Blog
Datenschutz - Strafen und Bußgelder vermeiden
Die Behörden ahnden verstärkt Datenschutzverstöße von Unternehmen. Wir zeigen an drei Beispielen, wie hoch die Strafen und Bußgelder waren, weswegen sie verhängt wurden und wie man sie vermeidet!
Öffentliche Listen von Datenschutzverstößen
Drei Jahre nach Inkrafttreten der DSGVO ahnden die Datenschutzbehörden verstärkt Datenschutzverstöße von Unternehmen. Gerade in der jüngeren Vergangenheit wurden teils empfindliche Bußgelder verhängt, die neben Großkonzernen wie H&M, Vodafone oder 1&1 auch viele kleine und mittelständische Unternehmen und Freiberufler trafen.
Alle in der EU wegen Datenschutzverstößen verhängten Bußgelder können Sie zum Beispiel hier(externer Link) öffentlich einsehen.
Bei größeren Fällen werden dort auf Grund des öffentlichen Interesses auch die Namen der Unternehmen veröffentlicht. Bei kleineren Unternehmen, Restaurants, Praxen und Kanzleien etc. werden die Namen hingegen anonymisiert.
Da die mediale Berichterstattung bei vielen Unternehmen für Verunsicherung gesorgt hat, möchten wir Ihnen einen Überblick über verschiedene Datenschutzverstöße geben, die zur Verhängung von Strafen und Bußgeldern geführt haben. Außerdem geben wir Ihnen Tipps, wie sie derartige Verletzungen des Datenschutzes durch rechtskonforme Handhabungen vermeiden können!
Dies soll Ihnen dabei helfen, Datenschutzverstöße in Ihrem Unternehmen rechtzeitig zu erkennen, zu beheben und etwaige Bußgelder, Strafen sowie Imageeinbußen bei Kunden und Mitarbeitern zu vermeiden!
Beispiel 1: Die zweistellige Millionenstrafe gegen notebooksbilliger.de
Bußgeld/ Vergehen:
10,4 Mio. Euro/ unzulässige Video-Überwachung von Mitarbeitern
Kurzbeschreibung:
Notebooksbilliger überwachte ohne Rechtsgrundlage über mindestens zwei Jahre seine Mitarbeiter per Video. Die unzulässigen Kameras erfassten Arbeitsplätze, Aufenthaltsbereiche, Verkaufsräume und Lager. Dem Unternehmen nach sei es das Ziel gewesen, Straftaten wie Diebstähle zu verhindern und aufzuklären.
Nach Auffassung der Datenschutzbehörde(externer Link) konnte sich das Unternehmen jedoch nicht auf ein berechtigtes Interesse gem. Art. 6 I 1 f DSGVO berufen, da die Videoüberwachung massiv in die Persönlichkeitsrechte der Mitarbeiter eingreife und diese unter Generalverdacht stelle. Zur Verhinderung von Diebstählen müssten zunächst mildere Mittel geprüft werden (z.B. stichprobenartige Taschenkontrollen). Eine Videoüberwachung zur Aufdeckung von Straftaten sei nur rechtmäßig, wenn sich ein begründete Verdacht gegen konkrete Person richtet. Dann könne es zulässig sein, diese zeitlich begrenzt zu überwachen.
Bei notebooksbilliger war die Videoüberwachung jedoch weder auf eine konkreten Mitarbeiter noch auf einen bestimmten Zeitraum beschränkt.
Strafverschärfend kam hinzu, dass die Aufzeichnungen 60 Tage und damit wesentlich länger als erforderlich gespeichert wurden.
Tipp:
Videoüberwachung ist nicht per se verboten, jedoch gelten hier strenge Maßstäbe. Insbesondere Kameras in Betriebsräumen, die eine unzulässige Mitarbeiterüberwachung darstellen können, sind datenschutzrechtlich problematisch bzw. unzulässig. Gleiches gilt für Kameras, die nicht nur das Betriebsgelände, sondern auch Nachbargrundstücke oder den öffentlichen Raum erfassen. Da die Videoüberwachung zu einer Vielzahl von Zwecken genutzt werden kann, ist eine pauschale Aussage über die Zulässigkeit leider nicht möglich. Um Datenschutz-Strafen zu vermeiden hilft jedoch, sich folgende Fragen zu stellen:
1. Gibt es einen legitimen Zweck für die Kameraüberwachung (z.B. Hausrecht)?
2. Wessen Rechte und Interessen sind in welcher Intensität betroffen (z.B. Persönlichkeitsrechte von Mitarbeitern oder Kunden)?
3. Gibt es zur Erreichung des Zwecks ein milderes Mittel?
4. Überwiegen das Unternehmensinteresse die Rechte der betroffenen Personen (strenge Abwägung i.S.d. Art. 6 I 1 f DSGVO!)?
Ergibt die Einzelfallprüfung, dass die Kameraüberwachung zulässig ist, ist u.a. folgendes zu beachten:
1. Die Kameraaufzeichnungen dürfen nicht länger als erforderlich gespeichert werden (Speicherdauer richtet sich nach dem Zweck, strenger Maßstab!)
