren. Da E-Mail-Adressen zu personenbezogenen Daten zählen, ist dies als Verstoß gegen die DSGVO zu werten. Als Strafzahlung wurde hier 2.638,50 Euro für den Merseburger veranschlagt.

Welche Bußgelder drohen bei Verstoß?

Das Verhängen von Geldbußen bei einem datenschutzrechtlichen Vergehen ist je nach Einzelfall von der entsprechenden Aufsichtsbehörde abzuwägen. Wird ein Bußgeld festgelegt, so bemisst sich dieses im Hinblick auf die Schwere des Verstoßes. Dennoch soll es in einem Verhältnis zum Vermögen oder Umsatz des Unternehmens oder des jeweiligen Betroffenen stehen. Letztlich ist das höhergestellte Ziel, dass die Geldbuße abschreckt ohne existenzbedrohend für den Bestraften zu sein.

Bei dem Verhängen einer monetären Strafe werden verschiedene ausschlaggebende Punkte beachtet, wie die nachfolgende Auswahl verdeutlicht:

  • Art, Schwere und Dauer des Verstoßes
  • Vorsätzlichkeit oder Fahrlässigkeit
  • Maßnahmen zur Minderung des entstandenen Schadens
  • Frühere Verstöße des Verantwortlichen
  • Kategorien der personenbezogenen Daten, die betroffen sind

Nachdem die zuständige Behörde also die Schwere des Verstoßes beurteilt hat, können letztlich Strafzahlungen von bis zu 20 Mio. Euro oder sogar bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes gefordert werden.

Wer haftet bei einem Datenschutzverstoß durch Mitarbeiter?

Häufig kommt die Frage auf, wer im Fall eines Datenschutzverstoßes durch Angestellte haftet. Derjenige, dem der Fehler unterlaufen ist, oder das Unternehmen als Ganzes?

Zur Veranschaulichung dient folgendes fiktives Beispiel: Sie arbeiten in einem Schneiderbetrieb. Der Vertriebler eines Waschmittelherstellers ruft Sie an und bitte Sie um die E-Mail-Adressen all derjenigen Kunden, denen Ihr Unternehmen im letzten halben Jahr Kleidungsstücke geschneidert hat. An diese Personen würde er gerne Newsletter zu geeigneten Waschmitteln versenden. Bereitwillig geben Sie die E-Mail-Adressen der entsprechenden Kunden heraus.

In diesem Fall läge ein Verstoß gegen die DSGVO vor, für den Ihr Schneiderbetrieb haftbar gemacht werden könnte. Das Bußgeld, dass in diesem Fall möglicherweise verhängt wird, würde allerdings trotzdem der Betrieb tragen und nicht Sie als Mitarbeiter, obwohl Sie die E-Mail-Adressen herausgegeben haben. Nur in speziellen Ausnahmefällen, wie dem Nachweis eines direkten Vorsatzes oder der Missachtung mehrfacher Anweisungen, haftet der Mitarbeiter selbst.

Grundsätzlich sind Unternehmen dazu verpflichtet, ihre Angestellten über den Umgang und den Schutz von personenbezogenen Daten zu sensibilisieren, um eben solchen Verstößen vorzubeugen. Darüber hinaus gibt es auch die Möglichkeit, dass Unternehmensmitarbeiter, die personenbezogene Daten verarbeiten, an entsprechenden Datenschutz-Schulungen teilnehmen. Dadurch erhalten sie ein allgemeines Grundverständnis der Thematik sowie weiterführendes Wissen zu Datenverarbeitungen und möglicherweise entstehenden Risiken.

Häufig gestellte Fragen in Bezug auf Datenschutzverstöße

Wer muss einen Verstoß melden?

Im Falle einer Verletzung des Schutzes personenbezogener Daten ist das jeweilige Unternehmen als Ganzes dafür verantwortlich, diese unverzüglich einer Aufsichtsbehörde zu melden.

Wann ist ein Verstoß zu melden?

Innerhalb von 72 Stunden nach Bekanntwerden der Verletzung ist diese an die zuständige Aufsichtsbehörde zu melden. Dies ist in Artikel 33 der DSGVO festgehalten. Erfolgt die Meldung nicht innerhalb dieser Frist, so ist jede Verzögerung ebenfalls zu rechtfertigen.

