Datenschutz-Verstöße: Schonfrist beendet? 2020 droht die Bußgeld-Welle

Erstellt von Wiebke Johanna Backhaus | |  BTadvice 2020-Q1

Den Wechsel des Datenschutzbeauftragten nicht gemeldet und schon flattert ein Bußgeldbescheid über 51.000 Euro ins Haus. Eine kostspielige Nachlässigkeit! So bei der deutschen Facebook-Tochter in Hamburg geschehen. Wenn jetzt schon solch „formale“ Verstöße derartige Bußgelder zur Folge haben, wird es in 2020 für Datenschutz-sündige Unter-nehmen wohl teurer als je zuvor.

Lange Zeit wurde Datenschutz von vielen eher als eine Empfehlung als eine gesetzliche Pflicht wahrgenommen. Das ist anders seitdem die EU-Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft getreten ist. Viele (nicht alle) Unternehmen haben ihre Datenschutz-Risiken daraufhin strukturiert erhoben und Maßnahmen zur Einhaltung der Anforderungen aus der DS-GVO umgesetzt oder zumindest eingeleitet. Der Grund dafür ist nicht zuletzt, dass bei einem Verstoß Bußgelder von bis zu vier Prozent des globalen Jahreskonzernumsatzes bzw. 20 Mio. Euro drohen (je nachdem, welcher der Beträge höher ist). Dieses Bußgeld-Risiko wird knapp 2 Jahre nach „Scharfschalten“ der DS-GVO immer realer. Es spricht vieles dafür, dass 2020 das Rekord-Bußgeld-Jahr wird. Diese These leitet sich aus einer Reihe unterschiedlicher Faktoren und Ereignisse ab, die in der folgenden Übersicht dargestellt sind.

  • Höhe der Bußgelder steigt (Auswahl).
    • 14,5 Millionen Euro: Die Berliner Datenschutzbeauftragte Maja Smoltczyk verschickte den Bußgeldbescheid gegen die Deutsche Wohnen SE wegen der unzulässigen Speicherung von Mieterdaten.
    • 9,55 Millionen Euro: Der Bundesdatenschutzbeauftragte Ulrich Kelber verhängte gegen den Mobilfunk- und Festnetzkonzern 1&1 Drillisch dieses Bußgeld wegen nicht hinreichender technisch-organisatorischer Maßnahmen zum Schutz von Kundendaten.
    • 294.000 Euro: Das bislang dritthöchste Bußgeld sprach die Landesbeauftragte für den Datenschutz in Niedersachsen Barbara Thiel aus; dies wegen einem Verstoß gegen den Beschäftigtendatenschutz. Nach Presseinformationen ging es um eine „unnötig lange“ Speicherung und Aufbewahrung von Personalakten und eine zu umfangreiche Datenerhebung im Personalauswahlverfahren, bei der Gesundheitsdaten abgefragt wurden.
    • 51.000 Euro: Facebook Germany GmbH soll das Bußgeld wegen der Nichtmeldung des Wechsels ihres Datenschutzbeauftragten zahlen. Ein vermeintlich kleiner Verstoß, der aber teurer werden kann. Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, hat dieses Bußgeld verhängt und sagt dazu in seinem „Tätigkeitsbericht Datenschutz 2019“: „Dieser Fall sollte allen anderen Unternehmen eine deutliche Warnung sein: Die Benennung des Datenschutzbeauftragten und die Mitteilung an die Aufsichtsbehörde sind Pflichten, die die DSGVO ernst nimmt. Schon kleinere Verstöße gegen derartige Pflichten können zu nicht unerheblichen Geldbußen führen. Es ist dem umsichtigen und professionellen Umgang Facebooks mit dem Verstoß geschuldet, dass die Geldbuße nicht noch deutlich höher ausfiel.
  • Anzahl der Bußgelder wächst.
    Nach einer Umfrage des „Handelsblatts“ unter 15 der 16 Datenschutzbeauftragten der Länder (nur Mecklenburg-Vorpommern machte keine Angaben) wurden in 2019 in Summe 187 Bußgelder verhängt. In 2018 waren es seit Inkrafttreten der DS-GVO am 25. Mai lediglich 40 Bußgelder. Nach der Umfrage wurden die meisten Bußen in Nordrhein-Westfalen ausgesprochen, nämlich 64 Bußgelder (2018: 33). Platz 2 belegt Berlin mit 44 (2018: 2) und Platz 3 Niedersachsen mit 19 (2018: 0).
  • Standardisierte Bußgeldzumessung – auch zur Abschreckung – beschlossen.
    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat im Oktober 2019 ihr Konzept zur Zumessung von Geldbußen bei Verstößen gegen die DS-GVO durch Unternehmen vorgelegt. Das Konzept ist eine Ausgestaltung der Bußgeldvorgaben der DS-GVO (Art. 83). Die DSK nennt in ihrer entsprechenden Pressemitteilung als Ziel des Konzepts „den Datenschutzaufsichtsbehörden eine einheitliche Methode für eine systematische, transparente und nachvollziehbare Bemessung von Geldbußen zur Verfügung zu stellen“. Betont werden im Wesentlichen 3 Aspekte: „Das Konzept unterstützt mit der Anknüpfung an den Umsatz eines Unternehmens bei der Bußgeldzumessung den erklärten Willen des europäischen Gesetzgebers, die Wirksamkeit, Verhältnismäßigkeit und abschreckende Wirkung der Verhängung von Geldbußen sicherzustellen.“
  • Personelle Ressourcen wachsen.
    Die Datenschutz-Behörden der Länder rüsten personell auf. Zum Beispiel freut sich der oberste Datenschutz-Wächter in Baden-Württemberg auf neues Personal. „Mit Blick darauf, dass der Landtag meiner Dienststelle mit dem Doppelhaushalt 2020/2021 erneut 10 Stellen zugesprochen hat, wofür ich außerordentlich dankbar bin, bin ich optimistisch, weitere Kolleg*innen für die Mitarbeit an dieser Aufgabe gewinnen zu können.“ (Quelle: 35. Datenschutz-Tätigkeitsbericht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg 2019). Vier Stellen im gehobenen und im höheren Dienst waren Mitte März 2020 auf der Website der Behörde bereits ausgeschrieben.
    Auch die Berliner Datenschutzbeauftragte suchte personelle Verstärkung und schrieb Ende Februar 2020 auf ihrer Internetseite drei 3 Stellen als „Juristische Referent/in“ aus.
  • Anzahl der Kontrollen steigt.
    Im Jahr 2019 wurden mehr Kontrollen durchgeführt als in den Vorjahren. In Baden Württemberg zum Beispiel stieg die Anzahl von 13 in 2018 auf 111 in 2019:

