Strafen für Datenschutzverstöße

Bußgelder und die DSGVO

| Autor / Redakteur: Simone Rosenthal / Peter Schmitz

Die DSGVO ermöglicht hohe Bußgelder bei Datenschutzverstößen. Während deutsche Behörden sich noch zurückhalten zeigen andere europäische Aufsichtsbehörden wo der Trend hingeht.
Die DSGVO ermöglicht hohe Bußgelder bei Datenschutzverstößen. Während deutsche Behörden sich noch zurückhalten zeigen andere europäische Aufsichtsbehörden wo der Trend hingeht. (© peterschreiber.media - stock.adobe.com)

Die DSGVO wird häufig mit den im Vergleich zur vorherigen Rechtslage deutlich erhöhten Bußgeldern bei Datenschutzverstößen in Verbindung gebracht. Bußgelder nach der DSGVO können für Verstöße bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen. Aktuelle Beispiele zeigen, dass DSGVO-Bußgelder bereits verhängt wurden.

Noch halten sich die Behörden in Deutschland bezüglich der Bußgeldhöhe zurück. Aber Beispiele aus anderen Ländern zeigen, dass durchaus auch andere Maßstäbe an die Bußgeldhöhe gesetzt werden können. Die konkrete Bußgeldhöhe kann jedoch durch entsprechende Schutzmaßnahmen der Unternehmen gesenkt oder sogar vermieden werden.

In Deutschland hat vor allem der Fall Knuddels große Aufmerksamkeit erregt. Das soziale Netzwerk hatte Passwörter der Nutzer unverschlüsselt gespeichert. Nach einem Hackerangriff wurden die entsprechenden Daten im Netz veröffentlicht. Die Baden-Württembergische Datenschutzbehörde verhängte daraufhin ein Bußgeld in Höhe von 20.000 Euro gegen Knuddels. Dabei stellte sich die Frage, welcher DSGVO-Verstoß Kunddels überhaupt vorgeworfen werden konnte. Der Verstoß von Kunddels bestand vor allem in der unzulässigen unverschlüsselten Speicherung von Passwörtern. Allerdings fiel das Bußgeld für Knuddels verhältnismäßig gering aus. Knuddels hatte von Anfang an eng mit der Aufsichtsbehörde zusammengearbeitet und an der Aufklärung des Falles gearbeitet. Zudem setzte das Unternehmen in kurzer Zeit weitreichende Maßnahmen zur Verbesserung der IT-Strukturen um. Diese Vorgehensweise sollten alle Unternehmen im Geltungsbereich der DSGVO unbedingt beherzigen. Eine enge Zusammenarbeit mit den Behörden und die interne Förderung der Aufklärung eines Vorfalles sind unerlässlich.

Erste Bußgelder und konkrete Prüfungen nach DSGVO

Entwicklungen zur DSGVO im Dezember

Erste Bußgelder und konkrete Prüfungen nach DSGVO

18.12.18 - Die Zeit des Wartens ist vorbei: Das erste Bußgeld nach Datenschutz-Grundverordnung (DSGVO / GDPR) in Deutschland wurde verhängt. Die Aufsichtsbehörden für den Datenschutz führen zudem sehr konkrete Prüfungen durch. Für Unternehmen bietet dies eine Chance, ihre Datenschutzorganisation zu hinterfragen. Bedarf dafür gibt es weiterhin genug, wie Umfragen zur DSGVO zeigen. lesen

Insgesamt sind aktuell über 40 Fälle von verhängten Bußgeldern in Deutschland bekannt; dabei handelt es sich vor allem um fahrlässige Verstöße wie das zufällige Einblenden von Kundendaten anderer Nutzer beim Online-Banking oder innerhalb eines Webshops. Dabei stehen keinesfalls nur große Unternehmen im Fokus der Aufsichtsbehörden, sondern auch solche von mittlerer Größe. Allerdings sind die Aufsichtsbehörden zugleich stark darum bemüht, die Umsetzung der DSGVO innerhalb der Unternehmen voranzutreiben, und versuchen daher, teils noch zu unterstützen und vorerst Verwarnungen und Hinweise auszusprechen, bevor Bußgelder verhängt werden. So führt Niedersachsen gerade eine Überprüfung von 50 Unternehmen durch, um etwaige Hinweise auf Probleme bei der Umsetzung der DSGVO zu erhalten. Im Rahmen dieser sogenannten „Querschnittsprüfung“ könnten allerdings auch erkannte Verstöße sanktioniert werden.