2. Aufstellung von Hinweisschildern
3. Einhaltung der Dokumentationspflichten nach DSGVO (Berücksichtigung der Kameraüberwachung im betrieblichen Datenschutzkonzept und in der Verfahrensakte, welche die Datenschutzbehörde einsehen kann)
Beispiel 2: Für fehlenden AVV 5000 Euro Strafe gegen ein kleines Unternehmen
Bußgeld/ Vergehen:
5000 €/ kein Auftragsverarbeitungsvertrag mit Dienstleister (Verstoß gegen Art. 28 DSGVO)
Kurzbeschreibung:
Das kleine Versandunternehmen Kolibri Image hatte einen Dienstleister mit der Verarbeitung von Kundendaten beauftragt, ohne einen Auftragsverarbeitungsvertrag mit dem Dienstleister zu schließen. Daraufhin verhängte die Hamburger Datenschutzbehörde ein Bußgeld in Höhe von 5000 € gegen das Unternehmen.
Der gegen das Bußgeld vorgebrachte Einwand, man hätte den Dienstleister vergeblich um die Zusendung eines Auftragsverarbeitungsvertrages gebeten, minderte das Bußgeld nicht. Kolibri Image hätte als Auftraggeber selbst einen Auftragsverarbeitungsvertrag aufsetzen können und sich vom Dienstleister unterschreiben lassen müssen, so die Behörde.
Tipp:
Externe Dienstleister, die personenbezogene Daten verarbeiten, müssen durch einen Auftragsverarbeitungsvertrag auf die Einhaltung des Datenschutzes verpflichtet werden.
Sogenannte Auftragsverarbeiter können z.B. sein: Lohnbuchbüro, externe IT-Dienstleister, Cloud-Anbieter, Vertriebs- und Werbeagenturen, Kundensupport durch externes Callcenter.
In dem Auftragsverarbeitungsvertrag werden die datenschutzrechtlichen Rechte und Pflichten im Rahmen der Datenverarbeitung geregelt. Dabei müssen verschiedene Punkte klar definiert werden, insbesondere der Vertragsgegenstand, Art und Zweck der Datenverarbeitung sowie die dem Auftragsverarbeiter obliegenden technisch-organisatorischen Maßnahmen (TOM‘s).
Durch die gewissenhafte Auswahl des Auftragsverarbeiters und den Auftragsverarbeitungsvertrag stellen Sie sicher, dass weder Ihr Unternehmen noch Sie persönlich Haftungsrisiken ausgesetzt sind, falls der Auftragsverarbeiter gegen die DSGVO verstößt. Es empfiehlt sich, eigene Vertragsentwürfe zu verwenden, da Verträge von Auftragsverarbeitern oftmals nachteilige Haftungsregelungen beinhalten. Zumindest sollten Verträge von Auftragsverarbeitern vor Vertragsschluss aufmerksam geprüft werden.
Beispiel 3: Mittleres Bußgeld wegen unerlaubten Werbeanrufen gegen KiKxxl
Bußgeld/ Vergehen:
260.000 €/ unerlaubte Werbeanrufe (Verstoß gegen § 7 Abs. 2 Nr. 2, 3 UWG)
Kurzbeschreibung:
Das Call-center KiKxxl hatte im Auftrag verschiedener Unternehmen Werbeanrufe durchgeführt, obwohl einige der kontaktierten Verbraucher keine wirksame Einwilligung in den Anruf zu Werbezwecken erteilt hatten.
Aufgrund mehrerer Beschwerden untersuchte die Bundesnetzagentur den Vorfall und verhängte ein Bußgeld in Höhe von 260.000 € gegen das Unternehmen.
Tipp:
Im geschilderten Fall wurde das Bußgeld nicht von der Datenschutzbehörde sondern von der Bundesnetzagentur wegen Verstoßes gegen § 7 Abs. 2 Nr. 2 und 3 UWG (Gesetz gegen den unlauteren Wettbewerb) verhängt.
Darüber hinaus begründet der Vorwurf, Verbraucher ohne zuvor erteilte Einwilligung telefonisch oder per E-Mail zu kontaktieren, zugleich einen Verstoß gegen Art. 6 Abs. I S. 1 a DSGVO.
Um Verstöße gegen das UWG und die DSGVO zu vermeiden, müssen Sie die Voraussetzungen einer wirksamen Einwilligung beachten. So muss über die Freiwilligkeit, Zweckgebundenheit und Widerrufbarkeit der Einwilligung aufgeklärt werden.
Auch müssen Sie das Vorliegen der Einwilligung nachweisen können und sicherstellen, dass nach dem Widerruf der Einwilligung Werbeanrufe unterbleiben und etwaige personenbezogene Daten ordnungsgemäß gelöscht werden.
Des Weiteren sollten Sie sich darüber bewusst sein, in welchen Fällen eine Einwilligung zur Verarbeitung personenbezogener Daten erforderlich ist, z.B. bei Fotoveröffentlichungen, und ob diese wirksam erteilt wurde.
(Artikel von A. Bilzhause)
Dieses Werk von DSS IT Security GmbH ist lizenziert unter einer Creative Commons Namensnennung – Weitergabe unter gleichen Bedingungen 4.0 International Lizenz (externer Link). Beruht auf dem Werk unter https://it-security.gmbh/2021/06/17/datenschutz-strafen-und-bussgelder-vermeiden/.