In seinem Tätigkeitsbericht nennt der zuständige Datenschutzbeauftragte Beispiele für Themen im Rahmen von Kontrolltätigkeiten.

  • So z. B.: „Überraschend oft wurden 2019 Datenpannen gemeldet, die über nicht oder nicht ausreichend abgesicherte Fernwartungszugänge erfolgten. Überraschend deshalb, da diese Fernwartungszugänge permanent aktiv waren und teilweise die Zugangs-Passwörter mit abgespeichert oder die Zugänge nicht vor Brute-Force-Attacken geschützt waren. Einfacher kann man es einem Angreifer letztlich nicht machen.“
  • Oder auch: „Neben den oben erwähnten „neuen“ Problemen trafen wir im Jahr der Kontrolle auch wieder auf „alte Bekannte“, also Schwachstellen die bereits in den Vorjahren jeweils ein Thema waren. Ein paar Beispiele: Akten-/Datenträgervernichtung (…) Schließtechnik (…) Multifunktionsgeräte (…) Bußgelder für technische Verstöße (…)“.

Am Ende bleibt eigentlich nur eine Frage offen: Wer erhält den nächsten Bußgeldbescheid?

Gewisse Dinge werden in der aktuellen Corona-Krise Priorität haben. Während dieser Krise haben Sie – nach der Bewältigung der akuten Herausforderungen – aber vielleicht Kapazitäten, um sich diesem wichtigen Thema zu widmen und Bußgelder zu verhindern. Viele Unternehmen werden in der Corona-Krise mit einer angespannten finanziellen Situation konfrontiert sein. Gerade vor diesem Hintergrund sollten Unternehmen keine hohen Bußgeldrisiken im Datenschutz in Kauf nehmen. Ist Ihr Datenschutzmanagementsystem wirksam und verhältnismäßig? Das evaluieren wir gerne mit Ihnen in unserem DS-GVO-Quick-Check (zur Standortbestimmung). In Zeiten von Corona können wir diesen – zur Vermeidung von persönlichem Kontakt – auch „Remote“ durchführen (ohne persönlichen Vorortbesuch im Unternehmen).

Zurück