DSGVO – Erste Bußgelder verhängt!
Es wurde lange spekuliert und wir wurden und werden als Datenschutzbeauftragte häufig gefragt, ob und wann denn nun mit ersten Bußgeldern im Rahmen der seit 25.05.2018 geltenden EU-Datenschutzgrundverordnung (DSGVO) zu rechnen sei. Für alle die meinen, immer noch Pokern zu können, gibt es jetzt schlechte Nachrichten:
In Deutschland wurden bereits 41 Bußgelder aufgrund von Verstößen gegen die DSGVO verhängt. Davon sind offenbar bisher überwiegend kleinere Unternehmen betroffen. Getroffen hatte es bekanntermassen Ende 2018 die Chat-Plattform Knuddels aufgrund diverser Datenpannen. Das Bußgeld hielt sch jedoch im Rahmen, da Knuddels mit den Behörden kooperierte. Ingesamt wurden nach Recherchen des Handelsblattes in 2018 in 41 Fällen Bußgeldbescheide verhängt.
Desweiteren laufen derzeit zahlreiche weitere Verfahren aufgrund von Verstößen gegen die DSGVO, wie die örtlichen Behörden auf Anfrage des Handelsblatts mitteilten.
Die neue EU-Datenschutzgrundverordnung ist seit dem 25. Mai 2018 in Kraft getreten und ist seitdem deutlich strenger geworden. Davor war mit Strafen von bis zu 300.000 Euro zu rechnen – nun ist dies auf bis zu 20 Millionen Euro erhöht worden bzw. auf bis zu vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens.
Betrachtet man die einzelnen Bundesländer separat, so hat NRW mit 33 Bußgeldern bisher die meisten Bußgelder verhängt. Erstaunlich, denn die Behörde in NRW war bisher hinsichtlich der Einhaltung des Datenschutzes im privaten Bereich nicht besonders aufgefallen. Auf Platz zwei befindet sich Hamburg mit 3 Bußgeldern. Baden-Württemberg und Berlin teilen sich den dritten Platz mit jeweils 2 Bußgeldern und das Saarland hat bisher “nur” ein Bußgeld verhängt.
Die verhängten Bußgelder bewegen sich gegenwärtig im Bereich mehrerer 10.000 EUR, von Millionen sind wir also noch weit entfernt. Dabei ist zu bedenken, dass es bisher eher kleinere Unternehmen getroffen hat und denen werden ein paar 10.000 EUR sicher weh tun. Die ordnungsgemäße Bestellung eines Datenschutzbeauftragten kostet nur einen Bruchteil der Bußgelder und verzinst sich daher optimal. Das nur am Rande.
Ausgelöst werden die meisten Bußgeldverfahren durch Beschwerden der Betroffenen, durch welche die zuständigen Behörden ihre Ermittlungen starten. Der Bereich B2B (also Privatkunden) ist daher besonders Danger. Aber auch Unternehmen selbst sind beim Entdecken einer Datenpanne dazu verpflichtet, diese innerhalb von 72 Stunden nach der Entdeckung zu melden.
Nicht nur Beschwerden vermeindlich Betroffener können „gefährlich“ werden, sondern auch folgende Umstände:
- ehemalige, mißliebige Mitarbeiter
- Whistleblower, „Maulwürfe“, etc.
- Wettbewerber
- Abmahnanwälte und Vereine
- investigative Journalisten
- Erpresser
- allerlei Psychopathen
Hinzu kommt, dass zum 31.12.2018 eine letzte Schonfrist zur ordnungsgemäßen Bestellung und Meldung des Datenschutzbeauftragten bei der zuständigen Behörde nach Art 37 DSGVO in 2019 abgelaufen ist. D.h., eine ausbleibende Meldung ist nunmehr ebenfalls sanktionsbewehrt. Durch Verfahren des automatisierten Abgleiches der jeweiligen Datenbank, mit z.B. dem Unternehmensregister, können „Sünder“ nunmehr sehr schnell entlarvt werden. Big-Data läßt grüßen Nicht zuletzt deshalb wird die Zahl sanktionsbewehrter Prüfungen in 2019 dramatisch zunehmen.
