Die neue EU-Datenschutz-Grundverordnung DSGVO ist nun seit einem Jahr (25.05.2018) anwendbar. Was in dieser Zeit, speziell unter Berücksichtigung der neuen drakonischen Bußgelder nach der DSGVO, in der Praxis passiert ist und wie die Behörden und Gerichte reagiert haben, erläutern wir Ihnen in diesem Beitrag.
Inhalt
- Anzahl der Datenschutz-Meldungen und Gesamthöhe der Bußgelder
- Baden-Württemberg verhängt höchstes Bußgeld in Deutschland
- Vorgehensweise der Datenschutzbehörden
- 50 Mio. € Bußgeld – Wen hat es erwischt?
- Urteile zur DSGVO – Das sorgte für Schlagzeilen
- Noch keinen Datenschutz umgesetzt? Das sind die wichtigsten Punkte:
Anzahl der Datenschutz-Meldungen und Gesamthöhe der Bußgelder
In ganz Deutschland ist die Anzahl von Beschwerden und Meldungen bezüglich Datenschutz-Verletzungen stark gestiegen: Monatlich bezifferten sich diese im Jahr 2017 noch auf 400 Meldungen, aktuell ist diese Zahl auf mehr als das dreifache angestiegen. Selbstverständlich ist der Zusammenhang in der Anwendbarkeit der neuen DSGVO und des BDSG-neu seit dem 25.05.2018 zu sehen. Laut der Welt am Sonntag, welche sich auf Umfragen der zuständigen Datenschutzbehörden der Bundesländer in Deutschland bezieht, wurden in Deutschland Bußgelder in einer Gesamthöhe von 485.490 € verhängt. Insgesamt haben sich an der Umfrage 15 von 16 Datenschutzbeauftragten der Bundesländer (Mecklenburg-Vorpommern enthielt sich) an der Umfrage beteiligt.
Die meisten Bußgelder wurden von Nordrhein-Westfalen verhängt (36 Bußgelder), gefolgt von Berlin (18 Bußgelder) und Rheinland-Pfalz (9 Bußgelder). Die höchste Gesamtsumme je Bundesland bezüglich aller Bußgelder erreichte Baden-Württemberg mit 203.000 € in 7 Fällen. In Rheinland-Pfalz wurden in 9 Fällen Bußgelder von insgesamt 124.000 € und in Berlin in 18 Fällen insgesamt 105.600 € verteilt.
Baden-Württemberg verhängt höchstes Bußgeld in Deutschland
Mit 80.000 € verhängte die in Baden-Württemberg zuständige Datenschutzbehörde das höchste Bußgeld in Deutschland. Sanktioniert wurde die Veröffentlichung von Gesundheitsdaten im Internet. Bereits zuvor hat die gleiche Datenschutzbehörde die unverschlüsselte Speicherung von Nutzer-Passwörtern eines Social-Media Anbieters mit einem Bußgeld von 20.000 € geahndet.
Der zuständige Datenschutzbeauftragte in Berlin bestrafte die unbefugte Verarbeitung personenbezogener Daten von Kunden durch eine Bank mit einem Bußgeld von 50.000 €. Andere Bundesländer, wie z.B. Bayern, haben bisher noch keine Bußgelder verhängt. Allerdings lässt die Anzahl der derzeit anhängigen Verfahren (in Bayern aktuell ca. 90 Verfahren) aufhorchen, welche Flut an Bußgeldern noch dazu kommen könnten.
Vorgehensweise der Datenschutzbehörden
Die Datenschutzbehörden der Bundesländer gehen unterschiedlich bei der Prüfung von verantwortlichen Stellen i.S.d. DSGVO vor: Thüringen und Bayern arbeiten beispielsweise mit Fragebögen, die entweder an zufällig ausgewählte Unternehmen gesendet oder an Unternehmen mit den meisten Datenschutz-Beschwerden versendet werden.
In den Fragebögen wird dann schrittweise ermittelt, wie der aktuelle Stand bezüglich der Umsetzung des Datenschutzes ist. So wird z.B. gefragt, ob ein Datenschutzbeauftragter (intern oder extern) bestellt bzw. benannt wurde oder ob erforderliche Auftragsverarbeitungsverträge abgeschlossen wurden.
50 Mio. € Bußgeld – Wen hat es erwischt?
Das höchste Bußgeld in Europa wegen eines Verstoßes gegen die DSGVO hat eine französische Behörde an Google verhängt: Die französische nationale Datenschutzbehörde, die Commission Nationale de l’Informatique et des Libertés (CNIL), verhängte Google am 21.01.2019 ein Bußgeld in Höhe von 50 Mio. Euro. Die Behörde wurde nach zwei Beschwerden von zwei Organisationen, jeweils aus Wien und Paris, gegen Google aktiv.
