Datenschutz-Aufsichtsbehörden verhängen erste Bußgelder
 
 
 | 
DSGVO

Datenschutz-Aufsichtsbehörden verhängen erste Bußgelder

Bald feiert die EU-Datenschutzgrundverordnung (DSGVO) ihr Einjähriges. Zeit für ein erstes Resümee, um über die ersten Bußgelder wegen Datenschutzverstößen zu berichten. In 41 Fällen sollen die Behörden Unternehmen aller Größen sanktioniert haben, wie kürzlich das Handelsblatt meldete. Weitere Verfahren sollen noch laufen. Auslöser sind häufig Beschwerden von Betroffenen.

Bisher sind bundesweit vier Aufsichtsbehörden bekannt, die Datenschutzverstöße geahndet haben. Mit 33 verhängten Bußgeldbescheiden liegt der Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen zwar vorne. Die Strafen sollen jedoch insgesamt nur bei 15.000 € liegen. Deutlich tiefer mussten Unternehmen wegen ihres Fehlverhaltens in Baden-Württemberg in die Tasche greifen: Nur zwei Bescheide der Aufsichtsbehörde summierten sich auf 100.000 €. Darunter die medial diskutierte Datenpanne des Chat-Plattformbetreibers Knuddels, dem Hacker Passwörter, E-Mails und Pseudonyme von 33.000 Nutzern abgriffen. Knuddels hatte seine Kundendaten unbedacht im Klartext auf seinen Server gespeichert und wurde dafür mit 20.000 € sanktioniert. Nur weil der Plattformbetreiber kooperativ mitwirkte, verhängte ihm die Aufsichtsbehörde eine milde Strafe. Die jüngste Diskussion löste die Aufsichtsbehörde in Hamburg aus, die einem kleinen Versandhaus über 5.000 € Bußgeld wegen eines fehlenden Auftragsverarbeitungsvertrages verhängt haben soll. Angeblich soll das kleine Unternehmen zuvor die Aufsichtsbehörde in Hessen um Rat gebeten haben. Eine grundlegende und in der Praxis nicht immer leicht zu beantwortende Frage bleibt offen: Besteht überhaupt ein Auftragsverarbeitungsverhältnis zwischen den Parteien?

Die Liste der geahndeten Verstöße bestätigt die Anforderung, sowohl den sorgfältigen Umgang mit sensiblen Daten oder Kontakten, als auch die Sicherheit der Datenverarbeitung zu gewährleisten. Primär sanktionierten die Behörden folgende Datenschutz-Verstöße:

  • Unzureichende technische und organisatorische Maßnahmen eines Hotels: Bei einem Hackerangriff konnte es den Verlust von u.a. Kreditkartendaten seiner Kunden nicht ausschließen.
  • Unzureichende interne Kontrollmechanismen führten zur Veröffentlichung von sensiblen Gesundheitsdaten im Netz oder
  • Die Übermittlung von Gesundheitsdaten an den falschen Patienten durch ein Krankenhaus.
  • Beim Online-Banking die unbefugte Offenlegung von Kontoauszügen an Dritte.
  • Unzulässiges Versenden von werblichen E-Mails, als auch die verbotene Nutzung von Dashcams.

Viele Aufsichtsbehörden haben zwar noch keine Bußgelder bekannt gegeben. Entgegen aller Befürchtung sind die Sanktionen bisher unter den Erwartungen geblieben. In dem ersten Jahr der DSGVO stiegen jedoch die Anfragen von Betroffenen deutlich an. So verzeichnete allein die Dienstelle des rheinland-pfälzischen Datenschutzbeauftragten nach eigenen Angaben täglich um die 200 Anrufe. Es ist daher nur eine Frage der Zeit, bis die Aufsichtsbehörden nachziehen werden. Unternehmen sollten daher nicht länger ihre Datenschutzprobleme vor sich her schieben oder nur halbherzig voranbringen. Künftig müssen Unternehmen aller Größen zudem mit Verbandsklagen von Verbraucherverbänden oder Musterfeststellungsklagen rechnen.

 

Ihre Ansprechpartnerin:

Sabrina Brameshuber
Beraterin Datenschutz
E-Mail: s.brameshuber@bitkom-service.de
Tel.: 030 27576-159