Die meisten Bußgeldverfahren wurden infolge von Beschwerden von Betroffenen in der Regel im Zusammenhang mit technisch-organisatorischen Mängeln eingeleitet. (Vor allem fehlende Kontrolle von DSGVO-relevanten Vorgängen oder klassische Datenpannen, wie die versehentliche Weitergabe von Daten an Dritte, das Speichern von Daten auf öffentlich zugänglichen Servern oder Hackerangriffe.) Auch unzulässige Werbe-Mails und offene E-Mail-Verteiler haben bereits Bußgeldverfahren ausgelöst.

DSGVO und Abmahnungen – Viel Lärm um Nichts

UWG und Datenschutz-Grundverordnung

DSGVO und Abmahnungen – Viel Lärm um Nichts

26.03.19 - DSGVO und „Abmahnwelle“ wurden lange Zeit im selben Atemzug genannt. Die legislatorischen Ziele der DSGVO rückten dabei zunehmend in den Hintergrund. Doch gerade diese Ziele sind es, die erklären können, warum mit der DSGVO bisher keine „Abmahnwelle“ einherging und wohl auch nicht einhergehen wird. lesen

Bußgelder in Europa

Der Fall Google: Wesentliches Merkmal der DSGVO war von Anfang an der Transparenzgrundsatz. Dieser Grundsatz scheint vielen Unternehmen nur eine Art vage Vorschrift zu sein, mittels derer nur grob erläutert werden sollte, welchem Zweck die DSGVO dient. Tatsächlich ist dieser Grundsatz aber mehr als das. In Frankreich verhängte die zuständige Aufsichtsbehörde (CNIL) ein Bußgeld von 50 Millionen Euro gegen Google. Als Begründung wurde unter anderem ein Verstoß gegen den Transparenzgrundsatz der DSGVO genannt. In der Pressemitteilung der CNIL heißt es dazu: „Wesentliche Informationen, wie die Zwecke der Datenverarbeitung, die Aufbewahrungsfristen oder die Kategorien von personenbezogenen Daten, die für die Personalisierung der Anzeigen verwendet werden, sind zu sehr auf mehrere Dokumente verteilt, mit Buttons und Links, auf die geklickt werden muss, um auf zusätzliche Informationen zuzugreifen.“ Der Betroffene wisse also nach Ansicht der Datenschützer nicht, was mit seinen Daten geschehe, die Informationen seien schwer zugänglich, teils unklar, vage und schwer verständlich.

Doch damit nicht genug. Der bereits für sich bußgeldbewehrte Verstoß gegen das Datenschutzrecht ist Ausgangspunkt für eine weitere von den französischen Datenschützern konstatierte DSGVO-Verletzung: Aufgrund der intransparenten Informationspolitik von Google seien auch keine wirksamen Einwilligungen durch die Nutzer erteilt worden, um die Verwendung ihrer Daten für Werbezwecke zu legitimieren. Die Betroffenen könnten nicht beurteilen, welche Google-Dienste (zum Beispiel Youtube oder Google Maps) ihre persönlichen Daten ebenfalls auswerten.

Und auch eine weitere Folge des Transparenzgrundsatzes greifen die französischen Datenschützer auf: Durch die verborgene und nicht sofort erkennbare Gestaltung der Einstellungen zur Anzeige von personalisierter Werbung und das bereits automatisch angekreuzte entsprechende Kästchen für eine solche Werbeansprache verletze Google ebenfalls die DSGVO. Damit spricht die CNIL (wenn auch nicht ausdrücklich) die Prinzipien des Privacy-by-Design-Grundsatzes der DSGVO an. Zudem stellte die CNIL eine Verletzung von Betroffenenrechten fest, weil keine Widerspruchsmöglichkeit für Betroffene erkennbar sei.

