Die Datenschutzbehörden machen bei Bußgeldern ernst: Die Deutsche Wohnen soll in Berlin ein Bußgeld von 14,5 Millionen Euro zahlen. Die französische Datenschutzbehörde verhängte gegen den Google ein DSGVO Bußgeld in Höhe von 50 Millionen Euro. Und auch mittlere und kleine Unternehmen sind betroffen. So musste zum Beispile Delivery Hero knapp 200.00 Euro Bußgeld in Deutschland zahlen. Aber wofür drohen eigentlich Bußgelder? Ahnden die Datenschutzbehörden wirklich jeden Verstoß? Und wie hoch können die Bugelder der DSGVO ausfallen?
Inhaltsverzeichnis
- Achtung: Jetzt versenden die Behörden DSGVO Bußgelder
- Zahlreiche Beschwerden gegen Streaming-Anbieter anhängig
- Checkliste
Anzeige
1. Achtung: Jetzt versenden die Behörden DSGVO Bußgelder
Sie bereiteten sich nicht auf die DSGVO vor? An einigen Stellen hapert es noch? Die Datenschutzbehörden folgen dem Grundsatz „Gnade vor Recht“ nicht mehr. Die Umsetzungsfrist der DSGVO lief im Mai 2018 ab. Deshalb müssen Sie jetzt für die DSGVO fit sein und Sanktionen vermeiden. Fragen Sie bei den Datenschutzbehörden besser nicht um Rat. Ein Unternehmen ersuchte die Datenschutzbehörde im Mai 2018 um Hilfe und erhielt statt einer Antwort eine Geldbuße in Höhe von 5.000 Euro. Für größere Unternehmen ist eine Datenschutzverletzung noch teurer: Bei Amazon ist ein DSGVO Bußgeld von bis zu 6,3 Milliarden Euro möglich, bei Apple sogar von bis zu acht Milliarden Euro.
Bußgelder nach der DSGVO: Wie hoch können diese sein?
Wie hoch ein DSGVO Bußgeld ist, entscheiden die Landesbeauftragten der Datenschutzbehörden im Einzelfall. Der Bußgeldrahmen ist schwindelerregend hoch und in Art. 83 DSGVO festgehalten. Der Art. 83 DSGVO berücksichtigt bei der Höhe von Geldbußen, was für eine Datenschutzverletzung vorliegt.
Verletzt ein Unternehmen seine Zertifizierungs- oder Überwachungspflichten oder bestimmte Vorschriften der DSGVO, ist ein Bußgeld von bis zu 10 Millionen Euro möglich. Die Aufsichtsbehörden verhängen alternativ ein Bußgeld von bis zu zwei Prozent des weltweiten Jahresumsatzes. Sie verhängen immer den höheren Betrag. Missachtet ein Unternehmen eine Anweisung einer Aufsichtsbehörde, sind die Geldbußen doppelt so hoch. DSGVO Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes sind auch in anderen Situationen möglich.
Beispielsweise, wenn ein Unternehmen schwerwiegende Rechtsverstöße begeht. Diese sind in Art. 83 Absatz 5 DSGVO aufgelistet.
Beispiel: Ein Unternehmen stellt einen Datenschutzbeauftragten ein. Dieser muss die Mitarbeiter im Unternehmen über die DSGVO und die damit verbundenen Pflichten aufklären. Führt das Unternehmen keine internen Schulungen durch, ist eine Geldbuße von bis zu zehn Millionen Euro fällig. Viel schwerwiegender ist es aber, wenn ein Unternehmen gegen seine gesetzlichen Informationspflichten verstößt. Veröffentlicht ein Unternehmen keine Datenschutzerklärung, beträgt die Geldbuße bis zu 20 Millionen Euro.
Das Beispiel verdeutlicht, dass sich die Sanktionen und die Höhe der Geldbuße nach der Art der Datenschutzverletzung richtet. Viele Datenschutzverletzungen wenden Sie durch einfache Maßnahme ab. Die Kosten für eine Rechtsberatung sind hier vergleichsweise gering. Entdecken die Datenschutzbehörden eine Datenschutzverletzung, ist ein DSGVO Bußgeld oft unausweichlich.
Wonach bemisst sich die Höhe der Bußgelder?
Die Strafen nach der DSGVO müssen verhältnismäßig sein. Die Datenschutzbehörden sehen sich jeden Verstoß gesondert an und bewerten dann, wie schwerwiegend dieser ist. Wie hoch bei einem DSGVO Verstoß ein Bußgeld ist und welche anderen Sanktionen infrage kommen, hängt von verschiedenen Faktoren ab:
- Wie schwer ist die Datenschutzverletzung und wie lange hielt diese an?
- Wie viele Personen betrifft die Datenschutzverletzung?
- Welcher Schaden entstand?
