DSGVO-Bußgelder – Die Schonfrist ist vorbei
Von Dipl.-Jur. Niklas Mühleis, LL.M.
Die ersten Monate seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) verliefen hinsichtlich der befürchteten Bußgeldwelle größtenteils ruhig. Zu Beginn des Jahres mehren sich nun die Meldungen über verhängte Bußgelder.
Die neue Bußgeld-Regelung
Eines der schärfsten Schwerter der DSGVO, um Datenschutzverletzungen entgegenzuwirken ist das Verhängen von Bußgeldern nach Art. 83 DSGVO. Die Höhe der Bußgelder wurde dabei gegenüber der Vorschrift aus der alten Fassung des Bundesdatenschutzgesetzes (BDSG-alt) deutlich nach oben korrigiert. So können bei besonders schwerwiegenden Verstößen gem. Art. 83 Abs. 5 DSGVO Geldbußen in einer Höhe bis zu 20 Mio. Euro oder 4% des gesamten weltweiten Jahresumsatzes verhängt werden. Zuvor belief sich die maximale Bußgeldhöhe auf bis zu 300.000 €.
Eine weitere, nicht unumstrittene, Neuerung ist, dass jede Datenschutzbehörde für jede Organisation mit einem Sitz innerhalb der Europäischen Union Bußgelder verhängen kann. Vor der DSGVO konnten die nationalen Aufsichtsbehörden nur für die Unternehmen Bußgelder verhängen, die auch in ihrem Einflussbereich ansässig waren. Unternehmen wie Facebook, Twitter und LinkedIn wurden somit einzig und allein von der chronisch unterbesetzten irischen Datenschutzbehörde überwacht.
Das Ende der Schonfrist
In den Wochen vor dem Inkrafttreten der DSGVO am 25. Mai 2018 machte sich daher unter vielen Unternehmen eine große Panik breit. Im Eilverfahren wurden Datenschutzerklärungen auf Homepages bereitgestellt, interne Datenschutzbeauftragte ausgebildet und Organisationsstrukturen an die neuen Anforderungen angepasst. Die vielfach befürchtete Abmahn- und Bußgeldwelle blieb jedoch erstmal aus. In den ersten Monaten gewährten die Aufsichtsbehörden, den nicht selten völlig überforderten Unternehmen und Verwaltungen noch eine Schonfrist zur Umsetzung des Regelwerks. Diese Schonfrist scheint nun endgültig vorbei. In den vergangenen Wochen erregten diverse Meldungen über Bußgelder besondere Aufmerksamkeit
Google verstößt gegen Transparenzpflichten
Das bislang höchste verhängte Bußgeld kommt von der französischen Aufsichtsbehörde CNIL, richtet sich gegen den Suchmaschinenbetreiber Google und schlägt mit 50 Millionen Euro zu Buche. Google informiere seine Nutzer nicht klar und verständlich wie ihre personenbezogenen Daten gesammelt werden und was damit passiere. Viele dahingehende Hinweise seien überdies unverständlich. Weiterhin habe Google sich nicht das erforderliche Einverständnis seiner Nutzer für personalisierte Werbung eingeholt.
Das Verfahren gegen Google wurde von zwei Organisationen angestoßen, die sich bei der Aufsichtsbehörde über Google beschwert haben. Google selbst zeigte sich zunächst unbeeindruckt von der Summe von 50 Millionen Euro. Ein Konzernsprecher teilte mit, dass man die Entscheidung prüfen wolle, bevor die nächsten Schritte festgelegt würden.
Bußgeld auf Nachfrage
Für ein Bußgeld in Höhe von 5.000 Euro, das von der Hamburger Datenschutzbehörde ausgesprochen wurde, war hingegen keine Beschwerde Dritter ausschlaggebend. Ein kleines Versandunternehmen hatte sich an die Hessische Aufsichtsbehörde mit Fragen bezüglich einer fehlenden Auftragsverarbeitung – einer vertraglichen Vereinbarung mit der die Einhaltung des Datenschutzes durch Auftragnehmer geregelt wird – für einen Dienstleister gewandt. Das Unternehmen mit Sitz in Hamburg wollte sich bezüglich der geltenden Pflichtenverteilung Rat einholen.
Das Unternehmen stellte sich nachfolgend auf den Standpunkt, dass es die Pflicht des Auftragnehmers sei für die erforderliche datenschutzrechtliche Vereinbarung zu sorgen. Die Hamburger Datenschutzbehörde nahm den hessischen Kollegen den Fall ab und stellt durch das Verhalten einen Verstoß gegen Art. 28 Abs 3 DSGVO fest. Der Geschäftsführer des vermeintlichen Datensünders kündigte an, gegen den Bußgeldbescheid Widerspruch einzulegen.
Passwort-Leak mit Folgen
Die fehlende Verschlüsselung von gespeicherten Passwörtern wird für das soziale Netzwerk Knuddels.de teuer. Die Datenschutzbehörde aus Baden-Württemberg verhängte ein Bußgeld von 20.000 Euro nachdem hunderttausende E-Mail-Adressen, Passwörter und Pseudonyme von Knuddels-Nutzern online geleakt worden waren. Zwar war das Unternehmen aus Karlsruhe Opfer eines Hacker-Angriffs geworden, hatte jedoch gegen die Pflicht verstoßen die Sicherheit der personenbezogenen Daten zu gewährleisten und diese verschlüsselt zu speichern.
Positiv hatte sich für Knuddels.de jedoch die Zusammenarbeit mit der Datenschutzbehörde ausgewirkt. Diese bescheinigte dem Netzwerk ein vorbildliches Entgegenkommen und eine sofortige Verbesserung der IT-Sicherheit. Dieses positive Verhalten von Knuddels dürfte auch bei der Bemessung des Bußgeldes eine Rolle gespielt haben.
Bundesweit bislang 41 Bußgeldverfahren nach DSGVO
Nach Angaben der Datenschutzbeauftragten der Länder sind im gesamten Bundesgebiet bereits 41 Bußgeldbescheide erlassen worden. Davon verhängte allein die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen 33 Bußgelder. Mit einer hohen Anzahl weiterer Bußgelder ist zudem in den nächsten Monaten zu rechnen. So laufen derzeit allein beim Bayerischen Landesamt für Datenschutz 85 Bußgeldverfahren.
Haben Sie weitere Fragen zur DSGVO? Die Kanzlei Heidrich Rechtsanwälte hilft Ihnen gerne weiter. Wir freuen uns auf Ihren Anruf unter 0511 374 98 150.