DSGVO-Bußgelder: Schonfrist ist vorbei
Als am 25.Mai 2018 die EU-DSGVO endgültig in Kraft trat, waren die Befürchtungen seitens der Unternehmen groß, dass von nun an selbst bei kleinsten Verstößen gegen den Datenschutz Abmahnungen erfolgen und Bußgelder verhängt werden. Die befürchtete große Abmahn- und Bußgeldwelle ist bisher ausgeblieben, so der Anschein. Kommt Sie 2019 auf uns zu? Einige Aussagen der Aufsichtsbehörden deuten ganz darauf hin, dass die Schonfrist entgültig vorbei ist.
Erhöhte Abmahnaktivität und Bußgeldwelle
Die befürchtete große Abmahnwelle ist zumindest bisher nicht eingetreten. Allerdings war eine erhöhte Abmahnaktivität seit Mai 2018 feststellbar. Diese bezog sich jedoch in den allermeisten Fällen auf den UWG-Tatbestand von fehlenden oder mangelhaften Datenschutzerklärungen auf den Websites der abgemahnten Unternehmen und nicht auf interne Datenschutz-Prozesse wie Technisch-organisatorische Maßnahmen, Verzeichnisse von Verarbeitungstätigkeiten oder Verträge zur Auftragsverarbeitung. Mitverantwortlich für diese Situation war sicher auch, dass in Datenschutzkreisen intensiv diskutiert wurde, ob Abmahnungen basierend auf der DSGVO aktuell überhaupt zulässig seien.
Die Behörden haben alle Hände voll zu tun, Beschwerden zu bearbeiten. So sind beispielsweise in Baden Württemberg die Beschwerden im letzten Jahr von 2.500 auf 5.000 hochgegangen. Die Behörden recherchieren nach Datenschutzverstößen im Internet oder kontrollieren vor Ort. Es melden sich aber auch viele Menschen wie Kunden, Arbeitnehmer, Geschäftspartner oder Wettbewerber aktiv mit Beschwerden, denen nachgegangen wird. Die Behörden brauchen dabei ein bisschen Zeit und sind personell unterschiedlich aufgestellt. Ein Bußgeldverfahren ist unter drei bis vier Monaten nicht abzuwickeln, was aktuell die geringe Quote von Überprüfungen zu Bußgeldbescheiden darstellt.
Bisher verhängte Bußgelder wegen DSGVO Verstößen in Deutschland
Es wurden bisher bundesweit 41 Bußgelder auf Grund Verstößen gegen die DSGVO, so das Handelsblatt. Demnach entfallen auf das Land Nordrhein-Westfalen mit 33 Bußgeld-Bescheiden zwar quantitativ die meisten Bußgeld-Auflagen, aber mit einer Gesamthöhe von knapp 15.000 € fallen sie eher gering aus. Danach kommt die Hansestadt Hamburg mit bisher drei verhängten Bußgeldern, wobei der ein Fall ein Unternehmen betrifft, welches wegen eines fehlenden Auftragsverarbeitungsvertrag (AVV) ein Bußgeld in Höhe von 5.000 € bezahlen musste.
Es folgen Baden-Württemberg und Berlin mit jeweils zwei verhängten Bußgeldern und das Saarland mit einem verhängten Bußgeld. Die höchsten Bußgeld-Bescheide kommen dabei aus Baden-Württemberg, wo Strafen in Höhe von 20.000 € und 80.000 € – das bisher höchste in Deutschland – verhängt wurden. Bei letzteren Fall landeten besonders schützenswerte Gesundheitsdaten aufgrund unzureichender interner Kontrollmechanismen im Internet.
Bekannt geworden ist vor kurzem zudem, dass in Frankreich über Google ein Bußgeld in Höhe von 50 Millionen € verhängt wurde. Der Grund: Google halte sich nicht an die Datenschutzgrundverordnung, wenn Android-Nutzer neue Smartphones einrichten, heißt es in der Erklärung der französischen Datenschutzbehörde CNIL. Ein Krankenhaus in Portugal musste 400.000 € Strafe zahlen, weil nicht autorisierte Personen Zugriff auf Patientendaten hatten.
Vorsicht bei der Auftragsverarbeitung
Bei jeder Verarbeitung von personenbezogenen Daten durch einen Dritten muss zwingend ein zusätzlicher Vertrag zum Datenschutz (Auftragsverarbeitungsvertrag) geschlossen werden. Dieser regelt unter anderem Details zu den technischen und organisatorischen Maßnahmen, also wie und durch welche Maßnahmen die personenbezogenen Daten beim Unternehmen geschützt werden. In dem Fall wurden schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt, was zu dem genannten Bußgeld von 5.000€ geführt hat.
DSGVO Sanktionen: Was erwartet uns 2019?
Es ist zu erwarten, dass die bisher eher zurückhaltend verhängten Bußgelder in Zukunft merklich ansteigen werden. Beispielsweise hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bisher keinerlei Bußgelder verhängt. Es sollen sich aber 85 Verfahren in Bearbeitung befinden, wobei davon ausgegangen werden kann, dass einige dieser Verfahren zu einer Bußgeld-Anordnung führen werden.
Baden-Württembergs Datenschutzbeauftragter Stefan Brink erklärt in einem Interview mit dem Spiegel, dass Fehler jetzt teuer werden. Es ist eine ausführliche Beratung betrieben worden, es gibt kein Unternehmen mehr, das nicht von der DSGVO gehört hätte. Unternehmen, die noch immer auf Lücke setzen, begeben sich auf ein sehr dünnes Eis. “2019 wird das Jahr der Kontrolle”, betont Stefan Brink in einem weiteren Interview weiter. Seine Behörde werde angekündigte und unangekündigte Kontrollen vornehmen. Im Visier stehen dabei vor allem Social-Media-Unternehmen und Unternehmen, die große Mengen an sensiblen Daten verwalten.
Kann man die Höhe der Bußgelder beeinflussen?
Nicht wirklich, dennoch wird ein kooperatives oder vorsätzliches Handeln berücksichtigt. So musste das Unternehmen Knuddels.de beispielsweise nach einem Hackerangriff „nur“ 20.000 € Strafe zahlen, da sie sich sehr kooperativ zeigten und aktiv an die Behörde wandten. Bei der Höhe des Bußgeldes wurde außerdem berücksichtigt, dass das Unternehmen einen sechsstelligen Betrag in die Verbesserung der Sicherheit investierte. Ein anderes Unternehmen musste 80.000 € bezahlen, weil der Fall insgesamt gravierender war und sensibelste Daten (Gesundheit, Krankheiten etc.) öffentlich abrufbar waren.
Zusammenfassend lässt sich sagen, dass die scheinbar bisher angewandte Schonfrist für Unternehmen vorbei ist und diese nun bei Verstößen gegen die DSGVO und das BDSG-neu teilweise kräftig zur Kasse gebeten werden. Wer sich bisher immer noch nicht um den Aufbau seines Datenschutzmanagements gekümmert hat, sollte nun definitiv aktiv werden – das Risiko wächst.
Benötigen Sie Unterstützung?
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!