Strafen wegen Verstößen gegen die Datenschutzgrundverordnung

Die verschärften Sanktionsmöglichkeiten bei Datenschutzverstößen stehen nicht nur auf dem Papier. Ein gutes halbes Jahr nach Inkrafttreten der DSGVO machen Gerichte und Datenschutzbehörden von ihnen zunehmend Gebrauch. Erwischt hat es jüngst den Internetriesen Google. Er wurde in Frankreich zu einer Geldbuße von 50 Mill. EUR verurteilt wurde. Es trifft aber auch kleinere Firmen.

Verstöße gegen Datenschutzvorgaben blieben bislang weitgehend folgenlos, denn Bußgelder konnten Sünder bis zum letzten Jahr üblicherweise fast aus der Portokasse zahlen. Die europäische Datenschutzgrundverordnung hat dies jedoch grundlegend geändert, denn hier wurde der Strafrahmen deutlich erhöht, der nun Bußgelder von bis zu 20 Millionen EUR oder sogar 4 Prozent des weltweiten Jahresumsatzes vorsieht. 

Rekordstrafe der CNCL nach der DSGVO gegen Google

Dass die Behörden willens sind diese Vorgaben auch durchaus auszuschöpfen, hat jetzt ein Verfahren in Frankreich gezeigt, dass Datenschutzaktivisten gegen den Internetkonzern Google in Gang gesetzt hatten.

Vor der französischen Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) hatten sich der bekannte Aktivist Max Schrems mit seiner Organisation noyb (None of your Business) sowie die französische Initiative La Quadrature du Net über einige Praktiken von Google beschwert und die Behörde kam zu dem Schluss, dass diese Beschwerden begründet seien. Im Kern hält die CNIL  die Art und Weise, wie Google über die Nutzung der erhobenen Daten informiert, für unzureichend.

  • So seien Angaben zu den Zwecken der Datenverarbeitung
  • oder den Aufbewahrungsfristen für die Nutzer
  • nicht einfach genug zugänglich.

Die Angaben seien auf mehrere Dokumente verteilt und nur durch Anklicken etlicher Links und Schaltflächen erreichbar. Die Informationen seien zudem unklar formuliert. 

Ungültige Zustimmung der Nutzer zu personalisierter Werbung

Außerdem hält die französische Datenschutzbehörde auch die von Google eingeholte Zustimmung der Nutzer zur Anzeige personalisierter Werbung für ungültig, weil die hierzu gegebenen Informationen nicht ausreichend seien.

Google hat Berufung angekündigt

Für die CNIL war es die erste Strafe, die nach dem Inkrafttreten der DSGVO erlassen wurde. Bei der Höhe orientierte man sich am Gesamtumsatz des Unternehmens, doch selbst die 50 Millionen dürften für Google noch gut zu verkraften sein. Google hat sich mittlerweile zu dem Urteil geäußert. Man sei entschlossen, die Auflagen im Hinblick auf Transparenz und Kontrollmöglichkeiten der Nutzer zu befolgen, andererseits sei man über die Folgen der Entscheidung für IT-Unternehmen besorgt. Daher habe man sich entschlossen, in Berufung zu gehen.

DSGVO-Bußgeld wird auch gegen Kleinunternehmen verhängt

Dass nicht nur Großkonzerne die Folgen der DSGVO fürchten müssen, zeigt ein Fall aus Hamburg, über den kürzlich Heise-Online  berichtet.

Hier verhängte die dortige Datenschutzbehörde ein Bußgeld in Höhe von immerhin 5.000 EUR gegen ein kleines Versandunternehmen, das nach Ansicht der Behörde gegen die Vorgaben zur Auftragsverarbeitung verstoßen haben soll.

  • Den Fall ins Rollen gebracht hatte das Versandunternehmen selbst, als es sich schriftlich mit einem Auskunftsersuchen an den hessischen Datenschutzbeauftragten gewandt hatte.
  • Man wollte erfahren, wie man mit einem (ausländischen) Dienstanbieter verfahren solle, der im Auftrag des Versandunternehmens Kundendaten verarbeitete, und trotz mehrfacher Aufforderung keinen Vertrag zur Auftragsverarbeitung übersendet hatte.

