Datenschutz 2019: Schlägt jetzt der Bußgeld-Hammer zu?
Was verrät uns der Blick ins EU-Ausland?
Die deutschen Landesdatenschutzbehörden verhielten sich im vergangenen Jahr zumeist ruhig. Verstieß ein Unternehmen gegen die DSGVO, drohte oft nur der erhobene Zeigefinger. In den letzten Monaten verhängten die Behörden aber vermehrt Bußgelder. Es traf große und kleine Unternehmen. Ein Blick über die Grenze offenbart, was im kommenden Jahr passieren könnte. In Frankreich und Portugal verhängten die Aufsichtsbehörden schon Rekordstrafen. Manche Unternehmen mussten zweistellige Millionenbeträge zahlen. Damit ist klar: Die Aufsichtsbehörden nutzen die DSGVO als machtvolles Schwert. So disziplinieren sie Unternehmen und sensibilisieren sie in der Folge für den Datenschutz. Die deutschen Datenschutzbehörden sind zwar autonom, kooperieren jedoch eng mit den Datenschutzbehörden in den anderen EU-Mitgliedsstaaten. Deshalb sollten Unternehmen das Verhalten ausländischer Behörden genau beobachten. Es liegt daher nahe, dass der Bußgeld-Hammer bald auch in Deutschland zuschlägt. Doch was passierte eigentlich im EU-Ausland? Wie hoch fielen die Geldbußen dort aus? Und die brennende Frage: Wie können sich deutsche Unternehmen vor Bußgeldern schützen?
Geldbußen in Deutschland und im EU-Ausland: Die aktuellsten und wichtigsten Fälle
Das Chatportal Knuddels lagerte seine Nutzerdaten unverschlüsselt auf einem alten Server und später tauchten diese im Internet auf. Doch im Vergleich zu den Geldbußen im EU-Ausland handelt es sich hier mit einem Bußgeld von 20.000 Euro nur um „Peanuts“. In Frankreich erhielt der Internetgigant Google einen Bußgeldbescheid in Höhe von 50 Millionen Euro, weil das Unternehmen die Nutzer des Betriebssystems Android unzureichend über den Datenschutz informierte. Ein Krankenhaus in Portugal musste 400.000 Euro zahlen, weil Krankenhausmitarbeiter Zugriff auf Patientendaten hatten, die nur für Ärzte bestimmt waren. Ein ähnlicher Verstoß ereignete sich in einem französischen Optikzentrum und wurde mit 250.000 Euro sanktioniert.
Diese Entwicklung scheint sich im Jahr 2019 fortzusetzen. In Polen wurde kürzlich dem führenden Anbieter von Wirtschaftsinformationen wegen Verstoßes gegen die Informationspflicht ein Bußgeld von 220.000 Euro verhängt. Er hat aus Kostengründen nur auf seiner Homepage über die gesammelten Daten informiert, da ihm Briefe an alle Betroffenen zu teuer waren und ihm eine Mailadresse nur von einem Bruchteil der Betroffenen vorlag. Das verhängte Bußgeld scheint jedoch eher milde auszufallen, betroffen waren nämlich rund sechs Millionen Einzelunternehmer. In Dänemark hat die Aufsichtsbehörde erstmals eine Empfehlung an die dänische Polizeibehörde ausgesprochen, ein Bußgeld an ein Taxiunternehmen in Höhe von umgerechnet circa 161.000 Euro zu verhängen. Das Unternehmen hat nicht den Anforderungen der DSGVO an Zweckbindung und Speicherbegrenzung von personenbezogenen Daten entsprochen.
Auch kleine Unternehmen betroffen
Die Sanktionen der Aufsichtsbehörden trafen nicht nur Großkonzerne. In Österreich und Deutschland mussten kleine Unternehmen vermehrt Bußgelder von 5.000 Euro zahlen. In einem Fall richtete ein österreichisches Wettlokal aus der Steiermark eine Kamera auf den Bürgersteig aus. Und die Feuerwehr in Bremen speicherte die Sprachaufzeichnungen des Notrufs zu lange auf dem Server. Das zeigt: Unternehmen, die nicht vorbereitet sind, müssen jetzt mit dem Schlimmsten rechnen. Auch die Geldbußen für kleine Unternehmen könnten ansteigen.
Tipps zur Vermeidung der häufigsten Datenschutzverletzungen
- Verfasst die Datenschutzerklärung in einer einfachen und verständlichen Sprache. Die Ausführungen sollten nicht verklausuliert sein. Listet wichtige Informationen auf den ersten Seiten auf. Muss sich der Leser durch versteckte Buttons oder Menüfunktionen kämpfen, verletzt die Datenschutzerklärung die rechtlichen Vorschriften.
- Nutzt für Einwilligungen das Opt-in-Verfahren: Hierbei willigt der Nutzer in die Datenverarbeitung ein, indem er ein Kästchen ankreuzt. Bereits vorab angekreuzte Kästchen stellen keine wirksame Einwilligung dar. Der Nutzer kann die Voreinstellung dann zwar deaktivieren, indem er das Kreuz entfernt (Opt-out), diese Methode ist jedoch rechtswidrig.
- Achtet darauf, dass Nutzerdaten unternehmensintern nicht jedem Mitarbeiter zugänglich sind. Erteilt nur den Nutzern eine Zugriffsberechtigung, die die Daten wirklich benötigen.
