Post von den Datenschützern

Aufsichtsbehörden erlassen erste Bußgeldbescheide aufgrund von Verstößen gegen die DSGVO.

Keyfacts

  • In Deutschland und im EU-Ausland ahnden Aufsichtbehörden momentan Verstöße gegen die EU-Datenschutz-Grundverordnung mit Bußgeldern.
  • Bei besonders gravierenden Verstößen können die Bußgelder bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4% des gesamten weltweit erzielten Umsatzes des vergangenen Geschäftsjahres betragen.
  • Die französiche Aufsichtsbehörde CNIL verhängte das bisher höchste bekannt gewordene Bußgeld von 50 Millionen Euro gegen ein amerikanisches Technikunternehmen.
Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

Die Meldung lässt aufhorchen: Die französische Datenschutzbehörde CNIL verhängte ein 50-Millionen-Euro-Bußgeld gegen ein amerikanisches Technikunternehmen. Ein Verstoß gegen das Transparenzgebot sowie rechtswidrige Einwilligungserklärungen der Betroffenen zur Anzeige personalisierter Werbung waren Grund für die hohe Summe.

Spätestens jetzt sollte klar sein, dass die Aufsichtsbehörden ihre Möglichkeiten nutzen, Unternehmen bei Missachtung der EU-Datenschutz-Grundverordnung abzustrafen. Denn der amerikanische Technikgigant ist bisher der prominenteste, aber beileibe nicht der einzige Fall, wie die Medienberichte der letzten Tage zeigen.

Mängel beim Datenschutz

Seit dem 25.05.2018 sind Unternehmen, Vereine und Behörden, öffentliche sowie nicht-öffentliche Stellen dazu verpflichtet, die Vorgaben der DSGVO einzuhalten. Eine Umfrage des Handelsblatts bei den Datenschutzbeauftragten der Bundesländer zeigt, dass es dabei bei vielen Unternehmen offenbar noch gravierende Mängel gibt, denn bundesweit wurden bereits in 41 Fällen Bußgeldbeschiede verhängt. Der Öffentlichkeit wurden bislang im Wesentlichen folgende Sachverhalte bekannt:

Zunächst traf es ein soziales Netzwerk. Eine Datenpanne machte es möglich, dass bei einem Hackerangriff die Passwörter, E-Mail Adressen und Pseudonyme von 330.000 Nutzern abgegriffen und im Internet veröffentlicht worden sind. Die Geldbuße betrug 20.000 Euro. Die gute Kooperation im Rahmen der Aufarbeitung mit der zuständigen Aufsichtsbehörde Baden-Württemberg war nach deren Angabe der Grund für den vergleichsweise niedrigen Betrag.

Ein weiteres Bußgeld wurde gegenüber einem Krankenhaus verhängt. Wieder war es die Aufsichtsbehörde Baden-Württemberg, die den Bescheid erlassen hatte. Viel ist bislang nicht bekannt. Brisant ist der Fall jedoch, da es sich um Gesundheitsdaten handelt, die versehentlich im Internet landeten. Gesundheitsdaten sind als „besondere Kategorien personenbezogener Daten“ gemäß der DSGVO eingestuft. Sie unterliegen erhöhten Schutzanforderungen. Aufgrund unzureichender interner Kontrollmaßnahmen wurde ein Bußgeld von 80.000 Euro verhängt.

Auch die Aufsichtsbehörde in Hamburg blieb nicht untätig. Sie verhängte gegenüber einem Versandunternehmen ein Bußgeld in Höhe von 5.000 Euro. Grund dafür war allein, dass ein Vertrag zur Auftragsverarbeitung nicht geschlossen war. Damit fehlte die Rechtsgrundlage für die Verarbeitung durch den Dienstleister. Zu einem weitergehenden Verstoß war es nicht gekommen. Dies zeigt die Schärfe der DSGVO: auch scheinbar formale Verstöße wie das Fehlen eines Vertrags werden geahndet.

Datenschutzverstöße auch in anderen EU-Ländern

Ein Blick ins europäische Ausland zeigt, das auch dort ein Krankenhaus in das Visier der Behörden gelangt ist. In Portugal wurde gegen eine Klinik ein Bußgeld in Höhe von 400.000 Euro verhängt. Hintergrund waren unzureichende Zugriffsbeschränkungen. Zu viele Personen hatten rechtswidrig Zugriff auf die besonders sensiblen Patienten- und Gesundheitsdaten.

In den Niederlanden geriet eine Versicherungsgesellschaft in das Visier der Datenschutzaufsicht. Für das Fehlen von angemessenen Sicherheitsmaßnahmen bei der Datenverarbeitung, insbesondere auch hier wieder bei der Verarbeitung von Gesundheitsdaten, droht der Versicherungsgesellschaft eine Geldbuße in Höhe von 900.000 Euro.

Blickt man auf die Tätigkeit der Aufsichtsbehörden, zeigt sich, dass sich diese zunehmend mit dem Datenschutz rund um Gesundheitsdaten befassen. Der Website des Bayrischen Landesamtes für Datenschutzaufsicht beispielsweise ist zu entnehmen, dass vielerorts bereits Prüfungen in Arztpraxen durchgeführt werden.

Im Vereinigten Königreich wurde ebenfalls ein Verstoß gegen die DSGVO geahndet. Der Verlust eines USB-Sticks samt nicht-verschlüsselten und nicht-passwortgeschützten Daten durch einen Mitarbeiter des Flughafens London-Heathrow führte zu einer Geldbuße in Höhe von 120.000 Pfund. Im Zuge der Nachforschungen wurde festgestellt, dass nur eine geringe Zahl der Flughafen-Mitarbeiter im Bereich Datenschutz geschult wurde.

Datenschutzverstöße sind vermeidbar

Auch wenn es bislang noch Einzelfälle sind, zeigt sich, dass die Behörden aktiv sind und Verstöße gegen den Datenschutz ein echtes Unternehmensrisiko darstellen. Die bislang veröffentlichten Sachverhalte zeigen aber auch, dass der Verstoß oftmals zu vermeiden gewesen wäre. Dies gilt auch für Branchen, die historisch ein hohes Maß an Datenschutz oder Geheimhaltung für sich in Anspruch nehmen. Die kritische Beschäftigung mit der Datenschutzorganisation des eigenen Unternehmens und die Einführung eines angemessenen und wirksamen Datenschutz-Managementsystems ist das Gebot der Stunde.

Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.