Die Behörde informierte den Fragesteller dahingehend, dass die Pflicht zum Abschluss dieser Vereinbarung auch den Auftraggeber betreffe und er deshalb selber einen Vertrag zur Auftragsverarbeitung verfassen und an den Dienstleister senden könne. Zudem machte man ihn auf entsprechende Vorlagen für solche Verträge aufmerksam.

Unternehmen scheute Kosten für Übersetzung des DSGVO-Vertrages in Landessprache des Dienstanbieters

Das Versandunternehmen lehnte in einer Antwort diese Aufforderung jedoch ab, auch weil man den Aufwand einer notwendigen Übersetzung in die Landessprache des Dienstanbieters für unangemessen hielt und generell der Meinung war, dass der Vertrag zu den Pflichten des Auftragsnehmers gehöre.

  • Die hessische Datenschutzbehörde übergab daraufhin den Fall an die zuständigen Kollegen in Hamburg,
  • die schließlich ein Bußgeld in Höhe von 5.000 EUR verhängten.
  • Begründet wurde dies u.a. mit der Übermittlung schützenswerter Daten ohne ausreichende Rechtsgrundlage.

Erschwerend bewertete man, dass das Unternehmen an der Praxis festgehalten habe, obwohl man von den Mängeln gewusst habe und sich spätestens nach der eingeholten Auskunft vorsätzlich dagegen entschieden habe, rechtskonform zu handeln.

Das betroffene Versandunternehmen hat angekündigt, Widerspruch gegen den Bußgeldbescheid einzulegen.

Weitere News zu dem Thema:

Hinweispflichten bei Videoüberwachungen nach DSGVO

Datenschutzbehörde verhängt erste Sanktion wegen DSGVO-Verstoß

Erstes OLG-Urteil zur Abmahnfähigkeit von DSGVO-Verstössen nach UWG

Hintergrund: 

Bereits im Juli 2018 verhängte die portugiesische Aufsichtsbehörde eine Geldbuße von 400.000 EUR gegen ein Krankenhaus wegen eines Zugriffs auf Patientendaten.

Im Oktober 2018 verhängte die österreichische Datenschutzbehörde eine Geldbuße von 4.800 EUR wegen einer unzulässigen Videoüberwachung in einem öffentlichen Raum.

DSGVO-Sanktionen

Gemäß Art. 83 Abs. 4 DSGVO sind

  • Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
  • in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.

Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen.

Bemessung der DSGVO-Sanktionen bei Verstößen

Art. 83 DSGVO regelt die möglichen Bußgelder bei Verstößen, für deren Bemessung verschiedene Faktoren,

  • wie die Art und Schwere eines Verstoßes,
  • die Empfindlichkeit der betroffenen Daten,
  • die vorsätzliche oder fahrlässige Begehung
  • sowie die Kooperation mit der Aufsichtsbehörde

eine entscheidende Rolle spielen können.

Noyb (None of your Business)

Der österreichische Datenschutzaktivist Max Schrems, der auch Facebook schon lange wegen seine Datenschutzmängel angreift, ist dabei, eine neue Organisation auf die Beine zu stellen, mit der Datenschutzrechte besser geschützt werden sollen.

Der Datenschützer Max Schrems ist vor allem durch seine Klagen gegen Facebook bekannt geworden, in deren Folge sogar das bis dahin gültige Datenschutzabkommen Safe Harbor zwischen der EU und den USA gekippt wurde.

Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai haben auch Verbände ein Klagerecht bekommen. Mit dem von ihm mitbegründeten neuen Verein namens Noyb (None of your Business – Geht Dich nichts an) können Ansprüche mehrerer Personen gebündelt werden. Noyb ging als Crowdfunding-Projekt an den Start, um die erweiterten Rechte und verschärften Sanktionen der Datenschutzgrundverordnung zu nutzen.

Schlagworte zum Thema:  Datenschutz-Grundverordnung, Bußgeld