- Handelte das Unternehmen absichtlich?
- Dämmte das Unternehmen den Schaden ein?
- Liegen mehrere Verstöße vor?
- Handelt es sich um einen Wiederholungstäter?
- War der Datenschutzbeauftragte des Unternehmens kooperativ?
- Verschleierte das Unternehmen den Verstoß?
- Gibt es mildernde Umstände?
Die DSGVO Bußgelder Höhe und die Art der Sanktionen bestimmen sich nach diesen Fragen. Verstoßen Sie gegen die DSGVO, handeln Sie am besten schnell. Betreiben Sie Schadensbegrenzung und beurteilen Sie anhand der oben aufgeworfenen Fragen, wie Sie am besten vorgehen.
Läuft gegen Sie bereits ein Bußgeldverfahren? Oder benötigen Sie wegen einer Datenpanne anwaltliche Beratung zu DSGVO-Verstößen? Kontaktieren Sie jetzt die Kanzlei Siebert Goldberg LLP!
2. Zahlreiche Beschwerden gegen Streaming-Anbieter anhängig
Derzeit sind Beschwerden gegen zahlreiche Streaming-Anbieter anhängig. Der Datenschutzaktivist Max Schrems forderte von namhaften Streaming-Anbietern Auskünfte nach der DSGVO ein. Die betroffenen Unternehmen verletzten ihre dahingehenden Auskunftspflichten. Der renommierte Aktivist für Datenschutz reichte daraufhin gegen alle Anbieter Beschwerden ein. Darunter befinden sich die Unternehmen YouTube, Spotify, Netflix, Amazon Prime und Apple Music.
Die Bußgeldverfahren nach der DSGVO richten sich aber nicht nur gegen die Großen der Branche – derzeit sind zahlreiche Beschwerden gegen mittelständische und kleine Unternehmen anhängig. Sie müssen sich nicht nur auf eine Geldbuße, sondern auch auf andere Sanktionen einstellen.
3. Diese Unternehmen sind bereits betroffen
Diese Unternehmen bereiteten sich nicht gut genug auf die DSGVO vor. Deshalb verhängten die Datenschutzbehörden Bußgelder gegen die Betroffenen.
Deutsche Wohnen: 14,5 Millionen Euro
Eine der größten Wohnungsgesellschaften in Deutschland hatte nach Angaben der Berliner Aufsichtsbehörde zahlreiche Mieterdaten nicht oder nicht korrekt gelöscht. Dazu zählten Daten zu Gehaltsbescheinigungen, Arbeitsverträge oder Steuerunterlagen der Mieter. Das Unternehmen wurde mehrfach von den Datenschützern aufgefordert, Mieterdaten die nicht länger als erlaubt zu speichern udn diese zu löschen. Die Deutsche Wohnen reagierte hier aber nicht oder nicht so wie es nötig gewesen wäre. Das Ergebnis: Ein Bußgeldbescheid von 14,5 Millionen Euro. Dieser ist noch nicht rechtskräftig. Ob das Bußgeldverfahren seine Fortsetzung vor Gericht findet muss man abwarten.
Google: 50 Millionen Euro
Den Internetgiganten Google erwischte es eiskalt. Die französische Datenschutzbehörde CNIL verhängte ihr erstes DSGVO Bußgeld gegen Google. Dieses betrug 50 Millionen Euro und sanktionierte einen rechtswidrigen Einrichtungsprozess auf dem Betriebssystem Android. Die Datenschutzbehörde bemängelte, dass Nutzer des Betriebssystems Android essenzielle Datenschutzinformationen nicht oder nur schwer einsehen können. So könnten sie nur schwer herausfinden, wie lange Google die Daten der Nutzer speichert und wie es diese weiterverarbeitet. Außerdem sei es nicht rechtskonform, wie der Nutzer der Erstellung eines Accounts bei Google zustimmen müsse. Auch das Einstellungsmenü für personalisierte Werbung sei rechtswidrig. Hier seien individuelle Einstellungsmöglichkeiten umständlich versteckt.
Delivery Hero: fast 200.00 Euro
Das Berliner Unternehmen muss wegen nicht gelöschter Kundendatensätzen und unzulässigen Werbemails ein Bußgeld von 195.407 Euro zahlen. Das ist das höchste Bußgeld gegen ein Unternehmen in Deutschland, das wegen Datenschutzverstößen nach der DSGVO bisher rechtskräftig verhängt wurde.