Im Falle einer Datenpanne sind Unternehmen auf jeden Fall gut beraten, die Panne nach Art 33 DSGVO innerhalb der Meldefrist von 72 Stunden vorzunehmen. Die Behörden haben dafür auf Ihren Webseiten spezielle Portale eingerichtet, genau wie übrigens auch für Privatpersonen, die eine Beschwerde einreichen möchten. Tja, willkommen im digitalen Zeitalter.
Nachtrag 06.02.2019:
Anfang Februar 2019 war den Medien zu entnehmen, dass im Zuge der Einhaltung der DSGVO vermehrt Strafen dohen. Besonders der Landesdatenschutzbeauftragte des Landes Baden-Württemberg macht z.Z. medianwirksam darauf aufmerksam, und berichtet über das Vorgehen seiner Behörde im Tätigkeitsbericht für 2018. War 2018 das Jahr der Beratung, soll nun 2019 das Jahr der Kontrolle werden. Nachtigall ick hör Dir tapsen. Es ist davon auszugehen, das die Aktion unter sämtlichen Datenschutzbehörden in Deutschland abgestimmt ist.
Allgemeiner Tenor: Vor der DSGVO sei der Datenschutz „in vielerlei Hinsicht wirtschaftsfreundlich“ gewesen und Verstöße seinen nur „sehr zurückhaltend sanktioniert“ worden. Und damit soll nun Schluss sein. Es ist ja nun hinlänglich bekannt, dass nunmehr Ordnungsgelder bis zu 20 Mill EUR verhängt werden können, zuvor lag die Höchstgrenze bei 300.000 EUR. Der LDSB weisst darauf hin, dass er die Befugnisse eines Staatsanwaltes hat und dazu unangekündigte Kontrollen veranlassen kann und wohl auch wird. Eine Beschwerde durch z.B. einen Betroffenen ist dazu nicht erforderlich. Im Fokus stehen zunächst Unternehmen, die große Datenmengen verarbeiten.
Der LDSB Stafan Brink sieht auch erheblichen Verbesserungsbebedarf bei Krankenhausinformationssystemen, bei denen es um absolut sensible Daten geht. Damit rücken nun verstärkt Krankenhäuser und auch Ärzte in den Fokus der Behörden. Brink weist in diesem Zusammenhang auf einen Vorfall in Portigal in: Ein Krankenhaus musste dort ein Bußgeld von 400.000 EUR zahlen, weil zu viele Mitarbeiter auf Krankendaten zugreifen konnten. „400.000 EUR für einen Fehler, den wir wahrscheinlich hier in Baden-Württemberg auch in jedem Dritten Krankenhaus finden.“ Noch deutlicher kann es nicht mehr werden.
Der LDSB rechnet auch wegen der massiven Zunahme von Beschwerden mit mehr Bußgeldzahlungen. Meldungen über Spam-Nachrichten und Datenschutzverstöße in Unternehmen haben von 1872 Fällen in 2017 auf 2714 Fälle in 2018 zugenommen. Wohlgemerkt nur in BW. Die Zahl von Datenpannen, wie z.B. falsch adressierte Postsendungen mit sensiblem Inhalt, haben sich gar auf 774 Meldungen verzehnfacht.
Also: Pokern war Gestern – Handeln ist Heute. Wer´s jetzt noch nicht begriffen hat, dem können wir auch nicht mehr helfen.
Zur DSGVO beachten Sie auch unsere Mandanteninfo DSGVO.
Nach Studium dieses Dokumentes zur DSGVO sollten diesbezüglich kaum mehr Fragen offen bleiben. Wenn doch, dann wissen Sie, wen Sie fragen können …