Die Entscheidung der französischen Datenschützer zeigt, dass es beim Transparenzgebot um weit mehr als ein abstraktes übergeordnetes Dogma im Rahmen der DSGVO geht. Unternehmen sollten dringend darauf achten, das Transparenzgebot und seine Folgen umzusetzen, um hohe Bußgelder zu vermeiden. Nach dem bisher erkennbaren Vorgehen der Aufsichtsbehörden wird die Einhaltung des Transparenzgrundsatzes besonders gründlich geprüft.

Die polnische Datenschutzbehörde UODO verhängte kürzlich ein Bußgeld in Höhe von 220.000 Euro gegen das polnische Unternehmen Bisnode Polska, das unter anderem personenbezogene Daten aus staatlichen Registern verarbeitete, ohne Betroffene ausreichend darüber zu informieren. Lediglich auf seiner Website klärte das Unternehmen allgemein darüber auf, nicht jedoch jeden Betroffenen individuell, da dies als zu unwirtschaftlich empfunden wurde. Die polnische Datenschutzbehörde sah darin einen Verstoß gegen Artikel 14 DSGVO.

In Dänemark wurden aktuell Bußgelder wegen Verstoßes gegen Grundsätze der Anonymisierung und Datensparsamkeit verhängt. Ein Taxiunternehmen hatte Löschfristen von Kundendaten erheblich überschritten.

Bilanz und Evaluierung der Datenschutz-Grundverordnung

Neues eBook „DSGVO – ein Jahr danach“

Bilanz und Evaluierung der Datenschutz-Grundverordnung

24.05.19 - Auch zwölf Monate nachdem die DSGVO zur Anwendung gekommen ist, gibt es noch einiges bei der Umsetzung der Datenschutz-Grundverordnung zu tun. Das neue eBook zeigt auf, wo die Unternehmen in Deutschland stehen und welche weitere Entwicklung bei der DSGVO zu erwarten ist. Nicht nur die Unternehmen werden auf den Prüfstand gestellt, sondern auch die DSGVO. lesen

Hintergrund: Kriterien für die Verhängung von Bußgeldern

Die Verhängung von Bußgeldern ist in der DSGVO vor allem in Art. 83 DSGVO geregelt. Art. 83 Abs. 2 DSGVO legt als Kriterien für die Bemessung von Bußgeldern Art, Schwere und Folgen des Verstoßes fest. Die Differenzierung nach der Art des Verstoßes erfolgt vor allem durch Art. 83 Abs. 4 und 5 DSGVO. Grundsätzlich weniger schwerwiegende Verstöße sind in Absatz 4 geregelt, schwerere Verstöße finden sich in Absatz 5. Bei Verstößen etwa gegen die Vorgaben zu datenschutzfreundlichen technischen Voreinstellungen (Privacy by Design) drohen Bußgelder bis zu 10 Millionen Euro oder bei Unternehmen bis zu zwei Prozent des weltweiten Jahresumsatzes. Dagegen sind Verstöße gegen Vorschriften zum Umgang mit besonders sensiblen personenbezogenen Daten (etwa Gesundheitsdaten) mit Bußgeldern bis 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes belegt. Liegen Verstöße gegen mehrere Vorschriften vor, so legt der Europäische Datenschutzausschuss (ehemals Artikel-29-Datenschutzgruppe) nahe, die Geldbuße nach dem schwersten Verstoß (also etwa die Verletzung der Vorgaben zum Umgang mit Gesundheitsdaten) zu bemessen.

Bezüglich der Schwere und der Folgen des Verstoßes ist zudem die Anzahl der betroffenen Personen und der Zweck der Datenverarbeitung zu berücksichtigen. So können Verstöße, die sich im gesamten Konzern auswirken, mit erheblich höheren Bußgeldern belegt werden als Verstöße, die sich nur gegenüber den Kunden einer Tochtergesellschaft ausgewirkt haben. Zudem sind die Dauer des Verstoßes und mögliche erlittene materielle oder immaterielle Schäden auf Seiten der Betroffenen zu berücksichtigen. Ebenfalls zu gewichten ist die Art der betroffenen Daten: Ist eine Identifizierung des Betroffenen möglich? Handelt es sich um besonders sensible Daten?

