aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61b

Startet nun die prophezeite DSGVO Bußgeldwelle?

Neues Jahr, neue Erkenntnisse- Ist nun eine anfängliche Schonfrist im Thema Bußgelder vorbei? Bisher kam es nur sehr vereinzelt zu Fällen von Bußgeldern, die durch die Aufsichtsbehörde aufgrund von Verstößen gegen Datenschutz verhängt wurden.

Insgesamt wurden in Deutschland bisher ca. 40 Bußgelder verhängt. Das höchste Bußgeld beläuft sich auf 80.000,00 € und wurde von LfDI BW erlassen – genaue Angaben zu dem Fall sind uns unbekannt. Die Rangliste der Aufsichtsbehörden nach verhängten Bußgeldern sieht wie folgt aus:

  • Nordrhein-Westfalen (33)
  • Hamburg (3)
  • Baden- Württemberg und Berlin ( jeweils 2)
  • Saarland (1)

Dass es im Blick auf Bußgelder ebenso ruhig wie im vergangenen Jahr bleiben wird, ist unrealistisch. Es befinden sich bereits hunderte Fälle in Bearbeitung, was bedeutet, dass 2019 voraussichtlich noch zahlreiche Bußgeldbescheide Unternehmen in Deutschland zugestellt werden. Ein ähnliches Ausmaß wird auch in anderen EU-Staaten erwartet.

Durch die Medien werden immer mehr Datenschutzvorfälle bekannt.

5.000 Euro Bußgeld für fehlenden Auftragsverarbeitungsvertrag

Ein kleines Versandunternehmen in Hamburg wurde mangels Vertrags zur Auftragsverarbeitung nach Art. 28 DSGVO zu einem Bußgeld verurteilt. Auslöser war eine Anfrage bei den Datenschutzbehörde Hessen im Mai 2018. In dieser Anfrage schilderte das Unternehmen, dass ein beauftragter spanischer Logistikdienstleister, welcher Kundendaten verarbeitet, mehrfach kontaktiert wurde mit der Bitte einen Vertrag zur Auftragsverarbeitung zu übersenden. Das Versandunternehmen hat in der Anfrage um Rat gebeten, wie mit diesem Fall umzugehen ist. Die Empfehlung der Behörde war jedoch höchstwahrscheinlich nicht die, die sich das Unternehmen erhofft hat.

Die Antwort der Behörde sagt, dass Auftraggeber als Datenverantwortlicher und Dienstleister als Datenverarbeiter beide in der Pflicht sind eine solche Vereinbarung abzuschließen. Empfehlung war somit, das Unternehmen soll und muss selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter zur Unterschrift schicken. Bis dies erledigt ist, müsse die Geschäftsbeziehung auf Eis gelegt werden. Damit das Rad nicht neu erfunden werden muss, kann hier auf ein Muster der Aufsicht zurückgegriffen werden.

Das Versandunternehmen war hier jedoch anderer Meinung und lehnte den Vorschlag ab. Dies wurde im Schriftverkehr auch der Aufsicht mitgeteilt. Die Anfrage sei nur vorsorglich gemacht worden und der Aufwand der nun entstehe sei unangemessen und nicht durchführbar.

Die Aufsicht sah das anders und stellte im Dezember 2018 einen Bußgeldbescheid mit der Begründung nach Art. 83 Abs. 4 DSGVO zu. Die Summe lautet 5.000 Euro zuzüglich Bearbeitungsgebühr von 250 Euro.

Für die DSGVO ein kleines Bußgeld, aber wofür die 5.000 Euro? Der Betrag wurde verhängt, da schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt wurden. In diesem Fall hätte direkt von der Geschäftsbeziehung Abstand genommen werden müssen. Dies wurde bereits im ersten Antwortschreiben der Behörde mitgeteilt. Zudem wurden die Empfehlungen der Aufsicht ignoriert und versucht sich der Verantwortung zu entziehen. Selbst wenn das Versandunternehmen mit der Antwort oder auch der Empfehlung für die nächsten Schritte überfordert war, schützt Unwissenheit hier vor Strafe nicht. Es hätte erneut die Zusammenarbeit mit der Behörde angefordert werden sollen. Sprachbarrieren mit dem spanischsprachigen Logistikunternehmen wurden auch nicht mindernd berücksichtigt.

Gegen diesen Bußgeldbescheid wurde Einspruch erhoben, da dieser vom Anwalt des Versandunternehmens als rechtswidrig eingestuft wurde. Es ist nun erneut zu prüfen, ob es sich bei dem eingesetzten Logistikdienstleister um einen Auftragsverarbeiter gehandelt habe. Sofern dies nicht bejaht werden kann, fehlt es schon an der Grundlage für den sanktionierten Verstoß. Was das finale Ergebnis sein wird, ist abzuwarten.

50 Millionen Euro Bußgeld für fehlende Tranzparenz und fehlende Einwilligung

Deutlich drastischer sieht es da im europäischen Vergleich aus. Google muss in Frankreich eine Strafe von 50 Millionen Euro aufgrund einer Datenschutzverletzung bezahlen. Hier wurde durch die Aufsicht erstmalig ein Bußgeld verhängt.

Auslöser für den Bußgeldbescheid waren Beschwerden der Organisation NOYBG bei der französischen Aufsicht. Die Beschwerde lautete unter anderem, dass die Nutzer der Webseite unzureichend informiert würden. Informationen zur Verwendung der erhobenen Daten und dem Speicher-Zeitraum sind für Nutzer nicht einfach genug zugänglich. Diese grundlegenden Informationen waren nicht ohne großen Aufwand und Durchklicken verschiedener Reiter zu finden. Erschwerend hierzu waren die Formulierungen missverständlich und unklar für den Nutzer formuliert.  Während dieser Prüfung bemängelte die Behörde außerdem, dass die von Google eingeholte Einwilligung zur Anzeige personalisierter Werbung aus ihrer Sicht nicht gültig sei, da die Nutzer nicht ausreichend informiert würden. Genau dies sehen die Artikel 5 Abs. 1, 12 und 13 DSGVO aber vor – Unternehmen müssen Transparenz über die Verarbeitung der Daten der Nutzer schaffen. Eigentlich ein leicht vermeidbarer Verstoß.

Für Google ist dies eine verhältnismäßig kleine Strafe, da gemäß der DSGVO Strafen zu einer Höhe von bis zu vier Prozent des Jahresumsatzes eines Unternehmens verhängt werden können. Nichtsdestotrotz will Google diese Beschwerde nutzen, um die hohen Erwartungen der Nutzer in Blick auf Transparenz und Pflichten umzusetzen.

Ausblick

Zusammenfassend kann gesagt werden, dass die Höhe der bislang verhängten Bußgelder sich noch auf einem im Hinblick auf die Möglichkeiten der DSGVO sehr niedrigen Niveau bewegt. Sicher ist aber auch, dass es immer mehr Menschen gibt, die sich mit der Thematik auseinandersetzen und ggf. auch Beschwerde einlegen, sofern ihnen etwas auffällt was ihnen nicht gefällt oder auch nur sauer aufstößt. Hierauf werden sich die Unternehmen noch stärker einstellen müssen. Viele Themen sind glücklicherweise mit geringem Aufwand datenschutzkonform anpassbar.

Benötigen Sie Sicherheit durch einen “Blick von außen”? Dann kontaktieren Sie uns.


Diesen Beitrag teilen