Der externe Datenschutzbeauftragte

Als Dienstleister übernehmen wir alle Aufgaben des betrieblichen Datenschutzbeauftragten für Ihr Unternehmen.

Mehr Informationen

Datenschutz-Audits

Mit einer Zertifizierung nach dem Standard DS-BvD-GDD-01 kann Ihr Unternehmen nach außen dokumentieren, dass Sie den Datenschutz ernst nehmen und die Daten Ihrer Kunden bei Ihnen sicher sind.

Mehr Informationen

Computerforensik

Wer hat wann welche Tätigkeiten am PC oder Smartphone durchgeführt? Die Computerforensik findet die Antworten...

Mehr Informationen

Datenschutz

Ein hohes Datenschutzniveau ist heute ein wichtiges Qualitätsmerkmal für viele Unternehmen. Ein externer Datenschutzbeauftragter gewährleistet die Umsetzung der gesetzlichen Vorgaben.

Mehr Informationen

Datenschutz-Audits

Mit einem Datenschutz-Audit kann ein Unternehmen die Einhaltung der datenschutzrechtlichen Vorschriften nach außen dokumentieren. Für Auftragsdatenverarbeitungen ist insbesondere der Standard DS-BvD-GDD-01 interessant.

Mehr Informationen

Gutachten

Ob zur Strafverfolgung durch die Behörden, zur Beweisführung in zivilrechtlichen Verfahren oder zur Bewertung von Hard- und Software - häufig kann ein IT-Gutachen die benötigten Nachweise liefern.

Mehr Informationen

Computer-Forensik

Computerstraftaten haben in den letzten Jahren enorm zugenommen. Zur Beweisführung aber auch zur Verteidigung gegen unberechtigte Beschuldigungen können computerforensische Gutachten den entscheidenden Beitrag liefern.

Mehr Informationen

gdd-mitglied-pos
2016_01_29_Logo_Mitglieder_lowres

Startet nun die prophezeite DS-GVO Bußgeldwelle?

28. Februar 2019

Neues Jahr, neue Erkenntnisse. Ist nun eine anfängliche Schonfrist im Thema Bußgelder vorbei? Bisher kam es nur sehr vereinzelt zu Fällen von Bußgeldern, die durch die Aufsichtsbehörde aufgrund von Verstößen gegen Datenschutz verhängt wurden.

Insgesamt wurden in Deutschland bisher ca. 40 Bußgelder verhängt. Das höchste Bußgeld beläuft sich auf 80.000,00 € und wurde von LfDI BW erlassen – genaue Angaben zu dem Fall sind uns unbekannt. Die Rangliste der Aufsichtsbehörden nach verhängten Bußgeldern sieht wie folgt aus:

  • Nordrhein-Westfalen (33)
  • Hamburg (3)
  • Baden- Württemberg und Berlin (jeweils 2)
  • Saarland (1)

Dass es im Blick auf Bußgelder ebenso ruhig wie im vergangenen Jahr bleiben wird, ist unrealistisch. Es befinden sich bereits hunderte Fälle in Bearbeitung, was bedeutet, dass 2019 voraussichtlich noch zahlreiche Bußgeldbescheide an Unternehmen in Deutschland zugestellt werden. Ein ähnliches Ausmaß wird auch in anderen EU-Staaten erwartet.

Durch die Medien werden immer mehr Datenschutzvorfälle bekannt.

5.000 Euro Bußgeld für fehlenden Auftragsverarbeitungsvertrag

Ein kleines Versandunternehmen in Hamburg wurde mangels Vertrags zur Auftragsverarbeitung nach Art. 28 DS-GVO zu einem Bußgeld verurteilt. Auslöser war eine Anfrage bei den Datenschutzbehörde Hessen im Mai 2018. In dieser Anfrage schilderte das Unternehmen, dass ein beauftragter spanischer Logistikdienstleister, welcher Kundendaten verarbeitet, mehrfach kontaktiert wurde mit der Bitte einen Vertrag zur Auftragsverarbeitung zu übersenden. Das Versandunternehmen hat in der Anfrage um Rat gebeten, wie mit diesem Fall umzugehen ist. Die Empfehlung der Behörde war jedoch höchstwahrscheinlich nicht die, die sich das Unternehmen erhofft hat.

Die Antwort der Behörde sagt, dass Auftraggeber als Datenverantwortlicher und Dienstleister als Datenverarbeiter beide in der Pflicht sind eine solche Vereinbarung abzuschließen. Empfehlung war somit, das Unternehmen soll und muss selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter zur Unterschrift schicken. Bis dies erledigt ist, müsse die Geschäftsbeziehung auf Eis gelegt werden. Damit das Rad nicht neu erfunden werden muss, kann hier auf ein Muster der Aufsicht zurückgegriffen werden.

