DWF logo
DWF logo

              Bußgeldpraxis nach der DS-GVO: Wichtige Signale für Unternehmen

              Update Datenschutz-Grundverordnung

              Date: 20/02/2019

              Bußgelder in Höhe von bis zu 20 Millionen Euro oder in Höhe von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des voran-gegangenen Geschäftsjahrs. Mit dieser Drohung erlangte die Datenschutz-Grundverordnung (DS-GVO) seit spätestens Anfang 2018 eine massive Präsenz in den Medien, versetzte große wie auch kleine Unternehmen in Panik und veranlasste diese im besten Fall dazu, die Vorgaben des Datenschutzrechtes umzusetzen. Fast ein Jahr später zeichnet sich ab, dass die europäischen Auf-sichtsbehörden durchaus gewillt sind, von den harten Sanktionsmöglichkeiten der DS-GVO Gebrauch zu machen. Die zunehmende behördliche Bußgeldpraxis zeigt aber auch, wie sich Unternehmen verhalten müssen, um die Höhe eines Bußgeldes möglichst gering zu halten.

              Bisherige Bußgeldpraxis der Aufsichtsbehörden

              Frankreich, Januar 2019: EUR 50 Millionen. Im Januar 2019 belegte die französische Datenschutzaufsichtsbehörde das Unternehmen Google mit dem bislang höchsten Bußgeld seit Wirksamkeit der DS-GVO. Bemängelt wurde die Art und Weise wie Google über die Verarbeitung von personenbezogenen Daten bei Nutzung seiner Dienste informiert. Die Informationen seien auf zu viele unterschiedliche Dokumente verteilt um diese einfach zu erfassen. Zudem seien die Zwecke der Datenverarbeitung nicht hinreichend beschrieben.  Darüber hinaus konnte Google keine wirksame Einwilligung der Nutzer für die Verwendung der Nutzerdaten zu Werbezwecken vorweisen.

              Deutschland, Dezember 2018: EUR 5.000. Kein besonders hohes Bußgeld, dafür ein interessanter Sachverhalt: Das mit dem Bußgeld belegte Unternehmen übersandte Daten an einen Auftragsverarbeiter ohne zuvor mit diesem einen Auftragsverarbeitungsvertrag (AV-Vertrag) geschlossen zu haben. Der Auftragsverarbeiter weigerte sich weiterhin, einen solchen Vertrag abzuschließen. Daraufhin nahm das Unternehmen Kontakt zur zuständigen Datenschutzaufsichtsbehörde auf und bat um Rat. Die Behörde teilte mit, dass ein AV-Vertrag erforderlich und auch Unternehmen für den Abschluss und das Vorliegen eines solchen Vertrages verantwortlich sei. Das Unternehmen ignorierte diesen Hinweis der Aufsichtsbehörde, welche einige Zeit später wegen des (noch immer) nicht vorliegenden Vertrags ein Bußgeld gegen das Unternehmen verhängte.

              Deutschland, November 208:  EUR 20.000. Durch einen Hackerangriff wurden 330.000 Nutzerdaten eines sozialen Netzwerks kopiert und anschließend im Internet veröffentlicht. Da diese Daten durch das soziale Netzwerk auf dem Server im Klartext und nicht pseudonymisiert gespeichert waren, verhängte die Datenschutzaufsichtsbehörde das genannte Bußgeld.

              Portugal, Oktober 2018: EUR 400.000. Das Bußgeld wurde gegen ein Krankenhaus verhängt, dass den Zugriff auf Patientendaten nicht ausreichend beschränkt hatte.  Obwohl das Krankenhaus nur etwa 300 Ärzte beschäftigte waren in dem IT-System knapp 1.000 aktive Benutzer mit einem Profil "Arzt" und entsprechenden Zugriffsrechten registriert.

              Die Bußgeldpraxis zeigt, dass Bußgelder gegen Unternehmen unterschiedlicher Größe sowie für verschiedene Verstöße verhängt wurden: Für unzureichende Datenschutzerklärungen, nicht vorliegende ADV-Verträge, Datenverarbeitung auf Grundlage unwirksamer Einwilligungen oder wegen der Verletzung technisch-organisatorisches Sicherheitsmaßnahmen zum Schutz der Daten. 

              Bemessung der Bußgelder durch die Aufsichtsbehörden

              Die DS-GVO gibt vor, welche Kriterien (z.B. Art, Schwere und Dauer des Verstoßes) die Aufsichtsbehörden bei der Verhängung eines Bußgeldes zu berücksichtigen haben. Hinsichtlich der Höhe des Bußgeldes steht den Aufsichtsbehörden jedoch ein umfassendes Ermessen zu, in dem lediglich die gesetzlich genannten Kriterien (s.o.) bei der Bewertung des Verstoßes berücksichtigt werden sollen. Ziel eines Bußgeldes ist jedoch immer, dass diese Maßnahme im Einzelfall wirksam, verhältnismäßig und abschreckend ist. Dabei ist insbesondere das Merkmal der Verhältnismäßigkeit ein Türöffner für die Abmilderung einer Geldbuße. Um ein verhältnismäßiges Bußgeld festzusetzen wird die Aufsichtsbehörde nämlich (wie bei dem Bußgeld aus November 2018 geschehen) berücksichtigen, wie das betreffende Unternehmen nach Bekanntwerden des Verstoßes reagiert hat (Stichwort: Einhaltung der Meldepflicht) und welche Maßnahmen zum Schutz personenbezogener Daten bereits (vor dem Verstoß) von dem Unternehmen getroffen wurden.  

