Nachdem im vergangenen Jahr pünktlich zum Inkrafttreten der DSGVO stellenweise ein Weltuntergang und eine Flut an Abmahnungen und Sanktionen prognostiziert wurden, ist es 2018 doch relativ ruhig geblieben. Mittlerweile schreiben wir Anfang März 2019, die erste Bußgelder  wurden verhängt und selbst wenn die Verfahren intransparent und meistens nicht öffentlich sind, gibt es ein paar Fälle, die in den letzten Monaten bekannt geworden sind.

Bei den nachfolgenden Beispielen ist jedoch zu beachten: die DSGVO setzt die maximale Strafhöhe bei 4% des weltweiten Konzernumsatzes des Jahres, also maximal 20.000.000€, bzw. 2% des Vorjahres bei geringfügigeren Delikten an. Doch die ersten Bußgelder zeigen schon: die Behörden sind noch geduldig, sie warten und mahnen erst ab bzw. beobachten anstatt gleich zu bestrafen. Viel wichtiger sei es, dass die Unternehmen ihr Sicherheitsmanagement organisieren und etablieren. Man werde erst bei einem wiederholten Verstoß zur Kasse gebeten.

Eine Zusammenfassung:

Wenn sich die Vergangenheit  zurückmeldet – Deutschland gegen Knuddels2,5

Die Chat-Webseite Knuddels war vor Jahren DER digitale Raum und der Ort der aller ersten digitalen Erfahrungen, zumindest in Deutschland. Und obwohl es in den letzten Jahren sehr ruhig um die Webseite wurde bedeutet dies nicht, dass die DSGVO dort nicht auch gilt. Knuddels hat nämlich im Zuge eines Hackerangriffes nicht nur über 800.000 E-Mail Adresse, Nutzernamen und Passwörter verloren, sondern auch freiwillige Angaben, u.a. Alter, Wohnort etc. Außerdem lagerte das Unternehmen diese Daten ohne jegliche Verschlüsselung auf ihren Servern. Für diesen Verstoß gab es eine Strafe in Höhe von 20.000€, ein geminderter Betrag aufgrund der guten Zusammenarbeit mit den Behörden.

Der dubioseste Fall – Namen auf Klingelschildern oder Briefkästen1

Jeder hat von diesem Fall gehört, er darf auf unserer Liste aber nicht fehlen. Nachdem wegen der Beschwerde eines Mieters in Wien plötzlich mehr als 200.000 Klingelschilder entfernt wurden und  dies im deutschsprachigen Raum die totale Verunsicherung ausgelöst hat, stellte die Europäische Kommission Ende 2018 ausdrücklich fest, dass die DSGVO Türschilder oder Briefkästen nicht regele und die Entfernung auch nicht verlangt. Logisch, schließlich stellt das Ausstatten der Klingelschilder mit Namen keine automatisierte Verarbeitung oder eine Speicherung in Dateisystemen dar, so dass die DSGVO bereits nicht anwendbar ist.

Die geringste Geldstrafe in Deutschland

Die Höhe der Strafe bemisst sich nach der Unternehmensgröße und – Umsatz. So kostete einem kleinen Unternehmen in Hamburg der fehlende Auftragsverarbeitungsvertrag 5000€5. Ungünstig dabei ist  nur, dass das Unternehmen scheinbar seinen spanischen Dienstleister mehrfach aufgefordert hatte einen entsprechenden Vertrag zu übersenden, ohne Erfolg. Das Unternehmen hätte zwar, so die Behörden, selbst den Vertrag verfassen und übersetzen können, doch sahen sie sich hierfür weder in der Lage, noch waren sie bereit die Kosten für die Übersetzung zu tragen. Das Fehlen eines Auftragsverarbeitungsvertrages stellt deswegen einen Verstoß gegen die DSGVO dar, weil man in diesem Fall Daten ohne Rechtsgrundlage an einen Dritten übermittelt. Wenn mal also nicht weiß wie ein Dienstleister agiert, so die Behörden, solle man lieber von der Beauftragung dessen absehen.

Die geringste Geldstrafe in Österreich

Bis November 2018 soll es in Österreich nur 4 Strafen wegen DSGVO-Verstößen gegeben haben und dabei Strafen zwischen 300- 4800 € verhängt worden sein. Dabei wurde beispielsweise eine Strafe in Höhe von 300 € wegen unerlaubter Verwendung einer Dashcam verhängt und 4800 € wiederum wegen illegaler Videoüberwachung in einem Wettlokal.

Frankreich gegen Googliath – 50 Millionen 4

Im Verfahren gegen Google wurde die Art und Weise der Informationen über die Nutzung von personenbezogenen Daten bemängelt. So wurde unter anderem kritisiert, dass die wesentlichen Informationen auf mehreren Dokumenten verteilt seien, so dass die Nutzer mehrere Schaltflächen und Links anklicken müssten, um vollumfängliche Informationen über ihre Rechte zu erhalten. Außerdem wurde auch der Zweck der Erhebung angezweifelt und die erforderlichen Einwilligungen für die Nutzung der Daten zu Werbezwecken hätten gefehlt.

Die höchste Geldstrafe im öffentlichen Sektor- Portugal gegen das Krankenhaus in Barreiro

Die höchste Geldstrafe im öffentlichen Sektor- Portugal gegen das
Krankenhaus in Barreiro 400.000 € Strafe, bis jetzt die höchste die
verhängt wurde. Der Grund: kein hinreichender Schutz der Patientendaten, da
auch IT-Fachkräfte einen unbeschränkten Zugriff auf Patientendaten hatten,
obwohl dies nur für die Ärzte gestattet sein sollte. Unter anderem seien
985 Personen mit einem Profil „Arzt“ registriert gewesen, obwohl im vergangenen
Jahr nur 296 Ärzte
angestellt waren.

1: https://www.rechtsindex.de/recht-urteile/6213-datenschutz-dsgvo-namen-auf-klingelschildern-oder-briefkaesten/

2: https://www.datenschutz.org/dsgvo-strafe-fuer-knuddels-ein-echo-aus-der-vergangenheit/

3: https://www.handelsblatt.com/politik/deutschland/datenschutzgrundverordnung-behoerden-verhaengen-erste-bussgelder-wegen-verstoessen-gegen-dsgvo/23872806.html?ticket=ST-730232-btC0ZncQ9yWlLX1u9gAF-ap5

4: https://t3n.de/news/dsgvo-verstoss-google-zu-50-millionen-euro-strafe-verdonnert-1139186/

5: https://t3n.de/news/dsgvo-fehlender-auftragsverarbeitungsvertrag-kostet-deutsche-firma-5000-euro-1139095/

 

Autorin:
Daniella Domokos