Das Bußgeld ist (und bleibt wohl) eins der Themen, das die meisten Personen mit der Novellierung des Datenschutzrechts in Verbindung bringen. Wofür ein Bußgeld verhängt werden kann, darüber sind sich die meisten Unternehmen nicht im Klaren. Und so haben zwar viele Chefs und Angestellte Angst davor, ein Bußgeld in exorbitanter Höhe zu erhalten – das Bewusstsein, welche Verstöße tatsächlich bußgeldbewehrt sind, fehlt dagegen vielen Akteuren. Wir wollen diesen Umstand zum Anlass nehmen und einen Einblick in den Bußgeldkatalog des Art. 83 DSGVO geben.

Der Bußgeldkatalog lässt sich in zwei Kategorien unterteilen. Die Verordnung regelt den „kleinen“ Bußgeldkatalog nach Art. 83 Abs. 4 DSGVO, der ein Bußgeld in Höhe von bis zu 10 Mio. € bzw. von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes vorsieht, sowie den „großen“ Bußgeldkatalog nach Art. 83 Abs. 5 und 6 DSGVO, bei dem sogar ein Bußgeld in Höhe von bis zu 20 Mio. € bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes im Raum steht. Wobei in beiden Fällen die Geldbuße davon abhängt, welcher Betrag jeweils höher ist.

Unter den „kleinen“ Bußgeldkatalog fallen u.a. die folgenden Verstöße:

  • nicht vorhandene datenschutzfreundliche Technikgestaltungen und Voreinstellungen;
  • fehlende vertragliche Regelungen, wie Auftragsverarbeitungsverträge;
  • das Nichtführen eines Verzeichnisses von Verarbeitungstätigkeiten;
  • fehlende Kooperation mit Aufsichtsbehörden;
  • nicht ausreichende technische und organisatorischen Sicherungsmaßnahmen („TOMs“);
  • keine Meldung einer vorgefallenen Datenpanne;
  • fehlende Datenschutz-Folgenabschätzungen;
  • fehlende Benennung, Meldung und Veröffentlichung (z.B. auf der Unternehmenswebsite) eines Datenschutzbeauftragten.

Bisher verhängte Bußgelder aus diesem Bereich finden sich insbesondere bei Verstößen gegen technische und organisatorische Maßnahmen. So wurden allein im Juli diesen Jahres Bußgelder in Höhe von bis zu EUR 204 Mio. verhängt, aufgrund fehlender bzw. nicht ausreichender technischer und organisatorischer Maßnahmen:

  • Z.B. wurde in den Niederlanden ein Bußgeld in Höhe von 460.000 Euro wegen einem fehlenden Zugriffs- und Berechtigungskonzept eines Krankenhauses verhängt. Dort konnte eine Vielzahl von Beschäftigten auf Patientenakten zugreifen, obwohl dies nicht erforderlich war;
  • ebenfalls im Juli diesen Jahres verhängte die britische Datenschutzbehörde ein Bußgeld in Höhe von 204 Millionen Euro gegen ein Unternehmen, bei welchem aufgrund einer Sicherheitslücke im Online-Buchungssystem über 500.000 Kundendaten von unbefugten Dritten abgegriffen werden konnten.

Unter den „großen“ Bußgeldrahmen fallen z.B. Verstöße gegen:

  • die Grundsätze der Verarbeitung, wie z.B. Vertraulichkeit, Zweckbindung, Datenminimierung und Rechenschaft;
  • das Einholen einer erforderlichen Einwilligung;
  • die Betroffenenrechte, wie Informationspflichten zur Datenverarbeitung, Auskunftsersuchen, Löschbegehren;
  • Datenübermittlung an Empfänger in Drittländer außerhalb der EU;
  • Nichtbefolgung von Anweisungen einer Aufsichtsbehörde.

Bereits verhängte oder angedrohte Bußgelder finden sich auch hier wieder, insbesondere im Bereich fehlender Informationspflichten oder fehlerhafter Rechtsgrundlagen für eine Datenverarbeitung.

  • So hat im Juli diesen Jahres eine Wirtschaftsprüfungsgesellschaft ein Bußgeld in Höhe von 150.000 Euro kassiert, da sie die Arbeitnehmerdatenverarbeitung fälschlicherweise auf eine Einwilligung fußten. Dies zeigt, dass das Einholen einer Einwilligung für eine rechtmäßige Datenverarbeitung nicht als Allheilmittel betrachtet werden kann.
  • Die dänische Aufsichtsbehörde verhängte im März 2019 eine Geldbuße in Höhe von über 160.000 Euro gegen ein Unternehmen, das personenbezogene Daten von rund 385.000 Kunden über einen längeren Zeitraum verarbeitete, als es für die Zwecke, für die sie erhoben wurden, erforderlich war. Darüber hinaus hatte das Unternehmen in seinem CRM-System keine Fristen für die Löschung personenbezogener Daten festgelegt und dokumentiert.
  • Im Januar 2019 verhängte die französische Aufsichtsbehörde ein Bußgeld in Höhe von 20.000 Euro, da das betroffene Unternehmen seine Mitarbeiter kontinuierlich an ihrem Arbeitsplatz per Videoaufzeichnung überwachte und seinen Informationspflichten hierüber nicht nachkam.

Insgesamt zeigt sich, dass die Aufsichtsbehörden inzwischen wieder mehr Luft haben, um sich mit der Frage zu beschäftigen, ob die Anforderungen der DSGVO ordnungsgemäß von den Unternehmen umgesetzt wurden. Einen allzu langen Atem sollte man folglich nicht mehr haben, wenn es darum geht, die datenschutzrechtlichen Vorgaben zu erfüllen.