Inhaltlich ging es um die Einrichtung eines Googe-Accounts auf einem Android-Smartphone. Dabei konnte die Behörde zwei Verstöße gegen die DSGVO feststellen: So soll Google die Informations- und Transparenzpflichten gem. Art. 12 und 13 DSGVO verletzt haben, da die erforderlichen Informationen erst nach mehreren aktiven Schritten in Dokumenten und Links durch den Nutzer angezeigt werden.
Die dargestellten Informationen seien auch nicht klar und verständlich übermittelt wurden, wodurch ein weiterer Verstoß gegen die Informations- und Transparenzpflichten vorliegen soll. Die Beschwerden wurden unmittelbar nach Anwendbarkeit der DSGVO am 25.05.2018 eingereicht.
Urteile zur DSGVO – Das sorgte für Schlagzeilen
Darüber hinaus existieren bereits diverse Urteile zur DSGVO: Das Urteil des EuGH vom 5. Juni 2018 zur gemeinsamen Verantwortlichkeit von Facebook und Betreibern von sog. Facebook-Fanpages sorgte dabei für die größte Aufmerksamkeit. Nach Ansicht des EuGH ist Facebook nämlich nicht allein datenschutzrechtlich für die Datenverarbeitung auf Facebook-Fanpages verantwortlich. Vielmehr sind verantwortliche Stellen, die eine derartige Facebook-Fanpage betreiben, mitverantwortlich für die Einhaltung des Datenschutzes gegenüber den Nutzern der Fanpage.
Dies hat zur Folge, dass z.B. Unternehmen, die eine Facebook-Fanpage betreiben, die Informationspflichten nach der DSGVO erfüllen müssen und ggfs. erforderliche datenschutzkonforme Einwilligungserklärungen für Tracking oder ähnliche Mechanismen von den betroffenen Nutzern einholen muss.
Darüber hinaus muss auch ein Vertrag zur gemeinsamen Verantwortlichkeit mit Facebook abgeschlossenen, der im Wesentlichen regelt, welche Pflichten nach der DSGVO von welcher der beiden Parteien erfüllt wird. Ferner muss diese Vereinbarung auch den Betroffenen zur Verfügung gestellt werden.
Ein weiterer Beschluss wurden durch den Verwaltungsgerichtshof Bayern am 26. September 2018 getroffen: Hiernach ist der Einsatz von Facebook Custom Audiences ohne vorherige datenschutzkonforme Einwilligung der betroffenen Person rechtswidrig. Ferner wurde in diesem Zusammenhang beschlossen, dass Facebook kein Auftragsverarbeiter i.S.v. Art. 28 DSGVO ist und die Datenverarbeitung nicht auf ein berechtigtes überwiegendes Interesse gem. Art. 6 Abs. 1 lit. f) DSGVO gestützt werden kann.
Das Urteil des Kammergerichts Berlin am 27.12.2018 stellte außerdem in Bezug eine Datenschutzrichtlinie von Apple aus dem Jahr 2011 klar, dass die Erfüllung von Informationspflichten nicht die Einholung einer etwaigen erforderlichen Einwilligung ersetzt.
Noch keinen Datenschutz umgesetzt? Das sind die wichtigsten Punkte:
Falls Sie noch keinen Datenschutz in Ihrem Unternehmen umgesetzt haben, sollten Sie zuerst die folgenden Fragen abarbeiten:
- Muss ich einen Datenschutzbeauftragten benennen?
- Habe ich mit allen relevanten Auftragsverarbeitern einen Auftragsverarbeitungsvertrag abgeschlossen?
- Habe ich ein vollständiges Verzeichnis von Verarbeitungstätigkeiten angelegt?
- Wurden meine Mitarbeiter ausreichend in Bezug auf Datenschutz geschult und sensibilisiert?
- Entsprechen die technisch-organisatorischen Maßnahmen zum Schutz personenbezogener Daten in meinem Unternehmen den Anforderungen der DSGVO?
- Erfülle ich die Informations- und Transparenzpflichten in Bezug auf die stattfindenden Datenverarbeitungsprozesse?
- Basieren alle Datenverarbeitungen auf einer konformen Rechtsgrundlage und wo müssen ggfs. noch datenschutzkonforme Einwilligungen von betroffenen Personen eingeholt werden?
- Habe ich erforderliche Verpflichtungserklärungen (z.B. in Bezug auf das Datengeheimnis) von meinen Mitarbeitern eingeholt und datenschutzrechtlich erforderlich Richtlinien an meine Mitarbeiter verteilt?
Bei der Beantwortung dieser und weiterer Fragen unterstützt Sie das Team der Keyed GmbH gerne.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
