Es kann teuer werden: Erste Bußgelder nach der Datenschutz-Grundverordnung verhängt

Allem Wirbel um die europäische Datenschutz-Grundverordnung (DS-GVO) zum Trotz haben viele Unternehmen die strengen Vorgaben noch nicht vollständig umgesetzt. Dies kann nun unter Umständen teuer werden: Die Behörden können Geldbußen (sogar bis in Millionenhöhe) verhängen oder die weitere Datenverarbeitung untersagen. Und auch das Image kann in der Öffentlichkeit erheblichen Schaden nehmen. Dass mit der DS-GVO nicht zu spaßen ist, hat sich in letzter Zeit an konkreten Beispielen deutlich gezeigt – vor allem bei der Chat-Plattform „Knuddels“ und bei Google.

Um was ging es genau?

Die Chat-Plattform Knuddels war zum Opfer eines Hackerangriffs geworden, in dessen Folge persönliche Daten der Nutzer, wie E-Mail-Adressen mit den dazugehörigen Passwörtern, veröffentlicht wurden. Dies war offenbar möglich, da Kundendaten im ,,Klartext‘‘ auf den Unternehmensservern gespeichert worden sein sollen. Laut Datenschutzrecht müssen Nutzerdaten verfremdet werden, so dass die Daten für Dritte unbrauchbar sind. Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg verhängte daher ein Bußgeld über mehrere Tausend Euro wegen Verstoßes gegen Art. 32 Abs. 1 lit a) DS-GVO.

Google muss voraussichtlich sogar ein Bußgeld in Millionenhöhe wegen mehrerer Verstöße gegen die DS-GVO zahlen. Die französische Datenschutzaufsichtsbehörde CNIL bemängelte, dass es an Transparenz für Nutzer fehle, denen nicht klar sei, in welchem Ausmaß Daten verwendet würden. Zudem seien Informationen unklar und für den Nutzer schwierig zu erfassen. Die Einwilligungen, welche Google von seinen Nutzern einhole, seien teils nicht wirksam.

Auch wenn in der Regel nur die großen DS-GVO-Fälle öffentlich bekannt werden – Unternehmen jeder Größenordnung können bei Anhaltspunkten für Verstöße gegen den Datenschutz in den Fokus der Behörden geraten. Die Aufsichtsbehörden mehrerer Bundesländer haben angekündigt, weiterhin auch anlasslos zu überprüfen, ob die Vorschriften eingehalten werden. So laufen bei dem Bayerischen Landesamt für Datenschutzaufsicht bereits seit dem 6.11.2018 Datenschutzprüfungen zur Umsetzung des DS-GVO bei kleinen und mittelständischen Unternehmen.

Aktuell stehen auch Kontrollen des Löschens von Daten aus ERP-Systemen bei Unternehmen mit SAP-Software an. Nach Art. 17 DS-GVO müssen personenbezogene Daten grundsätzlich gelöscht werden, wenn einer der dort aufgeführten Fälle vorliegt.

Keine gute Idee ist es übrigens, bestehende Datenverarbeitungsprobleme im Unternehmen einfach nicht zu melden. Zeigt man eine „Datenlücke“ nicht unverzüglich an – das heißt innerhalb von 72 Stunden – und unterstützt dadurch nicht bei der Aufklärung, drohen noch empfindlichere Bußgelder.

Bisher haben die Deutschen Aufsichtsbehörden über 40 Bußgeldbescheide erlassen, die Mehrzahl in Nordrhein-Westfalen. Dabei ist zum jetzigen Zeitpunkt noch offen, in welchem Umfang die DSG-VO die Gerichte beschäftigen wird. Google hat jedenfalls angekündigt, gegen die Entscheidung der Aufsichtsbehörde vorzugehen. Denkbar sind schließlich auch Schadensersatzklagen von Verbrauchern, die von Datenschutzverstößen betroffen sind.

Unternehmen – gleich welcher Größe – sollten ihre internen Prozesse fit machen für die DS-GVO. Sinnvoll kann es außerdem sein, sich untereinander über die Erfahrungen im Datenschutz auszutauschen, z.B. hier.

Ansprechpartner: Dr. Jost Eder/Alexander Bartsch/Thomas Schmeding