DSGVO-Bußgelder: Die Schonfrist ist vorbei

Seit der Anwendung der DSGVO am 25. Mai 2018 verhängten die Aufsichtsbehörden zunächst wenig Aufsehen erregende Bußgelder. Diese Schonfrist scheint nun vorbei zu sein; in Deutschland wurden bisher mehr als 40 Bußgelder verhängt. Laut Handelsblatt betrugen die Bußgelder in Nordrhein-Westfalen insgesamt circa 15.000 Euro, in Hamburg 25.000 Euro, und in Baden-Württemberg 100.000 Euro. Dabei handelt es sich beispielsweise um Verstöße wie Offenlegung von Gesundheitsdaten im Internet aufgrund unzureichender interner Kontrollmechanismen (80.000 Euro), unzulässige Speicherung von Passwörtern im Klartext (knuddels.de, 20.000 Euro), fehlender Auftragsverarbeitungsvertrag (Kolibri Images, 5.000 Euro), mangelnde Transparenz, Offenlegung von Kontoauszügen an Unbefugte beim Online-Banking, unzulässige Werbe-E-Mails und offene E-Mail-Verteiler. In Frankreich wurde gegen Google ein Bußgeld von 50 Millionen Euro wegen unzureichender Erfüllung von Informationspflichten und fehlender Rechtsgrundlage für personalisierte Werbung wegen unwirksamer Einwilligung verhängt.

Anhand der ersten Bußgelder zeigt sich nun, wie das neue Datenschutzregime Wirkung entfaltet, also mit welchen Verstößen für welche Datenschutzverstöße zu rechnen ist. Deutlich wird, dass Datenschutz-Verstöße keine Kavaliersvergehen sind. Die Aufsichtsbehörden lassen keinen Zweifel daran, dass Bußgelder in größerem Umfang und mit höheren Beträgen als bisher verhängt werden. Ein fünfstelliges Bußgeld wird keine Seltenheit mehr sein.

Die Aufsichtsbehörden sind jedoch nicht nur wegen Beschwerden tätig geworden, sondern auch wegen der gesetzlichen Verpflichtung zur Meldung von Datenpannen. Die Anzahl der Beschwerden sei nach Aussage der baden-württembergischen Aufsichtsbehörde seit Inkrafttreten der DSGVO um 30 Prozent gestiegen, die Meldung von Datenpannen habe sich mehr als verzehnfacht.

Zudem prüfen die Aufsichtsbehörden auch ohne Anlass, sodass jedes Unternehmen Gegenstand ihrer Prüfung werden kann. Geprüft wird unter anderem das Datenschutzkonzept, Verarbeitungsverzeichnis, ggf. das berechtigte Interesse als Rechtsgrundlage (Art. 6 Abs. 1 lit. f DSGVO), etwaige Einwilligungserklärungen, Löschkonzept, Prozess der Beauskunftung nach Art. 15 DSGVO, Datenschutzerklärung auf der Webseite und Meldeprozess bei Datenschutzverletzungen. Es werden aber auch themenspezifische Prüfungen vorgenommen, z.B. zum Löschen von Daten bei ERP-Systemen (SAP), Datenschutzverletzungen bei (Unter-)Auftragsverarbeitern, Informationspflichten in Bewerbungsverfahren, Rechenschaftspflicht bei Großkonzernen und Patch Management eCommerce-Systeme/ Online-Shops und WordPress.

Für weitere Informationen und Unterstützung stehen wir Ihnen gerne zur Verfügung.