04 Jun
2019

Ein Jahr DS-GVO – steigt nun die Höhe der Bußgelder?

Seit nunmehr einem Jahr gilt die Datenschutz-Grundverordnung (DS-GVO). Was hat sich seitdem getan? Wie weit sind Sie mit der Umsetzung? Davon, dass die Gefahr von Bußgeldern mit der Zeit sinken wird, sollten Sie nicht ausgehen – „2019 wird das Jahr der Kontrolle“, ließ Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) erst kürzlich verlauten. Wer auf Lücke setze, müsse damit rechnen, dass 2019 ein „schwieriges Jahr“ werde. Verarbeiten Sie in Ihrem Unternehmen personenbezogene Daten, sollten Sie sich also damit befassen, welche Folgen diese Ankündigung für Sie haben könnte.

Immense Anzahl eingegangener Beschwerden

Laut einem Bericht des Europäischen Datenschutzausschusses (EDSA) wurden allein in den ersten neun Monaten seit Geltung der DS-GVO über 200.000 Verstöße bei den nationalen Aufsichtsbehörden gemeldet (EDSA, Bericht „First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities“, abrufbar unter https://edpb.europa.eu/sites/edpb/files/files/file1/19_2019_edpb_written_report_to_libe_en.pdf, Stand: 21.05.2019). So gingen über 90.000 Beschwerden bei den Aufsichtsbehörden ein, während Verantwortliche (die Stellen, die personenbezogene Daten in eigener Verantwortung verarbeiten) in fast 65.000 Fällen eigene Datenpannen meldeten. Von diesen Eingaben wurde erst die Hälfte abschließend bearbeitet.

Bislang verhängte Bußgelder

In den ersten neun Monaten verhängten die Aufsichtsbehörden bereits immense Bußgelder – unionsweit in einer Höhe von insgesamt 56 Millionen Euro. Davon betreffen zwar allein 50 Millionen Euro das von der französischen Datenschutzbehörde gegen Google verhängte Bußgeld. Aber auch die übrigen Bußgelder gegen Unternehmen waren von beachtlicher Höhe: Diese richteten sich u.a. gegen ein Krankenhaus in Portugal (Zugriff auf Patientendaten durch Unbefugte: 400.000 Euro), ein Taxiunternehmen in Dänemark (unzulässige Speicherung von Telefonnummern der Kunden: 160.000 Euro), ein Unternehmen in Polen, das eine kommerzielle Datenbank betrieb (Nichterfüllung von Informationspflichten nach Art. 14 DS-GVO: 220.000 Euro) sowie jüngst gegen einen Zahlungsdienstleister in Litauen (unzureichende Maßnahmen der Datensicherheit sowie Verstoß gegen die Meldepflicht bei Datenpannen: 61.500 Euro).

In Deutschland wurden im letzten Jahr insgesamt 100 Bußgelder in Nordrhein-Westfalen, Hamburg, Baden-Württemberg, Rheinland-Pfalz, Berlin, Sachsen-Anhalt, Thüringen sowie im Saarland verhängt. Diese ergingen beispielsweise in Höhe von 20.000 Euro gegen den Betreiber einer Internetplattform, in Höhe von 50.000 Euro gegen eine Bank sowie 80.000 Euro wegen einer Datenpanne, bei der Gesundheitsdaten im Internet veröffentlicht wurden. Die sanktionierten Verstöße betrafen u.a. unzureichende Maßnahmen der Datensicherheit bei der Datenverarbeitung, die versehentliche Offenlegung von Daten an die falschen Personen, die Aufzeichnung von Telefonanrufen, unzulässige Werbe-E-Mails und offene E-Mail-Verteiler (hier erging das Bußgeld sogar gegen eine Privatperson).

Zukünftig sollen Bußgelder „in aller Regel deutlich höher ausfallen, als es in der Vergangenheit der Fall war“ (LfDI BW, 34. Tätigkeitsbericht Datenschutz 2018, abrufbar unter https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/02/LfDI-34.-Datenschutz-T%C3%A4tigkeitsbericht-Internet.pdf, Stand: 21.05.2019).

Umsetzung der DS-GVO prüfen

Zudem haben mehrere Aufsichtsbehörden der Länder angekündigt, darüber hinaus vermehrt – auch unangekündigte – Kontrollen durchzuführen. Das bedeutet für Sie: Auf einen Verstoß sollten Sie es nicht ankommen lassen. Erfahrungsgemäß haben sich viele Unternehmen im letzten Jahr zunächst intensiv mit der Umsetzung der DS-GVO beschäftigt. Erste Schritte zur Erfüllung grundlegender Pflichten wurden in Angriff genommen. Oft verblieb es aber dabei, einen Datenschutzbeauftragten zu benennen und Datenschutzhinweise zur Erfüllung der Informationspflichten zu erstellen.

Das bedeutet für Sie: Eine mangelnde Umsetzung der DS-GVO birgt weiterhin ein hohes Risiko. Deswegen sollten Sie nun den „Jahrestag“ zum Anlass nehmen, in die zweite Runde „Umsetzung DS-GVO“ zu starten. Überprüfen sie regelmäßig die bei Ihnen stattfindenden Verarbeitungsvorgänge auf ihre Rechtmäßigkeit. Klopfen Sie ab, wo Sie bei der Umsetzung der datenschutzrechtlichen Anforderungen stehen: Stellen Sie beispielsweise sicher, dass Sie im Falle einer Auftragsverarbeitung einen entsprechenden Vertrag mit dem Dienstleister geschlossen haben. Schulen Sie regelmäßig Ihre Mitarbeiter. Überprüfen Sie die Maßnahmen zur Gewährleistung einer angemessenen Datensicherheit. Diese und weitere Schritte werden Ihnen helfen, Bußgelder zu vermeiden.

Rechtsanwältin Johanna Mäkert, LL.M. (Bukarest)

dmp@derra-b.de

Stand: 06/2019