Datenschutz Strafe – Bußgeld in Millionenhöhe in Berlin

Die Strafen gegen einen Verstoß der europaweit geltende Datenschutzgrundverordnung (EU-DSGVO) sind bisher noch milde ausgefallen. Strafen in zweifacher Millionenhöhe musste bisher nur das Internetunternehmen Google zahlen – verhängt von der französischen Datenschutzbehörde. Deutschen Datenschutzbehörden machen nun Ernst. Aktuell läuft ein Berliner Verfahren mit einem möglichen Bußgeld in zweistelliger Millionenhöhe.

Datenschutz Strafe – Nun macht auch Deutschland Ernst

Bis Anfang 2019 gab es in Deutschland insgesamt 41 Datenschutz Strafzahlungen aufgrund eines Verstoßes gegen die EU-DSGVO. Die bisher höchsten Bußgelder bei einem Verstoß gegen die EU-DSGVO lagen bei €80.000 in Baden-Württemberg. Datenschutz Strafzahlungen in Höhe von jeweils €50.000 fielen bei einem Hamburger Unternehmen an, als Gesundheitsdaten im Internet lesbar waren sowie in Berlin, als die Banking-App N26 die Daten von ehemaligen Kunden verarbeitet hatten. Wen die mögliche Rekordstrafe treffen wird, ist aufgrund des laufenden Verfahrens unbekannt.

 

Noch einmal die Grundlagen zur EU-DSGVO

Die EU-DSGVO ist nach einer zweijährigen Übergangsfrist seit dem 25. Mai 2018 europaweit in Kraft getreten. Für Unternehmen und öffentliche Stellen ist es seit langem Pflicht, personenbezogenen Daten zu schützen. Im Artikel 4, Absatz 1 EU-DSGVO werden beispielsweise Namen, Geburtsdatum, Adressen, aber auch die besonderen personenbezogenen Daten wie ethnische Herkunft, politische Überzeugungen, biometrische Daten und weitere definiert.

Jeder hat ein Recht auf informationelle Selbstbestimmung, sodass die Verarbeitung und das Abspeichern von personenbezogenen Daten grundsätzlich nur mit Zustimmung der betreffenden Person erfolgen darf. Eine Verletzung des Datenschutzes liegt vor, wenn es um die

• „Verletzung der Sicherheit der Daten,
• die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung beziehungsweise unbefugtem Zugang zu personenbezogenen Daten führt,
• die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.“

geht. Die Definitionen der obengenannten Schutzverletzung ist Artikel 4 Nr. 12 EU-DSGVO formuliert. Im Artikel 33 sind die Meldefristen bei Feststellung einer Datenschutzverletzung definiert. Demnach sind Unternehmen verpflichtet, massive Verletzung der Rechte Betroffener innerhalb von 72 Stunden der zuständigen Aufsichtsbehörden und ggf. den Betroffenen selbst mitzuteilen.

Für Unternehmen hat die EU-DSGVO zwei Auswirkungen: den Datenschutz gesetzeskonform in den Unternehmensprozessen zu implementieren und dazu – nach Artikel 32 EU-DSGVO – technische und organisatorische Maßnahmen zu ergreifen, um den Schutz der personenbezogenen Daten zu sichern und ein angemessenes Schutzniveau dauerhaft zu gewährleisten. Konkrete Maßnahmen werden nicht definiert. Es werden stattdessen Schutzziele definiert, die Unternehmen berücksichtigen müssen.

Um Verstöße gegen die EU-DSGVO zu vermeiden, sollten sich Unternehmen genau mit der Thematik auseinandersetzen, einen Datenschutzbeauftragten bestellen und verantwortungsvoll mit den Daten umgehen. Dazu gehört auch eine Sensibilisierung der Mitarbeiter für das Thema Datenschutz und die Schulung, der sichere Verarbeitungsprozesse im Unternehmen etabliert und im Unternehmen effiziente Schutzmechanismen etabliert.

Verstöße gegen die EU-DSGVO im Arbeitsalltag und Datenschutz Bußgeld

Ein Verstoß gegen die EU-DSGVO kann schneller geschehen als gedacht. Häufig steckt ein fahrlässiges Handeln von Mitarbeitern oder mangelndes Verständnis für das Thema Datenschutz hinter einem Verstoß der EU-DSGVO. Vergleichsweise selten erfolgt die Datenschutzverletzung absichtlich, um dem Unternehmen zu schaden.

