180 Grad Datenschutz Bildmarke

Verstoß gegen den Datenschutz – Aufsichtsbehörden bitten zur Kasse

Allgemein

Fast ein Jahr ist es nun her, dass am 25. Mai 2018 die EU-weite Datenschutzgrundverordnung (DSGVO) in Kraft getreten ist. Seitdem wurden – für viele tatsächlich überraschend – bereits etliche Bußgelder aufgrund von Verstößen gegen die DSGVO verhängt. Es zeigt sich, dass hier nicht nur globale Konzerne im Fokus der Aufsichtsbehörden stehen, sondern, dass es ebenso auch kleine Unternehmen treffen kann. Dies verdeutlicht einmal mehr, wie wichtig der Schutz personenbezogener Daten im beruflichen Umfeld ist. Daher sollen im weiteren Verlauf Beispiele und die Beantwortung von häufig gestellten Fragen dabei helfen, zukünftig Datenschutzverletzungen zu vermeiden.

Datenschutz-Verstöße werden bereits zahlreich sanktioniert

Was viele im Alltag als Datenmissbrauch oder Datenpanne beschreiben, bezeichnet meist eine Variante eines Datenschutzverstoßes und nennt sich offiziell: „Verletzung des Schutzes personenbezogener Daten“. Zu einer Verletzung kommt es beispielsweise dann, wenn personenbezogene Daten vernichtet, verloren oder verändert werden. Dabei spielt keine Rolle, ob dies vorsätzlich oder unbeabsichtigt geschieht.

Seit dem 25. Mai 2018 wurden schon viele Bußgelder verhängt. Sicherlich am bekanntesten ist hier die der französischen Datenschutzbehörde, der Commission Nationale de l’Informatique et des Libertés (CNIL). Diese fordert von Google eine Rekordstrafe in Höhe von 50 Mio. Euro. Dabei handelt es sich um die höchste Bußgeldforderung in der Geschichte des europäischen Datenschutzes. Interessant ist hier, dass Google dabei nur zwei datenschutzrechtliche Vergehen vorgeworfen werden. Einerseits informiere der Internetkonzern seine Nutzer nicht transparent genug darüber, was mit ihren personenbezogenen Daten geschehe, also wozu sie genutzt werden. Und andererseits gebe es keine ausreichende Einwilligung für die Datenverarbeitung zu Werbezwecken. Die Höhe des verhängten Bußgelds rechtfertigte die CNIL mit der Marktdominanz des Konzerns und damit, dass es sich dabei nicht um einmalige Verstöße handele.

Ein weiterer Fall veranschaulicht, dass auch Privatpersonen ein Auge darauf haben sollten, wie sie mit personenbezogenen Daten Anderer umgehen. So wurde einem Mann aus Merseburg vorgeworfen, er habe wiederholt E-Mails mit offenen Verteilern versandt. Inhaltlich ging es in den Mails um Stellungnahmen, Verunglimpfungen und Strafanzeigen gegen Wirtschaftsvertreter, Presse, Kommunal- und Landespolitik. Dies stellte jedoch nicht das eigentliche Problem dar. Kritisch war eher, dass die E-Mail-Adressen der circa 1.600 Empfänger für alle einsehbar waren. Da E-Mail-Adressen zu personenbezogenen Daten zählen, ist dies als Verstoß gegen die DSGVO zu werten. Als Strafzahlung wurde hier 2.638,50 Euro für den Merseburger veranschlagt.

Welche Bußgelder drohen bei Verstoß?

Das Verhängen von Geldbußen bei einem datenschutzrechtlichen Vergehen ist je nach Einzelfall von der entsprechenden Aufsichtsbehörde abzuwägen. Wird ein Bußgeld festgelegt, so bemisst sich dieses im Hinblick auf die Schwere des Verstoßes. Dennoch soll es in einem Verhältnis zum Vermögen oder Umsatz des Unternehmens oder des jeweiligen Betroffenen stehen. Letztlich ist das höhergestellte Ziel, dass die Geldbuße abschreckt ohne existenzbedrohend für den Bestraften zu sein.

Bei dem Verhängen einer monetären Strafe werden verschiedene ausschlaggebende Punkte beachtet, wie die nachfolgende Auswahl verdeutlicht:

  • Art, Schwere und Dauer des Verstoßes
  • Vorsätzlichkeit oder Fahrlässigkeit
  • Maßnahmen zur Minderung des entstandenen Schadens
  • Frühere Verstöße des Verantwortlichen
  • Kategorien der personenbezogenen Daten, die betroffen sind

Nachdem die zuständige Behörde also die Schwere des Verstoßes beurteilt hat, können letztlich Strafzahlungen von bis zu 20 Mio. Euro oder sogar bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes gefordert werden.

Wer haftet bei einem Datenschutzverstoß durch Mitarbeiter?

Häufig kommt die Frage auf, wer im Fall eines Datenschutzverstoßes durch Angestellte haftet. Derjenige, dem der Fehler unterlaufen ist, oder das Unternehmen als Ganzes?

Zur Veranschaulichung dient folgendes fiktives Beispiel: Sie arbeiten in einem Schneiderbetrieb. Der Vertriebler eines Waschmittelherstellers ruft Sie an und bitte Sie um die E-Mail-Adressen all derjenigen Kunden, denen Ihr Unternehmen im letzten halben Jahr Kleidungsstücke geschneidert hat. An diese Personen würde er gerne Newsletter zu geeigneten Waschmitteln versenden. Bereitwillig geben Sie die E-Mail-Adressen der entsprechenden Kunden heraus.