Das Versandunternehmen war hier jedoch anderer Meinung und lehnte den Vorschlag ab. Dies wurde im Schriftverkehr auch der Aufsicht mitgeteilt. Die Anfrage sei nur vorsorglich gemacht worden und der Aufwand der nun entstehe sei unangemessen und nicht durchführbar.

Die Aufsicht sah das anders und stellte im Dezember 2018 einen Bußgeldbescheid mit der Begründung nach Art. 83 Abs. 4 DS-GVO zu. Die Summe lautet 5.000 Euro zuzüglich Bearbeitungsgebühr von 250 Euro.

Gemessen an der maximal möglichen Bußgeldhöhe handelte es sich hierbei um ein kleines Bußgeld , aber für welches Fehlverhalten sollten die 5.000 Euro gezahlt werden? Der Betrag wurde verhängt, da schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt wurden. In diesem Fall hätte direkt von der Geschäftsbeziehung Abstand genommen werden müssen. Dies wurde bereits im ersten Antwortschreiben der Behörde mitgeteilt. Zudem wurden die Empfehlungen der Aufsicht ignoriert und versucht, sich der Verantwortung zu entziehen. Selbst wenn das Versandunternehmen mit der Antwort oder auch der Empfehlung für die nächsten Schritte überfordert war, schützt Unwissenheit hier vor Strafe nicht. Es hätte erneut die Zusammenarbeit mit der Behörde angefordert werden sollen. Sprachbarrieren mit dem spanischsprachigen Logistikunternehmen wurden auch nicht mindernd berücksichtigt.

Gegen diesen Bußgeldbescheid wurde Einspruch erhoben, da dieser vom Anwalt des Versandunternehmens als rechtswidrig eingestuft wurde. Es ist nun erneut zu prüfen, ob es sich bei dem eingesetzten Logistikdienstleister um einen Auftragsverarbeiter gehandelt habe. Sofern dies nicht bejaht werden kann, fehlt es schon an der Grundlage für den sanktionierten Verstoß. Was das finale Ergebnis sein wird, ist abzuwarten.

50 Millionen Euro Bußgeld für fehlende Tranzparenz und fehlende Einwilligung

Deutlich drastischer sieht es da im europäischen Vergleich aus. Google muss in Frankreich eine Strafe von 50 Millionen Euro aufgrund einer Datenschutzverletzung bezahlen. Hier wurde durch die Aufsicht erstmalig ein Bußgeld verhängt.

Auslöser für den Bußgeldbescheid waren Beschwerden der Organisation NOYBG bei der französischen Aufsicht. Die Beschwerde lautete unter anderem, dass die Nutzer der Webseite unzureichend informiert würden. Informationen zur Verwendung der erhobenen Daten und dem Speicher-Zeitraum sind für Nutzer nicht einfach genug zugänglich. Diese grundlegenden Informationen waren nicht ohne großen Aufwand und Durchklicken verschiedener Reiter zu finden. Erschwerend hierzu waren die Formulierungen missverständlich und unklar für den Nutzer formuliert.  Während dieser Prüfung bemängelte die Behörde außerdem, dass die von Google eingeholte Einwilligung zur Anzeige personalisierter Werbung aus ihrer Sicht nicht gültig wäre, da die Nutzer nicht ausreichend informiert würden. Genau dies sehen die Artikel 5 Abs. 1, 12 und 13 DS-GVO aber vor – Unternehmen müssen Transparenz über die Verarbeitung der Daten der Nutzer schaffen. Eigentlich ein leicht vermeidbarer Verstoß.

Für Google ist dies eine verhältnismäßig kleine Strafe, da gemäß der DS-GVO Strafen zu einer Höhe von bis zu vier Prozent des Jahresumsatzes eines Unternehmens verhängt werden können. Nichtsdestotrotz will Google diese Beschwerde nutzen, um die hohen Erwartungen der Nutzer in Blick auf Transparenz und Pflichten umzusetzen.

Ausblick

Zusammenfassend kann gesagt werden, dass die Höhe der bislang verhängten Bußgelder sich noch auf einem im Hinblick auf die Möglichkeiten der DS-GVO sehr niedrigen Niveau bewegt. Sicher ist aber auch, dass es immer mehr Menschen gibt, die sich mit der Thematik auseinandersetzen und ggf. auch Beschwerde einlegen, sofern ihnen etwas auffällt, was ihnen nicht gefällt oder auch nur sauer aufstößt. Hierauf werden sich die Unternehmen noch stärker einstellen müssen. Viele Themen sind glücklicherweise mit geringem Aufwand datenschutzkonform anpassbar.

Benötigen Sie Sicherheit durch einen „Blick von außen“? Dann kontaktieren Sie uns.