Warum sollte ein Verstoß gemeldet werden?

Einerseits natürlich, weil es gesetzlich festgelegt ist. Andererseits kann eine Verletzung aber weitergehende Schäden für die Betroffenen mit sich bringen. So können z. B. finanzielle Verluste, Diskriminierung, Rufschädigung oder auch wirtschaftliche Nachteile Folgen einer Datenschutzverletzung sein. Deshalb muss dies nicht nur gemeldet, sondern unter Umständen auch die geschädigte Person benachrichtigt werden.

Wo ist der Verstoß zu melden?

Da in Deutschland für jedes Bundesland eine eigene Aufsichtsbehörde existiert, besteht die Möglichkeit, dass die Datenschutzverletzung je nach Bundesland auch anders ausgelegt wird. Nachfolgend finden Sie die zuständigen Aufsichtsbehörden der 16 Bundesländer:

Beispiele eines Datenschutzverstoßes

Im Alltag vieler Unternehmen wirken die Vorgaben aus DSGVO und BDSG häufig als Störfaktor, weshalb die Empfehlungen des Datenschutzbeauftragten – egal ob intern oder extern – gelegentlich außer Acht gelassen werden. Ein Verstoß gegen den Datenschutz und damit einhergehende Geldbußen haben schon vielfach für Unmut in der Unternehmenswelt gesorgt. Beispiele aus allen Branchen und unabhängig der Unternehmensgröße zeigen, dass Verstöße gegen den Datenschutz niemals auf die leichte Schulter genommen werden sollten.

Beispiele Datenschutzverstoß bei Start-Ups

  • Beispiel 1: Der Online-Lieferservice Delivery-Hero musste sich 195.407 Euro Bußgeld gefallen lassen, nachdem zum Teil noch altes Datenschutzrecht angewandt wurde. Dabei wurden Konten ehemaliger Kunden, zum Teil noch aus 2008, nicht gelöscht oder unerwünschte Werbe-E-Mails trotz ausdrücklichen Widerspruchs verschickt. In einigen Fällen wurde dem Auskunftsanspruch nach DSGVO erst nachgekommen, nachdem der Datenschutzbeauftrage von Berlin eingeschritten war.
  • Beispiel 2: Die Online-Bank N26 nutzte zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kundinnen und Kunden, die von N26 auf eine schwarze Liste gesetzt wurden, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig waren.

Beispiele Datenschutzverstoß bei kleinen und mittleren Unternehmen (KMU)

  • Die Kolibri Image GbR aus Hamburg erhielt eine Strafe von 5.000 Euro nach einer Behördenanfrage durch ein Unternehmen. Der Grund für diese Abmahnung war simpel: Das Unternehmen konnte keinen ADV vorweisen, weil der Auftragsverarbeiter keinen AV-Vertrag hatte. Das Unternehmen wollte keinen eigenen Auftragsverarbeitungsvertrag erstellen und in die spanische Sprache übersetzen lassen. Das kostete es schlussendlich seine Bußgeldstrafe von 5.000 Euro, sowie zuzüglich eine Bearbeitungsgebühr von 250 Euro.

Zusatzinfo

Das Bayerische Landesamt für Datenschutzaufsicht verhängt derzeit 5.000 Euro für jeden fehlenden oder unzureichenden Vertrag zur Auftragsverarbeitung. Vor allem werden aber die Kontrollen verstärkt. In Bayern werden regelmäßig stichprobenartige Kontrollen von Unternehmen mit SAP-Systemen avisiert. Ziel ist die Prüfung, ob personenbezogene Daten fristgerecht und DSGVO-konform gelöscht werden und ausreichende Löschkonzepte vorhanden sind.

  • Am 24.10.2019 verhängte die Bußgeldstelle in Baden-Württemberg ein Bußgeld in Höhe von 100.000,- Euro gegen ein mittelständisches Lebensmittelhandwerksunternehmen, weil dieses die personenbezogenen Daten seiner Bewerber fahrlässig nicht im ausreichenden Umfang gegen den Zugriff durch unberechtigte Dritte schützte.
  • Auch die Gesundheitsbranche, mit ihren besonderes sensiblen Daten, ist vor Geldbußen nicht geschützt. So hat in Rheinland-Pfalz ein Krankenhaus eine Geldbuße in Höhe von 105.000 Euro erhalten. Basis dafür waren mehrere Verstöße gegen die DSGVO im Kontext einer Patientenverwechslung bei der Aufnahme des Patienten. Dadurch wurde eine falsche Rechnung gestellt und die technischen und organisatorischen Defizite im Patientenmanagement wurden deutlich.