Kolibri Image: 5.000 Euro
Das Unternehmen Kolibri Image ersuchte den Hamburger Landesbeauftragten im Mai 2018 um Rat. Die kleine Firma bat einen ihrer Dienstleister mehrfach um einen Vertrag zur Auftragsverarbeitung, bekam diesen aber nicht. Sie war ratlos und fragte nach, wie sie nun vorgehen solle. Der Landesbeauftragte antwortete, dass beide Seiten zu solch einem Vertragsschluss verpflichtet seien. Kolibri Image müsse den Vertrag deshalb selbst absenden und dürfe den Dienstleister erst nach Vertragsschluss beauftragen. Der Landesbeauftragte versendete am 17.12.2018 einen Bußgeldbescheid in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren. Er begründete den Bescheid gegenüber dem Unternehmen mit einem Verstoß gegen Art. 83 Absatz 4 DSGVO. Der Grundsatz „Fragen kostet nichts“, traf hier nicht zu.
Knuddels: 20.000 Euro
Auch das Chatportal Knuddels musste ein DSGVO Bußgeld zahlen. Der Betreiber der Plattform informierte seine überwiegend jungen Kunden im September 2018 erstmalig über eine Datenpanne. Auf einer Filesharing-Seite veröffentlichten Nutzer über 800.000 E-Mail-Adressen, die aus der Datendank von Knuddels stammen. Die Betreiber fanden die Ursache schnell heraus: Die Daten lagen unverschlüsselt und im Klartext auf einem älteren Server. Knuddels reagierte umgehend und verbesserte sofort die IT-Sicherheit im Unternehmen. Die baden-württembergische Datenschutzbehörde lobte den Betreiber für sein vorbildliches Verhalten. Deshalb war das Bußgeld mit 20.000 Euro auch vergleichsweise gering.
Kliniken
Eine Klinik musste ein DSGVO Bußgeld zahlen, da es einen Schwerbehindertenausweis versehentlich an einen falschen Patienten aushändigte.
Banken
Die Datenschutzbehörden verhängten DSGVO Bußgelder gegen verschiedene Banken. Dort konnten Bankkunden beim Online-Banking die Kontoauszüge anderer Personen einsehen.
Onlineshops
Auch viele Onlineshops mussten bereits DSGVO Bußgelder zahlen. Beispielsweise, weil Hacker unbefugt Daten ihrer Kunden kopierten.
Feuerwehr
Eine Feuerwehrzentrale in Bremen zeichnete sämtliche Telefonate mit Personen auf. Dies ist aber nur bei Notrufen erlaubt. Dies sanktionierten die Behörden mit einem Bußgeld.
Videoüberwachung
Unternehmen, die Videokameras nutzen, erhielten schon oft DSGVO Bußgelder. Diese müssen ihre Kameras DSGVO-konform ausrichten.
Arbeitsrecht
Die DSGVO wirkt sich auch auf das Arbeitsrecht aus. Richten Sie Bewerbungsprozesse unbedingt nach den Vorgaben der Datenschutz-Grundverordnung und der BDSG aus. Holen Sie als Arbeitgeber für die Datenverarbeitung immer eine Einwilligung der Bewerber ein.
6. Checkliste
Sie möchten BDSG und DSGVO Bußgelder vermeiden? Dann setzen Sie schnell die Vorgaben der DSGVO um:
Bestellen Sie einen Datenschutzbeauftragten oder einen Anwalt.
Richten Sie sämtliche Prozesse im Unternehmen nach der DSGVO aus.
Holen Sie für eine Datenverarbeitung immer eine Einwilligung ein.
Melden Sie Datenschutzverletzungen schnellstmöglich.
Die fünf wichtigsten Fragen zur DSGVO und Bußgeldern:
1. Wie hoch sind DSGVO Bußgelder?
Der Bußgeldkatalog der DSGVO sieht Geldbußen von bis zu 20 Millionen Euro vor. Die Aufsichtsbehörde darf aber auch Bußgelder von bis zu vier Prozent des weltweit erzielten Jahresumsatzes des letzten Geschäftsjahres als Geldbuße verhängen. Maßgeblich ist der höhere der beiden Werte.
Wir haben für eine erste Orientierung hier einen DSGVO-Bußgeldrechner für Sie entwickelt.
2. Wonach bemisst sich die Höhe von DSGVO Bußgeldern?
Wie hoch ein DSGVO Bußgeld ist, hängt von verschiedenen Faktoren ab. Die Punkte, die die Landesbeauftragten berücksichtigen, sind im Artikel in Stichpunkten aufgelistet.
3. Trifft es nur die großen Unternehmen?
Derzeit müssen insbesondere große Unternehmen mit DSGVO Bußgeldern rechnen. Kleine Unternehmen erhielten von den Landesbeauftragten aber auch schon Bußgeldbescheide – die DSGVO gilt für alle Marktteilnehmer.
4. DSGVO: Sind Bußgelder für Behörden möglich?
Die DSGVO hat eine Öffnungsklausel: Jeder Staat der Europäischen Union darf selbst entscheiden, ob er Bußgelder gegenüber Behörden verhängt. Deutschland hat in § 43 Absatz 3 BDSG festgelegt, dass Bußgelder gegen Behörden nicht möglich sind.