- Die datenschutzrechtlichen Vorschriften umfassen nicht nur elektronische Daten. Schreddert Papierdokumente oder sourct diesen Prozess aus. Externe Dienstleister bieten hier als Lösung Datenschutz-Tonnen an.
- Einige Mitarbeiter nutzen externe Festplatten oder USB-Sticks und nehmen die Arbeit mit ins Homeoffice. Stellt hier entsprechende Geräte mit einer Verschlüsselung bereit. Diebe können Daten auf unverschlüsselten Geräten leicht stehlen.
- Verschlüsselt sämtliche E-Mails über automatisierte Tools. Versendet ihr E-Mails aus Bequemlichkeit unverschlüsselt, drohen hier Datenpannen.
- Geht auf Nummer sicher: Wir empfehlen die Implementierung eines Datenschutzmanagementsystems (DSMS). Auf diese Weise lässt sich der Datenschutz systematisch planen, organisieren, steuern und kontrollieren. Das Risiko „Datenpanne“ lässt sich dadurch deutlich minimieren. Unternehmen können mit einem DSMS ihren gesetzlichen Nachweis- und Rechenschaftspflichten nachkommen. Die Dokumentation könnt ihr im Falle eines aufsichtsbehördlichen Verfahrens unterstützend zur Entlastung nutzen.
- Sensibilisiert eure Mitarbeiter für den Umgang mit personenbezogenen Daten!
- Verhaltet euch DSGVO-konform: Prüft im Ernstfall, ob ihr eine Datenpanne der zuständigen Aufsichtsbehörde meldet und die betroffenen Personen informieren müsst.
Wonach richtet sich die Bußgeldhöhe?
Die DSGVO gibt den Behörden für Bußgelder einen weiten Bußgeldrahmen vor. Innerhalb des Rahmens können die Behörden das Bußgeld festlegen. Dabei werden unter anderem folgende Aspekte betrachtet:
- Wie schwer ist der Verstoß?
- Wie wirkt sich der Verstoß aus?
- Handelt es sich um einen „Ersttäter“?
- Handelte das Unternehmen absichtlich?
- Schulte das Unternehmen seine Mitarbeiter?
- Dämmte das Unternehmen den Schaden ein?
- Kooperierte das Unternehmen mit den Behörden?
Gerät euer Unternehmen ins Visier der Aufsichtsbehörden, solltet ihr euch kooperativ verhalten. Auf diese Weise könnt ihr ein Bußgeld abmildern oder sogar vollständig abwehren. Beachtet jedoch: Kooperation bedeutet nicht, voreilig Position zu beziehen. Beantragt zunächst Akteneinsicht bei der zuständigen Datenschutzbehörde. Dann könnt abschätzen, welche Informationen vorliegen und könnt angemessen reagieren.
Wie beugt ihr Bußgeldern vor?
Die Bußgelder durch die Aufsichtsbehörden sind schon jetzt eine reale Bedrohung. Ihr könnt euch gegen Bußgelder schützen, indem ihr die datenschutzrechtlichen Regelungen umsetzt. Beruft einen internen oder externen Datenschutzbeauftragten. Denkt über das Implementieren eines professionellen Datenschutzmanagementsystems nach. Erstellt eine rechtskonforme Datenschutzerklärung. Setzt auf präventive Maßnahmen und sensibilisiert eure Mitarbeiter.
Vielen Dank für den ausführlichen Artikel. Jedoch ein Punkt, der mich zum nachdenken bringt ist das Thema mit der E-Mail Verschlüsselung. Sofern man mit privaten Kunden zu tun hat ist es schwierig diese dazu bewegen ein entsprechendes Zertifikat zu installieren. Noch schwieriger wenn diese Webmailer verwenden. Seitens B2B sehe ich es als machbar an. Aber B2C schwierig.
Oder gibt es neben S/MIME und PGP noch Alternativen, die eben dieses Problem lösen können?
Gruß
Markus
Hallo Markus,
vielen Dank für deine absolut berechtigte Frage. Tatsächlich ist es im B2C-Bereich schwierig, eine solche Verschlüsselung des Transportweges umzusetzen, da die wenigsten Privatpersonen hiervon Gebrauch machen.
Eine simple Inhaltsverschlüsselung ist jedoch auch im B2C-Bereich möglich: Verschlüsseln Sie sensible Informationen bzw. Daten, indem Sie diese zunächst als ZIP-Datei passwortgeschützt abspeichern:
Wähle ein starkes Passwort
Als Verschlüsselungsmethode stelle AES-256 ein (selbst mit Supercomputern schwer zu knacken)
Das Passwort muss separat weitergegeben werden (z. B. via Telefon) oder du wählst ein Passwort, welches dem Empfänger bereits bekannt ist .
Beste Grüße
Dein lawpilots-Team
Also, alle Skeptiker hatten Recht gehabt. Man bestraft (bzw. kann bestrafen) nur kleine Firmen. Ist unser Internet dadurch sicherer geworden? Nein. Ein Papiertiger mit fragwürdigem Nutzen…
Google ist also eine kleine Firma? Interessant. Und abgesehen davon kann bei den Bußgeldern im Portokassenbereich von „Strafe“ keine Rede sein, in Deutschland werden Unternehmen grundsätzlich geschont. Knuddels zum Beispiel hätte in Frankreich deutlich sechsstellig bezahlt.
Was für ein praxisnaher Tipp. „Verschlüsselt alle E-Mails“. Ich würde wirklich gern erfahren, wie die Autoren das für sich gelöst haben.. oO