Beispiele Datenschutzverstoß bei Konzernen

Große Konzerne bieten bereits durch die enorme Organisationsstruktur viele Schlupflöcher und damit Gefahren für beispiellose Datenschutzverstöße. Im Konzern begleitet die Datenverarbeitung also zu jedem Zeitpunkt Risiken, vor allem, wenn diese von manuell von Mitarbeitern durchgeführt wird. Wenn diese Risiken nicht permanent unter Beobachtung sind, ist ein Verstoß gegen geltende Datenschutzregelungen schnell geschehen.

  • So hat es auch die 1&1 Internet SE zu spüren bekommen. Satte 9,5 Millionen Euro erhielt der Konzern aus Montabaur für einen Verstoß gegen Art. 32 DSGVO. Begründet wurde das Bußgeld damit, dass über die Hotline des Unternehmens ohne besondere Sicherheitsvorkehrungen persönliche Daten erfragt werden konnten.
  • Noch größere Auswirkungen eines Verstoßes musste die Deutsche Wohnen SE hinnehmen. Mit 14,5 Millionen Euro Strafe eine stattliche Summe. Grund dafür war, dass das Unternehmen personenbezogene Daten von seinen Mietern gespeichert haben soll, ohne die Möglichkeit zu geben, erhobene aber nicht mehr benötigte Daten später wieder zu löschen.

Wie kann man sich vor Bußgeldern schützen?

Bußgelder durch Aufsichtsbehörden lassen sich vermeiden, wenn datenschutzrechtliche Verpflichtungen umgesetzt werden. Für Unternehmen heißt das, die Informations- und Dokumentationspflichten ernst zu nehmen. Es sollte also gefragt werde: Existiert eine Beschilderung, die auf eine Videoüberwachung hinweist? Gibt es eine Datenschutzerklärung auf der Homepage? Oder existieren ordnungsgemäße Auftragsverarbeitungsverträge? Die Liste ist natürlich noch länger und erscheint auf den ersten Blick mühevoll – doch wird sie befolgt, so kann aufsichtsbehördlichen Maßnahmen oder gar Bußgeldforderungen vorgebeugt werden.

Wem dies zu zeitaufwendig ist, oder die entsprechende Expertise im Unternehmen schlichtweg fehlt, kann überdies auch auf die Unterstützung eines externen Datenschutzbeauftragten zurückgreifen. Dieser unterstützt Unternehmen jeder Größe dabei, sich voll auf ihr Kerngeschäft zu konzentrieren, während der Datenschutz extern umgesetzt wird.

Kurz und knapp

Durch die seit fast einem Jahr geltende EU-weite Datenschutzgrundverordnung wurden bereits viele globale Konzerne, mittelständische- sowie kleine Unternehmen aufgrund von Verstößen gegen die Verordnung abgemahnt und/ oder zu Bußgeldzahlungen verurteilt. Ein solcher Verstoß ist immer dann gegeben, wenn personenbezogene Daten in nicht ordnungsgemäßer Weise vernichtet, verloren oder verändert werden. Dabei ist es nicht von Bedeutung, ob dies vorsätzlich oder unbeabsichtigt geschehen ist.

Bei einem Verstoß ist dieser innerhalb von 72 Stunden nach Bekanntwerden an eine Aufsichtsbehörde zu melden. Diese entscheidet dann über das weitere Vorgehen. Eine Geldbuße kann bis zu 20 Mio. Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes betragen. Um sich als Unternehmen vor einer solchen Bußgeldforderung zu schützen, können die eigenen Mitarbeiter geschult oder z. B. ein externer Datenschutzbeauftragter engagiert werden.

Datenschutz-Schulung

Tauschen Sie sich mit uns aus!

Auch interessant

Vorheriger Beitrag
Was Sie zur Datenschutz-Grundverordnung (DSGVO) wissen sollten
Nächster Beitrag
Datenschutz bei Online-Bewerbungen: So verhält sich ein Unternehmen richtig!

Ähnliche Beiträge

Menü