Bußgelder

Bußgelder für Datenschutzverstöße fielen in Deutschland bisher, seit Inkrafttreten des Datenschutz-Grundverordnung (DS-GVO), eher gering aus.

Bußgeld an Delivery Hero Germany GmbH

Das erste und bis dahin höchste Bußgeld wurde gegen das deutsche Unternehmen Delivery Hero Germany GmbH erlassen. Das Unternehmen verwendete die Daten seiner Kunden trotz Widerspruch für weitere Werbe-Mails. Dies stellt einen Verstoß gegen das Recht auf Auskunft sowie das Recht auf Löschung dar. So wurden Kundendaten weiterverarbeitet, obwohl Kunden seit mehreren Jahren nicht mehr auf der Lieferdienstplattform aktiv gewesen waren. Diese „Mehrzahl der Fälle“, wie es die Berliner Datenschutzbeauftrage in der dazugehörigen Pressemitteilung vom 19.09.2019 benannte, brachte dem Unternehmen ein Bußgeld in Höhe von 200.000€ ein.

Bußgeld gegen die Deutsche Wohnen

Ende Oktober 2019 folgte ein weiteres Bußgeld der Berliner Datenschutzbeauftragen in Höhe von rund 14,5 Millionen Euro gegen die Deutsche Wohnen. Diese hat, wie auch die Delivery Hero GmbH, unter anderem gegen die Löschfristen verstoßen. Im Fall der Deutsche Wohnen arbeitet diese mit einem IT-System, dass keine Löschung von Kundendaten vorsah. So konnten „teilweise Jahre alte private Angaben [z. B. Gehaltsbescheinigungen, Selbstauskünfte, …] betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten“, so die Berliner Datenschutzbeauftragte in ihrer Pressemitteilung vom 05.11.19.

Die Aufsichtsbehörden überprüften das Unternehmen bereits 2017. In diesem Rahmen wurde die Empfehlung ausgesprochen das Archivsystem zu erneuern und die Daten zu bereinigen. Im März 2019, nach Inkrafttreten der DS-GVO, wurde die Deutsche Wohnen nochmals überprüft. Dabei wurde festgestellt, dass weder die Datensätze bereinigt wurden noch Rechtsgrundlagen für die Speicherung der Daten über der Erhebungszweck hinaus vorgelegt werden konnten. Zusätzlich erfolgten bisher nur Vorbereitungen zur Beseitigung der Mängel. Aus diesen vielfältigen Gründen verhängte die Aufsichtsbehörde ein Bußgeld in Höhe von 14,5 Millionen Euro.

Die Berliner Datenschutzbeauftragte Maja Smoltczyk weist darauf hin, dass die „Brisanz solcher Missstände“ vor allem in Hinblick auf Cyberangriffe eine enorme Gefahr darstellen. Hier könne es zu massenhaften missbräuchlichen Zugriffen auf die gehorteten „Datenfriedhöfe“ kommen. Doch der Fall der Deutsche Wohnen zeigt, dass auch ohne schwerwiegende Folgen bereits ein eklatanter Verstoß gegen die Grundsätze des Datenschutzes vorliegt. Schlussendlich empfiehlt sie „allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.“

Wie setzen sich Bußgelder zusammen?

Grundsätzlich sind die Aufsichtsbehörden dazu verpflichtet, dass Bußgelder zum einen wirksam und verhältnismäßig sind und zum anderen auch abschreckend wirken. Der allgemeine Rahmen gemäß DS-GVO liegt bei bis zu 20 Millionen Euro (für besonders gravierende Verstöße gemäß Art. 83 Abs. 5 DS-GVO) oder für Unternehmen bei 4 % des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr. Im Oktober 2019 stellte die „Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK)“ ihr Konzept zur „Bußgeldzumessung in Verfahren gegen Unternehmen“ vor.

Als Bemessungsgrundlage dient wiederum der weltweit erzielte Vorjahresumsatz des betroffenen Unternehmens. Nun wird der Schweregrad (Begleitumstände, Eigenverschulden, missbräuchliche Zugriffe durch Dritte, …) der Datenschutzverletzung ermittelt. Infolgedessen wird der zuvor ermittelte wirtschaftliche Grundwert mit dem Faktor der Schwere der Tatumstände multipliziert. Zum Schluss werden zusätzlich alle be- und entlastenden Hinweise herangezogen und nach den gesetzlichen Kriterien ausgewertet. So wirken sich etwa die Zusammenarbeit im Falle der Prüfung oder die bereits ergriffenen Maßnahmen zur Beseitigung der Missstände als bußgeldmildernd aus. Sie führen neben anderen Begleitumständen zu einem niedrigen bis hohen Wert innerhalb des berechneten Bußgeldrahmens.

Das Bußgeldkonzept der DSK kann unter diesem Link nachverfolgt werden!

Darüber hinaus bietet hier e-Recht 24 einen Bußgeldrechner anhand der Vorgaben der DSK an.

Kontaktieren Sie uns!

Wir stehen Ihnen gerne zur Verfügung, falls Sie zu diesem oder zu anderen Themen weitergehende Fragen im Bereich des Datenschutzes haben.

Wir betreuen Unternehmen, Vereine oder gemeinnützige Organisationen bei der Umsetzung des betrieblichen Datenschutzes in der Datenschutz-Grundverordnung (DS-GVO) und im Gesetz über den Kirchlichen Datenschutz (KDG). Hierzu entwickeln wir auf Ihr Unternehmen, Ihren Verein oder Ihre gemeinnützige Organisation abgestimmte Datenschutzkonzepte und unterstützen Sie aktiv bei der Umsetzung. Gerne beraten wir auch Sie bei der Umsetzung Ihres Projektes.

Nehmen Sie gerne jederzeit Kontakt zu uns auf.

zurück zum Blog