Die Datenschutzbeauftragten der Länder haben bereits in 41 Fällen Bußgeldbescheide erlassen. Sehr viele weitere Verfahren sind derzeit in Bearbeitung. Deutlicher Spitzenreiter bei den Bußgeldern ist Nordrhein-Westfalen mit 33 an der Zahl. Auf Platz zwei folgt weit abgeschlagen Hamburg mit drei Bußgeldern, dann Baden-Württemberg und Berlin mit jeweils zwei sowie das Saarland mit einem verhängten Bußgeld. Was wurde abgemahnt?
Ermittelt wird überall
Wer jetzt denkt, zum Beispiel Bayern sei in dieser Hinsicht ein Bußgeld-Paradies: Auch dort laufen derzeit 85 Bußgeldverfahren. Knapp 300 Beschwerden hat der Datenschutzbeauftragte Bayerns 2018 entgegengenommen, außerdem wurden 2500 Datenpannen gemeldet. Auch in Rheinland-Pfalz konnte man sich über mangelnde Arbeit nicht beklagen. Hier gingen täglich um die 200 Anrufe ein. Hinzu kamen 2018 etwa 22.000 Posteingänge. Es war also ordentlich was los.
Die meisten Bußgeldverfahren wurden durch Beschwerden von Betroffenen ausgelöst. Datenpannen müssen Unternehmen zudem selbst mitteilen.
Höchstes Einzel-Bußgeld: 80.000 €
Das höchste Einzel-Bußgeld hat mit 80.000 € der Landesdatenschutzbeauftragte von Baden-Württemberg verhängt. In diesem Fall gelangten Gesundheitsdaten aufgrund mangelhafter interner Kontrollsysteme ins Internet. In Nordrhein-Westfalen lag die Gesamtsumme der Bußgelder bei nur knapp 15.000 €, obwohl 33 Bußgelder ausgesprochen wurden. Das zeigt, dass der Landesdatenschutzbeauftragte hier noch äußerst maßvoll mit diesem Instrument umgeht. Es hatten ja auch einige Behörden angekündigt, übergangsweise von hohen Strafzahlungen abzusehen. Aber das wird natürlich immer auch eine Einzelfallfrage sein.
Hamburg scheint zum Beispiel nicht ganz so zurückhaltend zu sein. Denn die drei Bußgelder, die dort 2018 verhängt wurden, summieren sich immerhin auf 25.000 €.
Deswegen wurden die Bußgelder verhängt
Um welche Fälle ging es? Da gab es zum Beispiel die Feuerwehr in Bremen, bei der sämtliche Telefonate aufgezeichnet wurden, also nicht nur die Notrufe. Dann gab es da ein Hotel, das nicht ausschließen konnte, dass aufgrund eines erpresserischen Hackerangriffs Kreditkarten- und andere Kundendaten gestohlen wurden.
Bei der Chat-Plattform Knuddels wurden die gestohlenen Passwörter, E-Mail-Adressen und Pseudonyme von 330.000 Nutzern hingegen gestohlen und im Internet veröffentlicht. Besonders brisant: Das Unternehmen hatte die Kundendaten im Klartext auf seinem Server gespeichert.
Außerdem wurden unzulässige Werbemails, die unzulässige Nutzung von Dashcam-Kameras und offene E-Mail-Verteiler bestraft. Auch im Bereich Videoüberwachung gibt es häufige Rechtsverletzungen.
Kleines Unternehmen mit 5000 € Bußgeld belegt
Erst Mitte Dezember wurde in Hamburg ein Bußgeld in Höhe von 5000 € gegen das relativ kleine Unternehmen Kolibri Image verhängt. Das Unternehmen betreibt Imageberatung für Firmen. Das Problem hier: Es wurde kein Auftragsdatenverarbeitungsvertrag mit einem spanischen Dienstleister geschlossen. Dass es dieser spanische Dienstleister war, der trotz mehrfacher Aufforderung keinen Auftragsdatenverarbeitungsvertrag übersenden wollte, spielte dabei keine Rolle. Nach Ansicht des Hamburger Datenschutzbeauftragten trifft die Pflicht, einen solchen Vertrag zu schließen, grundsätzlich beide Seiten.
Ohne Auftragsdatenverarbeitungsvertrag geht gar nichts
Mit anderen Worten: Wenn der spanische Auftragsverarbeiter keinen Vertrag erstellt und zusendet, so muss eben das deutsche Unternehmen diese Pflicht erfüllen. Dass das deutsche Unternehmen gar keinen Einblick in die interne Verarbeitungstechnik beim spanischen Dienstleister hat, interessierte die Datenschutzbehörde nicht. Kolibri Image soll allerdings Widerspruch gegen den Bußgeldbescheid eingelegt haben. Warten wir’s ab.
Falls Sie Auftragsverarbeiter EU-Ausland haben, achten Sie am besten darauf, VOR der Übersendung der ersten Daten einen Auftragsdatenverarbeitungsvertrag zu schließen. So kommen Sie datenschutzrechtlich erst gar nicht in die Bredouille.
Google soll 50 Millionen € zahlen
Aktuell besonders spektakulär ist das Bußgeld, das die französische Datenschutzbehörde CNIL gegen Google verhängt hat. Google soll ein Bußgeld in Höhe von 50 Millionen € zahlen. Der Grund: Google halte sich nicht an die DSGVO, wenn Android-Nutzer neue Smartphones einrichten. Dabei wurden diverse Einzelheiten bemängelt. Wichtige Informationen seien zum Beispiel nur schwierig zu finden oder nur schwer verständlich. Und wichtige Einstellungs-Möglichkeiten seien nur schwer erreichbar. Warten wir auch hier ab, ob Google gegen diesen Bußgeldbescheid – übrigens den ersten der französischen Behörde – vorgehen wird.
Mit Genehmigung des VNR-Verlags wurde dieser Artikel aus dem kostenlosen E-Mail-Newsletter „Datenschutz-Ticker“ übernommen.
Mit dem „Datenschutz-Ticker“ helfen Sie Ihrem Unternehmen, der Unternehmensleitung und den Beschäftigten, sich datenschutzkonform zu verhalten und die richtigen Entscheidungen zu treffen. Schließlich erfahren Sie hier alles Wissenswerte zu rechtlichen Rahmenbedingungen, Fallstricken und Risiken. Mithilfe der vielen Praxisbeispiele, Checklisten und Handlungsempfehlungen wissen Sie schnell, wie Sie Ihre Aufgaben als Datenschutzbeauftragter angehen können.
Melden Sie sich jetzt hier zum kostenlosen Newsletter „Datenschutz-Ticker“ an!
Neue Entwicklungen sowie Beispiele zu aktuell erteilten Bußgeldern bei Verstössen gegen die DSGVO und Tipps zur Vermeidung der häufigsten Datenschutzverletzungen finden Sie in einem Artikel der Zeitschrift t3n vom 17.4.19 unter https://t3n.de/news/datenschutz-2019-schlaegt-zu-1157459/ sowie des Handelsblatzs vom 10.5.19 unter https://www.handelsblatt.com/technik/vernetzt/digitalisierung-449-000-euro-an-geldbussen-wegen-datenschutzverstoessen-verhaengt/24331706.html?ticket=ST-4122423-fBBHWVXjUFayKXkWZoko-ap3