Was kostet ein Datenschutzverstoß? Mit dieser Frage werden wir in letzter Zeit immer häufiger konfrontiert. Nicht zuletzt der Strafrahmen der DSGVO, der Bußgelder von bis zu 20 Millionen nennt, führt zu einer gesteigerten Verunsicherung.
Wie oft und wieviel?
Der sächsische Datenschutzbeauftragte hatte im Zeitraum 1.4.2015 bis 31.3.2017 124 anhängige Bußgeldverfahren. In 47 Fällen wurde ein Bußgeld verhängt. Die übrigen wurden insbesondere eingestellt (63) oder befinden sich noch in Bearbeitung (3). In 9 Fällen war der Datenschutzbeauftragte nicht zuständig. Aus den 47 Bußgeldfällen resultierte eine Gesamtbußgeldsumme in Höhe von 174.226 € bzw. ein durchschnittliches Bußgeld von ca. 3.707 €.
Im Zeitraum 1.4.2013 bis 31.3.2015 resultierte aus 49 Fällen eine Gesamtbußgeldsumme in Höhe von 353.572 € bzw. ein durchschnittliches Bußgeld von ca. 7.216 €.
Wofür?
Bußgelder wurden sowohl für formale als auch materielle Verstöße verhängt. Besonders hervorgehoben wurden folgende formale Verstöße:
- Missachtung der Auskunftspflicht gegenüber der Aufsichtsbehörde (1-mal 10.000 €),
- Missachtung der Pflicht zur Bestellung eines Datenschutzbeauftragten (4-mal 10.000 €),
- Nichtbefolgung einer datenschutzrechtlichen Anordnung (1-mal 16.000 €) sowie
- Missachtung der Pflicht zur Erteilung schriftlicher Auftragsdatenverarbeitungsaufträge (1-mal 18.000 €).
Mit einem unbezifferten Bußgeld geahndet wurden unter anderem folgende materielle Verstöße:
- Videoaufzeichnung des öffentlichen Verkehrsraumes mit einer im Dauerbetrieb befindlichen Klingelkamera und Veröffentlichung von Videosequenzen im Internet
- Videoüberwachung im Sozialraum einer Tankstelle
- Übermittlung von Namen und Telefonnummern von zu kündigenden Mitarbeitern an einen potentiellen neuen Arbeitgeber
- Entsorgung von Rechtsanwaltsakten in einer normale Altpapiertonne
- Nutzung von Adressdaten von Anlegern zum Zwecke anwaltlicher Werbung
- GPS-Tracker am Privat-PKW einer Nachbarin
- privat motivierter Zugriff auf Kundendatensätze durch Call-Center-Agenten
- Aufsichtspflichtverletzung bei der Gewährleistung der Systemsicherheit (frei zugänglicher FTP-Server)
Und weiter?
Häufig unbekannt ist, dass die Bußgeldentscheidungen, bei denen das Bußgeld mehr als 200 € beträgt, in das Gewerbezentralregister eingetragen werden (§ 149 Abs. 2 Nr. 3 GewO). Das Gewerbezentralregister ist kein öffentliches Register. Auskunft kann immer nur die (natürliche oder juristische) Person über den sie betreffenden Inhalt verlangen (§ 150 Abs. 1 GewO), also der jeweilige Gewerbetreibende. Im Rahmen einer Auftragsverarbeitung kann sich daher der Auftraggeber, mangels Auskunftsanspruch, nicht direkt von der Zuverlässigkeit des potentiellen Auftragnehmers überzeugen. Ihm bliebe aber die Möglichkeit, im Rahmen der Verhandlungsgespräche, die Vorlage einer Auskunft, die der potentielle Auftragnehmer im eigenen Namen eingeholt hat, zu verlangen.