              Wichtige Signale für Unternehmen

              Zum einen zeigen die verhängten Bußgelder, dass die Behörden die Einhaltung der Datenschutzvorgaben umfasst prüfen. Zum anderen wird deutlich, wie die Behörden den Verhältnismäßigkeitsgrundsatz hinsichtlich der Bußgeldhöhe interpretieren. Insbesondere das Bußgeld aus November 2018 in Deutschland hat eine wichtige Signalwirkung für Unternehmen. Die Datenschutzaufsichtsbehörde hat in ihrer öffentlichen Stellungnahme hervorgehoben, dass das Bußgeld (20.000 Euro) deshalb so gering ausgefallen sei, weil das verstoßende Unternehmen nach Bekanntwerden des Verstoßes mit der Aufsichtsbehörde kooperiert habe und alle Informationen zu dem Zwischenfall und der Datenverarbeitung im Unternehmen bereitwillig offenbarte. Zudem sei bei der Bemessung berücksichtigt worden, wieviel das Unternehmen bereits in den Aufbau einer Datenschutz-Compliance investiert hatte.

              Aus diesen Signalen können Unternehmen wichtige Erkenntnisse ableiten:

              • Bei auftretenden Datenpannen sollte schnell reagiert werden um die Datenpanne zu beseitigen. Die gesetzlichen Meldepflichten gegenüber der Aufsichtsbehörde nach der DS-GVO sind zwingend zu beachten.
              • Sofern sich die Aufsichtsbehörde einschaltet, ist eine vollständige Kooperation zu empfehlen.
              • Wenn noch nicht geschehen, muss dringend mit der Implementierung der Datenschutzvorgaben begonnen werden. Der bereits getätigte Aufwand wird bei der Bemessung eines eventuellen Bußgeldes berücksichtigt.
              • Es genügt nicht, nur Maßnahmen mit Außenwirkung zu treffen. Auch technisch- und organisatorische Sicherheitsvorkehrungen werden von den Behörden geprüft.

              Fazit und Empfehlungen

              Die Kontrollen durch die Datenschutzaufsichtsbehörden werden zunehmen. Eine „duck and cover“ Strategie dürfte auf lange Sicht keinen Erfolg haben. Insbesondere Unternehmen, die eine Vielzahl von Datenverarbeitungen betreiben oder besonders sensible Daten verarbeiten, sollten nicht abwarten, sondern initiativ den Datenschutz in ihrem Unternehmen prüfen und bislang vielleicht versäumte Umsetzungsmaßnahmen zeitnah mit professioneller rechtlicher und technischer Unterstützung angehen.

              Sollte es zu einer Kontrolle durch die Datenschutzaufsichtsbehörde oder aber zu einer Datenpanne kommen, kann sich der bis dahin getätigte Aufwand lohnen. Stellt die Aufsichtsbehörde hingegen fest, dass das Unternehmen den Datenschutz bislang ignoriert hat, dürfte es deutlich teurer werden: Das Bußgeld wird höher ausfallen und die Implementierungsmaßnahmen, werden unter strenger Beobachtung der Aufsichtsbehörde, an, erfolgen müssen.

              Wir verwenden Cookies, um Ihnen die beste Nutzererfahrung auf unserer Website zu ermöglichen. Bitte teilen Sie uns mit, ob Sie die Verwendung von Cookies akzeptieren.
              Mehr Informationen

              Ihre Privatsphäre

              Wenn Sie unsere Website besuchen, kann diese in Form von Cookies Informationen über Ihren Browser speichern oder abrufen. Wir verwenden diese Informationen hauptsächlich, um sicherzustellen, dass die Website so funktioniert, wie Sie es erwarten, aber auch um zu erfahren, wie wir Ihr Surferlebnis in Zukunft verbessern können. Die gesammelten Informationen identifizieren Sie in der Regel nicht persönlich. Sie helfen uns aber dabei, Ihnen eine persönlichere und anwenderfreundlichere Webseite zu bieten.
              Wir respektieren Ihr Recht auf Privatsphäre! Sie können selbst entscheiden, welche Arten von Cookies Sie zulassen möchten. Für mehr Informationen und Berechtigungsänderungen klicken Sie auf die verschiedenen Optionen. Das Blockieren einiger Cookies kann jedoch dazu führen, dass bestimmte Funktionen der Website nicht mehr wie erwartet funktionieren.

              Funktionelle Cookies

              (Erforderlich)

              Diese Cookies ermöglichen Ihnen die Nutzung der Website und sind erforderlich, damit die Website wie erwartet funktioniert.

              Diese Cookies sind erforderlich

              Tracking Cookies

              Anonym. Performance Cookies unterstützen uns dabei zu verstehen, wie die Website genutzt wird und wie wir sie verbessern können. Einige dieser Performance Cookies werden von Drittunternehmen eingestellt, denen wir vertrauen.

              Performance Cookies können auch verwendet werden, um Ihren Webseitenbesuch zu personalisieren, indem Ihre Präferenzen und Einstellungen gespeichert werden.

              Marketing

              Diese Cookies werden verwendet, um Ihre Erfahrung auf unserer Website zu verbessern und zu personalisieren. Sie können verwendet werden, um Ihre Anzeigen unserer Produkte zu zeigen, oder um die Leistung unserer Anzeigen zu messen.