Schon die Versendung des Newsletters an falsche E-Mail-Adressen, durch den Daten in fremde Hände geraten oder der ungeschützte Einblick auf Kundendaten auf einem Computerbildschirm stellen einen Verstoß dar. Auch eine unverschlüsselte Versendung von sensiblen personenbezogenen Daten über das Internet oder eine falsche Entsorgung von Unterlagen oder Datenträgern, kann eine Verletzung darstellen. Auch das Stehlen oder Verlieren von Datenträgern wie Speichermedien, Diensttelefone oder Unterlagen, kann bei fehlenden Sicherheitsvorkehrungen zu Datenschutzverletzungen führen. Mitarbeiter mit regelmäßigen Umgang mit personenbezogenen Daten, müssen das Datengeheimnis wahren.

Bei einem Verstoß gegen die EU-DSGVO muss eine sogenannte Sicherheitsverletzung vorliegen. Es ist nicht relevant, ob dies unabsichtlich oder absichtlich geschehen ist. Selbst Stromausfälle oder der „Denial of Service“ – also die vorübergehende Unerreichbarkeit der Webseite – wird im Sinne der EU-DSGVO zu den Datenpannen gezählt, da hierfür Sicherheitsvorkehrungen möglich sind. Zu einem meldepflichtigen Vorfall wird die Datenpanne allerdings erst dann, wenn Unberechtigte Kenntnis und Zugriff auf personenbezogene Daten erhalten, die nicht für sie bestimmt sind. Kann dies ausgeschlossen werden, entfällt die Meldung an die zuständigen Datenschutzbehörden.

Woran bemisst sich die Höhe der Datenschutz Strafzahlungen?

Die Höhe der Datenschutz Strafe bei einem vorliegenden Verstoß gegen die EU-DSGVO werden nach einer genauen Untersuchung des Sachverhalts vom Landesbeauftragten der Datenschutzbehörden festlegt. Rechtlich relevant ist der Artikel 83, Absatz 5 in Verbindung mit Artikel 83, Absatz 2 EU-DSGVO, in dem die Art der Datenschutzverletzung genauer benannt wird.

Grundsätzlich müssen die Unternehmen bei Nichteinhalten ihrer Zertifizierungs- und Überwachungspflichten sowie Verstöße gegen andere Vorschriften der EU-DSGVO Bußgelder zahlen. In der ersten Phase werden bis zu 10 Millionen Euro bzw. bis zu 2% des Vorjahresumsatzes fällig, wobei der jeweils höhere Betrag zu zahlen ist. Bei einer besonders schwerwiegenden Datenschutzverletzung oder einer Missachtung der Zahlungsfrist, verdoppelt sich dieser Betrag auf maximale 20 Millionen Euro bzw. 4% des weltweiten Vorjahresumsatzes. Bei schwerwiegenden Verstößen können Haftstrafen für Verantwortliche ausgesprochen werden.

Für die Bestimmung der Strafzahlungen werden verschiedene Faktoren berücksichtigt. Primär sollen Zahlungen verhältnismäßig sein. Damit die Verhältnismäßigkeit der Strafe geprüft werden kann, müssen die Aufsichtsbehörden jeden Verstoß gesondert betrachten und analysieren, wie das Unternehmen mit der Verletzung des Datenschutzes umging. Die behördlichen Datenschutzbeauftragten müssen eine nachvollziehbare Antwort auf die folgenden Fragen finden:

• Wie schwer ist die Datenschutzverletzung, wie lange hielt sie an und wie viele Personen sind betroffen?
• Welcher Schaden entstand und versuchte das betroffene Unternehmen von sich aus, den Schaden einzudämmen?
• Handelte das Unternehmen mit Vorsatz oder liegen gleich mehrere Verstöße gegen die EU-DSGVO vor?
• Hat der Datenschutzbeauftragte des Unternehmens mit den Behörden zusammengearbeitet und zur Aufklärung beigetragen oder hat es versucht, den Vorfall zu verschleiern?
• Gab es mildernde Umstände für das Unternehmen?

Wenn es bei Unternehmen beispielsweise durch eine mangelhafte IT-Sicherheitsinfrastruktur zu einem Datenleck oder einer Hacking-Attacke kommt, sollte das Unternehmen zeitnah handeln. Artikel 33 EU-DSGVO räumt dem Unternehmen 72 Stunden ein, um die Datenpanne an die zuständigen Aufsichtsbehörden zu melden. Ebenfalls muss nach Artikel 34 EU-DSGVO überprüft werden, ob Betroffene in Kenntnis gesetzt werden müssen. Unvermeidbar hingehen ist der Imageschaden, der in öffentlichen Medien entstehen kann und die Beziehung von Kunden, Partnern und anderen Kreisen erheblich verschlechtern kann.