Mangelnder Datenschutz – Was kann passieren?

Seit über zwei Jahren gilt für alle Unternehmen, Vereine, Institutionen und Behörden die Datenschutz- Grundverordnung (DSGVO). Wie die Umsetzung der DSGVO in deutschen Unternehmen bisher erfolgte und wie sich deren Stimmung zu Datenschutzthemen .....

... aktuell darstellt, zeigt eine Studie des Digitalverbandes Bitkom, welche am 29.9.2020 veröffentlicht wurde. Die Befragung von 500 Unternehmen aus Deutschland ergab, dass 57% der Unternehmen die neuen Datenschutzregeln zu einem hohen Anteil bereits umgesetzt haben, jedoch sind nur 20% dieser mit der Umsetzung komplett fertig.
89% der befragten Unternehmen vertreten die Meinung, dass die DSGVO praktisch nicht vollständig umgesetzt werden kann und jede zweite Firma spricht von einer Beeinträchtigung oder sogar von einem Abbruch bei der Einführung technologischer Innovationen, aufgrund der Regelungen lt. der DSGVO. Positiv betrachtet, sehen 66% der Unternehmen in der DSGVO einheitliche Wettbewerbsbedingungen innerhalb der EU und 62% erkenne einen Wettbewerbsvorteil; ist doch ein sicherer und zulässiger Umgang mit personenbezogenen Daten zunehmend ein wesentlicher Faktor für Kundenentscheidungen.      
Andererseits sollten sich Unternehmen bewusst sein, dass ein Nichteinhalten der Datenschutz-Vorschriften zu erheblichen Reputationsverlusten und empfindlichen Strafen führen kann. So erlaubt die DSGVO Geldbußen bis zu 20 Millionen € oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes.
Auch wenn seitens des Bundesbeauftragten für Datenschutz und Informationssicherheit, Herr Prof. Ulrich Kelber, Hilfestellungen der Aufsichtsbehörden für kleine und mittlere Unternehmen bei der Umsetzung der DSGVO-Anforderungen gefordert werden und  von ihm die Aussage stammt: „Helfen geht vor Strafen“, sollten Unternehmen den Schutz der personenbezogenen Daten ernst nehmen, wie aus folgenden Beispielen zu Bußgelderhebungen hervorgeht:

 

  • 50.000 € Bußgeld wegen falscher Auskunft und fehlendem Vertrag zur Auftragsdatenverarbeitung
    Das betreffende Unternehmen beauftragte einen Dienstleister, Auskunftspflichten zu übernehmen. Der Dienstleister führte die Korrespondenz mit seinem Logo und damit war der Verantwortliche für die Datenverarbeitung für den Verbraucher nicht ersichtlich. Erschwerend kam hinzu, dass der erste Kontakt zum Verbraucher in englischer Sprache erfolgte. Des Weiteren bestand kein schriftlicher Vertrag zur Auftragsdatenverarbeitung.
     
  • 35.5 Mio € Bußgeld wegen Aufzeichnungen von sensiblen Informationen von Mitarbeitern und deren interner Verwendung
    Im betreffenden Unternehmen wurden über Jahre private Daten der Mitarbeiter erfasst und diese u. a. für Auswertungen zur individuellen Arbeitsleistung sowie zur Profilbildung der Mitarbeiter für Maßnahmen und Entscheidungen im Arbeitsverhältnis genutzt.
    Konkret handelte es sich dabei um Aufzeichnungen über Krankheitssymptome, Diagnosen, private Situationen und religiöse Bekenntnisse, die Mitarbeiter in Gesprächen mit ihren Vorgesetzten geäußert haben.
     
  • 15.000 € Zwangsgeld wegen unterbliebener Auskunft lt. DSGVO
    Nachdem ein Unternehmen zur Auskunftserteilung über der Verarbeitung personenbezogener Daten gerichtlich aufgefordert wurde, erfolgte die Auskunft nicht vollständig gem. Art. 15 DSGVO sowie inhaltlich nicht korrekt.
     
  • 1,2 Mio € Bußgeld wegen Nutzung personenbezogener Daten ohne deren Einwilligung
    Seitens des Unternehmens wurden die personenbezogenen Daten von rd. 500 Teilnehmern an einem Gewinnspiel - ohne deren Einwilligung - für Werbezwecke genutzt.
     
  • 10.000 € Bußgeld wegen fehlender Benennung eines DSB
    Trotz mehrfacher Aufforderung der Datenschutzbehördewurde seitens des Unternehmens kein Datenschutzbeauftragter benannt und dessen Kontaktdaten ggü. betroffenen Personen und der Aufsichtsbehörde nicht veröffentlicht.
     
  • 900.000 € Bußgeld wegen nicht ausreichender Authentifizierung von Kunden  
    (
    aktuelles Urteil Landgericht Bonn)
    Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten konnten.
     
  • 14,5 Mio € Bußgeld wegen fehlendem Löschkonzept zu personenbezogenen Daten
    Das Unternehmen hatte – trotz Aufforderung der Aufsichtsbehörde – keine hinreichenden Maßnahmen veranlasst, dass personenbezogene Daten datenschutzkonform gelöscht wurden.
     
  • 1.500 € Bußgeld wegen fehlender Einwilligung zur Verwendung von Kundendaten
    Ein Versicherungsmakler verwendete Kundendaten ohne Einwilligung zu Werbezwecken.
     
  • 20.000 € wegen verspäteter Meldung eines Data Breach  & fehlender Information
    Das Unternehmen informierte die Aufsichtsbehörde nicht fristgerecht über eine Datenschutz-Verletzung  (Data Breach) und unterließ die Betroffenen darüber entsprechend zu informieren.  

 

Nun werden Sie sich fragen, wie die Berechnung eines Bußgeldes aufgrund datenschutz-rechtlicher Vergehen erfolgt. Hierzu wurde seitens der Datenschutzkonferenz (DSK) ein
Konzept erstellt, welches auf eine nachvollziehbare, transparente und einzelfallbezogene Form der Bußgeldzumessung zielt. So werden bei der Festlegung eines Bußgeldes die
Größe des Unternehmens, dessen Umsatz, die Schwere des Tatbestandes sowie ggf. weitere Umstände berücksichtigt und damit der jeweilige Einzelfall in den Focus gestellt.
Auch wirken sich die Bereitschaft zur Kooperation mit der Behörde, die eigene Einsicht über den datenschutzrechtlichen Verstoß, wie auch die bisher ergriffenen Maßnahmen für ein datenschutzkonformes Vorgehen, insbesondere im Hinblick auf die Dokumentations- und Rechenschaftspflichten der Verantwortlichen, durchaus strafmildernd aus.   
Der beste Weg Bußgelder wegen Datenschutzverstößen zu umgehen, ist selbstverständlich ein datenschutzkonformes Handeln intern im Unternehmen, wie auch extern zu Kunden, Lieferanten und weiteren Vertragspartnern.

Angela Clemenz
ist Geschäftsführerin der DACO Leipzig GmbH,
Datenschutzbeauftragte, Datenschutz-Auditorin,
Compliance-Officer und IT-Sicherheitsbeauftragte

E-Mail: clemenz@daco-leipzig.de
Web: www.daco-leipzig.de