5. Wie vermeiden Unternehmen ein DSGVO Bußgeld?
- Beauftragen Sie für Ihr Unternehmen einen professionellen Datenschutzbeauftragten.
- Melden Sie Datenpannen unverzüglich bei der zuständigen Aufsichtsbehörde.
- Informieren Sie sich in unserem Online-Webinar darüber, wie Sie die Fallstricke der DSGVO vermeiden.
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
Ich bin ehrenamtlich in einem Sportverein tätig.
Jetzt hat der Kassenwart ohne die Zustimmung der Trainer eine Liste mit
Trainernamen
Adresse
Handynummer.
Emailadresse an alle Trainer Versand
Was kann ich gegen diese Maßnahmen unternehmen?
Was war der Grund der Liste?
Dies sollte man als Aufhänger für eine Schulungsmassnahme nehmen. Weiterhin sollte jemand im Verein als Anlaufstelle für den Datenschutz fungieren. Diese muß im Verein bekanntgemacht werden, damit im konkreten Fall der Vorstand und/oder die Vereinsmitglieder darauf zurückgreifen können.
Knuddels hat sich ausserdem verpflichtet rund 80t Euro in IT Sicherheit zu investieren, was bei der Bemessung des Bußgeldes auch relevant war.
eine Recherche wie die DSGVO bei Webradios (mehrere tausend) anzuwenden ist hat bisher nichts ergeben, weil diese Art von I-Net-Auftritten nirgendwo behandelt wird.
Also meine Frage;
gibt es eine genaue Vorgehensweise bei Webradios und was passiert bei Verstössen, bzw . an wen können Verstösse gemeldet werden?
Vielen Dank im Voraus.
D. Fahrenberg
ich bin als Grafikerin mit einem Kleinunternehmen angemeldet. Kann ich selbst die Datenschutzbeauftragte sein?
Wenn es um die Datensicherheit geht, sprechen Sie vermutlich nur von personenbezogenen Daten?
Vielen Dank für ihre Antwort,
Katinka
Sofern Ihr Unternehmen weniger als 10 Mitarbeiter hat, die mit der Verarbeitung personenbezogener Daten betraut sind, müssen Sie keinen Datenschutzbeauftragten bestellen. Aber selbst dann, dürfen Sie diese Funktion nicht in Personalunion ausführen, wenn Sie zugleich auch personenbezogene Daten verarbeiten oder Geschäftsführerin sind.
es steht Ihnen grundsätzlich frei sich an jede Aufsichtsbehörde zu wenden. Dies soll es für Betroffene einfacher machen. Ich bin mir allerdings nicht sicher welche Daten dort kopiert wurden. Handelt es sich denn um personenbezogene Daten? (Namen, Adressen von Personen, Bilder von Personen, Teilnehmerliste etc.) Oder nur um die Informationen zu einem Event? Auch hier kann Ihnen die Behörde im Zweifelsfall bei der Einschätzung helfen.
Beste Grüße
Franz Schwedler
ich bin ehrenamtlicher Vorstand in einem Sportverein. Wir haben uns bis zum Erbrechen mit DSGVO beschäftigt und sind - so weit das irgendwie möglich ist - compliant.
Jetzt tritt ein neues US-Startup auf (Evensi), kopiert alle Daten aus allen unseren Facebookevents (Bilder + Texte) und dupliziert die Events damit auf ihrer Website. Dazu kommt eine Mail (neben dem üblichen "wir sind das Google der weltweiten Eventszene") mit dem Hinweis, dass wir in die größte Eventdatenbank der Welt aufgenommen wurden und gerne $70 USD pro Monat zahlen könnten, damit Evensi seine eigene Homepage auf Facebook bewirbt.
Wir haben Löschung und strafbewehrte Unterlassungserklärung gefordert. Gelöscht wurde, Unterlassungserklärung wurde nicht abgegeben. Die Firma hat weder einen Datenschutzbeauftragten noch sonst irgendwas mit Datenschutz am Hut.
Nachdem die Events nach dem Löschen nun wieder alle eingestellt wurden, frage ich mich: was können wir tun? Eine Klage dürfte weder in unserem finanziellen noch zeitlichen Budget liegen (gerade da Firmensitz: USA). Wo kann man den Verstoß melden?
BG
Zender
wir - als Spezialisten im Thema Datenschutz - möchten Sie gerne sowohl bei AV-Verträgen, als auch bei DSK-Verträgen unterstützen und informieren.
Kontaktieren Sie uns für ein unverbindliches Erstgespräch: office
ich möchte mich als Inhalber einer kleinen Webdesign-Agentur darüber informieren, ob es bei Ihnen möglich ist, AV-Verträge zu generieren? Zwecks der DSGVO mit meinen Kunden.