Weiterhin einzubeziehen ist, ob der Verantwortliche vorsätzlich (Wurde die Verarbeitung von höchster Geschäftsebene, eventuell sogar der Konzernführung, angeordnet?) oder fahrlässig gehandelt hat.

Ebenfalls entscheidende Kriterien sind, wie die Vorgaben zu datenschutzfreundlichen technischen Voreinstellungen und die sonstigen technischen und organisatorischen Maßnahmen umgesetzt worden sind. Außerdem fallen frühere Verstöße gegen das Datenschutzrecht, der Umgang mit diesen und mit anerkannten Verhaltensregeln für Unternehmen ins Gewicht. Die Einzelfallprüfung impliziert, dass auch alle sonstigen erschwerenden und mildernden Umstände berücksichtigt werden. Die Bußgeldhöhe hängt jedoch nicht nur von der Art des Verstoßes ab. Maßgeblich ist auch, ob Abhilfemaßnahmen nach Bekanntwerden des Verstoßes (etwa Benachrichtigung der Betroffenen, Notfallmaßnahmen bei Datenpannen) ergriffen wurden und wie mit der Aufsichtsbehörde kooperiert wurde. Nach Bekanntwerden des Verstoßes ist daher die freiwillige Kooperation mit Aufsichtsbehörden und Datenschutzbeauftragten dringend angeraten. Weist die Aufsichtsbehörde die Vorlage von Informationen an, sollte dieser Aufforderung vollständig nachgekommen werden.

Der Europäische Datenschutzausschuss (ehemals Artikel-29-Datenschutzgruppe) betont zudem ausdrücklich, dass Unternehmen Strukturen einrichten müssen, die der Komplexität ihrer Geschäftstätigkeit gerecht werden, um dem Vorwurf der Fahrlässigkeit zu entgehen. Unternehmen können sich daher nicht darauf berufen, dass zu wenige Ressourcen zur Vermeidung datenschutzrechtlicher Verstöße vorhanden sind. Demgemäß ist Unternehmen dringend zu raten, Schulungen für Mitarbeiter durchzuführen, um diese in einem ersten Schritt für datenschutzrechtlich relevante Vorgänge zu sensibilisieren und in einem zweiten Schritt mit Kenntnissen und Ablaufprotokollen bei Datenschutzverstößen und Betroffenenanfragen auszustatten. Innerhalb eines Konzerns kann es sich zudem empfehlen, Vorgänge, die eine Verarbeitung personenbezogener Daten beinhalten, regelmäßig und in Kooperation mit den Aufsichtsbehörden einer Gefährdungsanalyse zu unterziehen, um die unter Umständen hohen Bußgelder zu vermeiden.

Ein Jahr DSGVO!

HSP Summit 2019

Ein Jahr DSGVO!

20.05.19 - Die Datenschutz-Grundverordnung (DSGVO) gilt jetzt seit fast einem Jahr. Noch immer bereitet die Umsetzung der DSGVO Probleme. Doch manche Sorgen von Unternehmen waren unbegründet. Wir sprechen darüber mit Prof. Dr. Peter Bräutigam, Fachanwalt für IT-Recht bei der Noerr LLP, Honorarprofessor an der Universität Passau und Keynote-Speaker beim Hosting & Service Provider Summit 2019. lesen

Fazit

Bußgelder können grundsätzlich für alle DSGVO-Verstöße verhängt werden. Die konkrete Höhe hängt jedoch immer davon ab, inwiefern ein Unternehmen im Vorfeld um ein DSGVO-konformes Verhalten bemüht war, inwiefern dieses Bemühen nachweisbar ist (zum Beispiel durch Schulungen der Mitarbeiter) und inwiefern ein Unternehmen mit den Aufsichtsbehörden kooperiert.

Simone Rosenthal
Simone Rosenthal (Bild: SRD-Rechtsanwälte)

Über die Autorin: Simone Rosenthal ist Partnerin bei Schürmann Rosenthal Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts. Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet. Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learning-Anbieter für Digitalisierung & Recht.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45957508 / Compliance)