Bußgelder

Bußgelder für Datenschutzverstöße fielen in Deutschland bisher seit in Kraft treten des Datenschutz-Grundverordnung (DS-GVO) eher geringer aus.

Das erste und bis dahin höchste Bußgeld wurde gegen das deutsche Unternehmen Delivery Hero Germany GmbH erlassen. Das Unternehmen verwendete die Daten seiner Kunden trotz Widerspruch für weitere Werbe-Mails und verstoß gegen das Recht auf Auskunft, sowie das Recht auf Löschung. So wurden Kundendaten weiterverarbeitet, obwohl Kunden seit mehreren Jahren nicht mehr auf der Lieferdienstplattform aktiv gewesen waren. Diese „Mehrzahl der Fälle“, wie es die Berliner Datenschutzbeauftrage in der dazugehörigen Pressemitteilung vom 19.09.2019 benannte, brachte dem Unternehmen ein Bußgeld in Höhe von 200.000€ ein.

Ende Oktober 2019 folgte ein weiteres Bußgeld der Berliner Datenschutzbeauftragen in Höhe von rund 14,5 Millionen Euro gegen die Deutsche Wohnen. Diese hat wie auch die Delivery Hero GmbH unter anderem gegen die Löschfristen verstoßen. Im Fall der Deutsche Wohnen arbeitet diese mit einem IT-System, dass keine Löschung von Kundendaten vorsah. So konnten „teilweise Jahre alte private Angaben [z. B. Gehaltsbescheinigungen, Selbstauskünfte, …] betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten“, so die Berliner Datenschutzbeauftragte in ihrer Pressemitteilung vom 05.11.19. Das Unternehmen wurde bereits 2017 durch die Aussichtsbehörde geprüft. In diesem Rahmen wurde die Empfehlung ausgesprochen, das Archivsystem zu erneuern und die Daten zu bereinigen. Als nun im März 2019, nach in Kraft treten der DS-GVO, im Zuge einer erneuten Prüfung weder die Datensätze bereinigt wurden noch Rechtsgrundlagen für die Speicherung der Daten über den Erhebungszweck hinaus vorgelegt werden konnten und bisher nur Vorbereitungen zur Beseitigung der Mängel erfolgten, wurde ein Bußgeld aufgrund dieses strukturellen Verstoßes in Höhe von 14,5 Millionen Euro verhängt.

Die Berliner Datenschutzbeauftragte Maja Smoltczyk weist darauf hin, dass die „Brisanz solcher Missstände“ vor allem in Hinblick auf Cyberangriffe eine enorme Gefahr darstellen, da es hier zu massehaften missbräuchlichen Zugriffen auf die gehorteten „Datenfriedhöfe“ kommen kann. Doch der Fall der Deutsche Wohnen zeigt, dass auch ohne diese schwerwiegenden Folgen bereits ein eklatanter Verstoß gegen die Grundsätze des Datenschutzes vorliegen. Schlussendlich empfiehlt Sie „allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“

Wie setzen sich Bußgelder zusammen?

Grundsätzlich sind die Aufsichtsbehörden dazu verpflichtet, dass Bußgelder zum einen wirksam und verhältnismäßig sind und zum anderen auch abschreckend wirken. Der allgemeine Rahmen gemäß DS-GVO liegt bei bis zu 20 Millionen Euro (für besonders gravierende Verstöße gemäß Art. 83 Abs. 5 DS-GVO) oder für Unternehmen bei 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Im Oktober 2019 hat die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK)“ ihr Konzept zur „Bußgeldzumessung in Verfahren gegen Unternehmen“ vorgestellt.

Als Bemessungsgrundalge dient wiederum der weltweit erzielte Vorjahresumsatz des betroffenen Unternehmens. Nach der Bewertung des Schweregrades (Begleitumstände, Eigenverschulden, missbräuchlichen Zugriffe durch Dritte, …) wird der zuvor ermittelte wirtschaftliche Grundwert mit dem Faktor der Schwere der Tatumstände multipliziert. Zum Schluss werden zusätzlich alle be- und entlastenden Hinweise herangezogen und nach den gesetzlichen Kriterien ausgewertet. So wirken sich z. B. die Zusammenarbeit im Falle der Prüfung oder die bereits ergriffenen Maßnahmen zur Beseitigung der Missstände, als bußgeldmildernd aus und führen je nach anderen Begleitumständen, zu einem niedrigen bis hohen Wert innerhalb des berechneten Bußgeldrahmens.

Das Bußgeldkonzept der DSK kann unter diesem Link nachverfolgt werden!

Darüber hinaus bietet hier e-Recht 24 einen Bußgeldrechner anhand der Vorgaben der DSK an.

zurück zum Blog