Wie sich dem vor wenigen Tagen veröffentlichten Tätigkeitsbericht Datenschutz für das Jahr 2019 entnehmen lässt, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Caspar im vergangenen Jahr ein Bußgeld in Höhe von 51.000 Euro gegen Facebook, genauer gesagt: gegen die Facebook Germany GmbH mit Sitz in Hamburg verhängt. Auslöser der Maßnahme war demnach der Verstoß gegen Art. 37 Abs. 7 DSGVO, der die Meldung des Datenschutzbeauftragten bzw. die Veröffentlichung und Mitteilung dessen Kontaktdaten gegenüber der Aufsichtsbehörde europaweit regelt. Eine solche Mitteilung war demzufolge nicht erfolgt. Auf diesen Umstand wurde die Aufsichtsbehörde im März 2019 aufmerksam und prüfte dies sodann.
Das bekannt gewordene Bußgeld (51.000 Euro) wurde aus verschiedenen Gründen derart gering angesetzt: Zum einen wurde das Verfahren bewusst gegen die deutsche Gesellschaft des sozialen Netzwerks und nicht gegen die Muttergesellschaft mit Sitz in Irland eingeleitet, schließlich sei der Verstoß in Deutschland begangen worden. Und während Facebook weltweit im vergangenen Jahr einen Umsatz von über 70 Milliarden US-Dollar erzielte, lag der Jahresumsatz bei der Facebook Germany GmbH lediglich bei 35 Millionen Euro. Ebenso habe Facebook sofort reagiert und den Verstoß abgestellt. Offensichtlich zeigte sich Facebook hierbei sehr umsichtig und professionell.
Benennungspflicht des Datenschutzbeauftragten
Der Fall macht allerdings deutlich, dass auch weiterhin und bald zwei Jahre nach Wirksamwerden der DSGVO am 25. Mai 2018 die Meldepflicht des Datenschutzbeauftragten nicht außer Acht gelassen werden darf und immer noch auf jeder Checklist eines Unternehmens stehen sollte. Die Benennung und Erstmeldung sowie Mitteilung von Änderungen, auch wenn dies nur für die Kontaktdaten gelten mag, ist bußgeldbewehrt gem. Art. 83 Abs. 4 lit a DSGVO und sollte daher immer zeitnah erfolgen. Wechseln also die Personen oder lediglich die Kontaktdaten, beispielsweise nach einem Umzug oder einer Neufirmierung, sollten die (neuen) Angaben auf dem hierfür vorgesehenen Wege (z.B. auf der Webseite des HmbBfDI) übermittelt werden. Etwaige Bußgelder bei solchen Verstößen könnten zukünftig auf das neue DSK-Berechnungsmodell gestützt werden und selbst kleinere Unternehmen spürbar treffen – und zwar nicht nur in Hamburg, sondern in allen Bundesländern in Deutschland und sogar im gesamten Anwendungsbereich der DSGVO.
Die Hamburger Aufsichtsbehörde für Datenschutz schreibt dazu im TB 2019:
„Dieser Fall sollte allen anderen Unternehmen eine deutliche Warnung sein: Die Benennung des Datenschutzbeauftragten und die Mitteilung an die Aufsichtsbehörde sind Pflichten, die die DSGVO ernst nimmt. Schon kleinere Verstöße gegen derartige Pflichten können zu nicht unerheblichen Geldbußen führen.“
Alles weitere zu dem Verfahren gegen die Facebook Germany GmbH lässt sich im Tätigkeitsbericht auf den Seiten 105 – 107 nachlesen. Hier finden sich im Übrigen noch ein paar weitere interessante Hinweise zum Bußgeldverfahren „versteckt“, insbesondere zur Zurechnung des Handelns der Mitarbeiter.