In diesem Fall läge ein Verstoß gegen die DSGVO vor, für den Ihr Schneiderbetrieb haftbar gemacht werden könnte. Das Bußgeld, dass in diesem Fall möglicherweise verhängt wird, würde allerdings trotzdem der Betrieb tragen und nicht Sie als Mitarbeiter, obwohl Sie die E-Mail-Adressen herausgegeben haben. Nur in speziellen Ausnahmefällen, wie dem Nachweis eines direkten Vorsatzes oder der Missachtung mehrfacher Anweisungen, haftet der Mitarbeiter selbst.

Grundsätzlich sind Unternehmen dazu verpflichtet, ihre Angestellten über den Umgang und den Schutz von personenbezogenen Daten zu sensibilisieren, um eben solchen Verstößen vorzubeugen. Darüber hinaus gibt es auch die Möglichkeit, dass Unternehmensmitarbeiter, die personenbezogene Daten verarbeiten, an entsprechenden Datenschutz-Schulungen teilnehmen. Dadurch erhalten sie ein allgemeines Grundverständnis der Thematik sowie weiterführendes Wissen zu Datenverarbeitungen und möglicherweise entstehenden Risiken.

Häufig gestellte Fragen in Bezug auf Datenschutzverstöße

Wer muss einen Verstoß melden?

Im Falle einer Verletzung des Schutzes personenbezogener Daten ist das jeweilige Unternehmen als Ganzes dafür verantwortlich, diese unverzüglich einer Aufsichtsbehörde zu melden.

Wann ist ein Verstoß zu melden?

Innerhalb von 72 Stunden nach Bekanntwerden der Verletzung ist diese an die zuständige Aufsichtsbehörde zu melden. Dies ist in Artikel 33 der DSGVO festgehalten. Erfolgt die Meldung nicht innerhalb dieser Frist, so ist jede Verzögerung ebenfalls zu rechtfertigen.

Warum sollte ein Verstoß gemeldet werden?

Einerseits natürlich, weil es gesetzlich festgelegt ist. Andererseits kann eine Verletzung aber weitergehende Schäden für die Betroffenen mit sich bringen. So können z. B. finanzielle Verluste, Diskriminierung, Rufschädigung oder auch wirtschaftliche Nachteile Folgen einer Datenschutzverletzung sein. Deshalb muss dies nicht nur gemeldet, sondern unter Umständen auch die geschädigte Person benachrichtigt werden.

Wo ist der Verstoß zu melden?

Da in Deutschland für jedes Bundesland eine eigene Aufsichtsbehörde existiert, besteht die Möglichkeit, dass die Datenschutzverletzung je nach Bundesland auch anders ausgelegt wird. Nachfolgend finden Sie die zuständigen Aufsichtsbehörden der 16 Bundesländer:

Wie kann man sich vor Bußgeldern schützen?

Bußgelder durch Aufsichtsbehörden lassen sich vermeiden, wenn datenschutzrechtliche Verpflichtungen umgesetzt werden. Für Unternehmen heißt das, die Informations- und Dokumentationspflichten ernst zu nehmen. Es sollte also gefragt werde: Existiert eine Beschilderung, die auf eine Videoüberwachung hinweist? Gibt es eine Datenschutzerklärung auf der Homepage? Oder existieren ordnungsgemäße Auftragsverarbeitungsverträge? Die Liste ist natürlich noch länger und erscheint auf den ersten Blick mühevoll – doch wird sie befolgt, so kann aufsichtsbehördlichen Maßnahmen oder gar Bußgeldforderungen vorgebeugt werden.

Wem dies zu zeitaufwendig ist, oder die entsprechende Expertise im Unternehmen schlichtweg fehlt, kann überdies auch auf die Unterstützung eines externen Datenschutzbeauftragten zurückgreifen. Dieser unterstützt Unternehmen jeder Größe dabei, sich voll auf ihr Kerngeschäft zu konzentrieren, während der Datenschutz extern umgesetzt wird.

Kurz und knapp

Durch die seit fast einem Jahr geltende EU-weite Datenschutzgrundverordnung wurden bereits viele globale Konzerne, mittelständische- sowie kleine Unternehmen aufgrund von Verstößen gegen die Verordnung abgemahnt und/ oder zu Bußgeldzahlungen verurteilt. Ein solcher Verstoß ist immer dann gegeben, wenn personenbezogene Daten in nicht ordnungsgemäßer Weise vernichtet, verloren oder verändert werden. Dabei ist es nicht von Bedeutung, ob dies vorsätzlich oder unbeabsichtigt geschehen ist.

Bei einem Verstoß ist dieser innerhalb von 72 Stunden nach Bekanntwerden an eine Aufsichtsbehörde zu melden. Diese entscheidet dann über das weitere Vorgehen. Eine Geldbuße kann bis zu 20 Mio. Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes betragen. Um sich als Unternehmen vor einer solchen Bußgeldforderung zu schützen, können die eigenen Mitarbeiter geschult oder z. B. ein externer Datenschutzbeauftragter engagiert werden.

Datenschutz-Schulung

Tauschen Sie sich mit uns aus!

Auch interessant

Vorheriger Beitrag
Was Sie zur Datenschutz-Grundverordnung (DSGVO) wissen sollten

Ähnliche Beiträge

Menü