Knapp 9 Monate nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) scheint die von den zuständigen Aufsichtsbehörden gewährte Schonfrist bei der Sanktionierung von Datenschutzverstößen vorbei. Handelt ein Unternehmen den Bestimmungen der Verordnung zuwider und wird ein solcher Verstoß auch entdeckt, muss inzwischen mit empfindlichen Strafen gerechnet werden. Rund 40 Fälle sind laut Handelsblatt  bislang bekannt geworden. 33 Bußgelder wurden dabei in Nordrhein-Westfalen verhängt. Ermittlungen würden am häufigsten durch die Beschwerden von Betroffenen ausgelöst. Wie die nachfolgend skizzierten Beispiele anschaulich zeigen, gehen die Behörden nunmehr dazu über, nicht gesetzeskonformes Verhalten mit zum Teil beachtlichen Bußgeldern zu sanktionieren:

Das erste Bußgeld wurde dabei Ende 2018 in Baden-Württemberg verhängt. Ein Verstoß gegen die nach Art. 32 DSGVO zu gewährende Datensicherheit führte dort für einen Social-Media-Anbieter schlussendlich zur einer Strafe in Höhe von 20.000,00 €. Weitreichende Maßnahmen zur Verbesserung der IT-Sicherheitsarchitektur und eine vollumfängliche Kooperation mit dem Landesdatenschutz bewahrten das Unternehmen vor einem deutlich höheren Bußgeld, das im Rahmen des Art. 83 Abs.4 DSGVO im Bereich des Möglichen gewesen wäre. Konkret hatte das Unternehmen gegenüber dem Landesdatenschutz eine Datenpanne gemeldet. Bei einem Hackangriff waren personenbezogene Daten von rund 330.000 Nutzern, darunter auch Passwörter und E-Mail-Adressen, entwendet worden. Das Unternehmen hatte in unzulässiger Art und Weise Passwörter seiner Nutzer im Klartext, mithin unverschlüsselt und unverfremdet auf seinem Server gespeichert.

Noch empfindlicher sanktionierte der Landesdatenschutz in Baden-Württemberg eine Datenpanne, infolge derer Gesundheitsdaten frei im Internet abrufbar waren. Hierfür belegte es das betroffene Unternehmen mit einer Strafe von 80.000,00 €. Vor allem Unternehmen aus dem Gesundheitsbereich sollten gewarnt sein. Hier schauen die Datenschutzbehörden besonders genau hin, da Ärzte, Kliniken und Gesundheitsunternehmen ständig mit besonders sensiblen Daten umgehen. In Portugal kam ein Verstoß beim Umgang mit gesundheitsbezogenen Daten eine Klinik besonders teuer zu stehen. 400.000,00 € Bußgeld wurden fällig, weil die zuständige Behörde der Ansicht war, dass zu viele Personen Zugriff auf Patienten- und Gesundheitsdaten gehabt hätten.

Etwas „milder“ fiel ein durch den Hamburgischen Datenschutzbeauftragten verhängtes Bußgeld gegen ein Unternehmen aus, das sich geweigert hatte, einen Vertrag zur Auftragsverarbeitung abzuschließen. 5.000,00 € Strafe wurden gegen das Unternehmen verhängt, ein Postdienstleister hatte trotz mehrfacher Aufforderung keinen AVV an das Unternehmen übersandt. Die Behörde ist der Ansicht, dass die Verantwortung zur Erstellung eines solchen Kontraktes auch das Unternehmen selbst treffe und nicht nur den Dienstleister. Der Beauftrage aus Hamburg sieht in dem Verhalten des Unternehmens einen Verstoß gegen Art. 28 Abs. 3 DSGVO. Nach dieser Vorschrift muss bei jeder Verarbeitung von personenbezogenen Daten durch einen Dritten ein zusätzlicher Vertrag zum Datenschutz geschlossen werden, der unter anderem Details zu den getroffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten enthält. Eine solche Vereinbarung sei zwischen den Parteien nicht geschlossen worden, obwohl der Postdienstleister im Auftrag Kundendaten verarbeitet habe.

Dass die Einführung der DSGVO Wirkung zeigt, verdeutlichen auch aktuelle Zahlen, die das Handelsblatt kürzlich veröffentlichte: 2018 erhöhte sich die beispielsweise die Anzahl der beim Landesdatenschutz Baden-Württemberg eingegangenen Beschwerden um 30 % im Vergleich zu 2017. Die Anzahl der gemeldeten Datenpannen hat sich 2018 mit 774 Fällen sogar mehr als verzehnfacht. In Bayern sind es 300 Beschwerden und 2.500 Datenpannen. Und die Landesdatenschützer haben für 2019 bereits verstärkte Kontrollen angekündigt. In einem Beitrag des SWR verriet Stefan Brink, der baden-württembergische Landesbeauftragte für Datenschutz, dass eine Überprüfung vor Ort auch ohne Zustimmung des Unternehmens erfolgen könne. „Wir haben staatsanwaltliche Befugnisse“, erläutert Brink. Insbesondere Unternehmen, die große Mengen an sensiblen Daten verwalten, sollten auf der Hut sein, so Brink weiter.

Wodurch kann es zu Beschwerden kommen? Die derzeit häufigsten Anlässe…

  • Videoüberwachung: hier bei heimlicher oder zu wenig transparent gemachter Beschäftigten- oder Kundenüberwachung, insbesondere in sensiblen Bereichen und da, wo mildere Mittel ausreichend wären
  • Unzulässige Werbemails oder offene E-Mail-Verteiler
  • Auftragsverarbeitungsverträge: hier ist es für die Aufsichtsbehörde am einfachsten, Prüfungen durchzuführen; es erfolgt eine Durchsicht des Verzeichnisses der Verarbeitungen, auf Anfrage vorzulegende schriftliche Unterlagen werden sodann überprüft.

Wie kommt es zu einem Bußgeld?

Die Verhängung der Bußgelder steht am Ende der Ermittlungen durch die zuständige Behörde. Letztere muss zunächst Kenntnis von einem möglichen Verstoß erhalten. Diese erlangt sie zumeist über Beschwerden von Betroffenen oder die Meldung durch den Verantwortlichen. Es folgt in der Regel eine Bitte um Stellungnahme und Beantwortung konkreter Fragen. Umfangreiche Kooperation kann sich – so haben die bisher verfolgten Verstoßfälle gezeigt –im Ergebnis strafmildernd auswirken.

Wie können Bußgelder vermieden werden?

Unternehmen sollten sicherstellen, dass sämtliche Prozesse, bei denen personenbezogene Daten verarbeitet werden, im Einklang mit den Bestimmungen der DSGVO stehen. Angefangen von der Erstellung eines entsprechenden Verarbeitungsverzeichnisses und eines Datenschutzhandbuches bzw. -konzepts, über eine ggf. notwendige Datenschutzfolgeabschätzung bis hin zur Benennung eines Datenschutzbeauftragten – das Thema Datenschutz sollte auch mit Blick auf drohende Bußgelder keinesfalls auf die leichte Schulter genommen werden.

Autor: Sebastian Keilholz, LL.M.

Sie sind nicht sicher, ob Ihr Unternehmen alle Vorgaben der DS-GVO erfüllt? Sie suchen Hilfe bei der Datenschutzorganisation? Unser Team hilft Ihnen ein für Ihr Unternehmen maßgeschneidertes Konzept zu entwickeln.