Christian Horz - stock.adobe.com
Sanktionen nach DSGVO: Was kann man daraus lernen?
Die Aufsichtsbehörden für den Datenschutz haben bereits mehrere Bußgelder nach DSGVO verhängt. Daraus werden Mängelschwerpunkte bei den Unternehmen erkennbar.
Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein, sagt die Datenschutz-Grundverordnung (DSGVO). Ein wesentliches Ziel der Sanktionen ist naturgemäß, dass sich die Unternehmen bemühen, möglichst keine Verletzung des Datenschutzes zu verursachen.
Mitunter haben die möglichen Sanktionen, darunter hohe Geldbußen, auch Auswirkungen, die weniger gewollt waren: Eine allgemein umgreifende Sorge vor den Sanktionsmöglichkeiten der DSGVO führt nach der Erfahrung der Aufsichtsbehörden dazu, dass viele Datenpannen gemeldet werden, welche tatsächlich gar keine Datenpannen sind oder deren Risiken schon längst beseitigt wurden. Daher waren exorbitante Steigerungsraten bei den Meldungen von Datenpannen zu verzeichnen.
Doch es gibt auch eine Reihe von Sanktionen, die auf tatsächliche Datenschutzverletzungen gefolgt sind. Diese Sanktionen sollten sich Unternehmen vergegenwärtigen, um daraus zu lernen. Die Sanktionspraxis zeigt nicht nur, wie die Aufsichtsbehörden die Sanktionsmöglichkeiten nutzen, sondern die Sanktionen liefern auch Einblicke in besonders große Datenschutzprobleme bei Unternehmen.
Analysen zu den Sanktionen nach DSGVO
Es gibt inzwischen eine Reihe von Untersuchungen zu den verhängten Sanktionen nach DSGVO. Ein Beispiel ist die aktuelle Studie von Finbold. Die zentralen Ergebnisse sind:
- 60.181.250 Euro ist die Summe aller Geldbußen nach DSGVO der EU-Länder zum aktuellen Zeitpunkt (bis zum Sommer 2020).
- Die häufigste Verletzung der DSGVO ist die unzureichende Rechtsgrundlage für die Datenverarbeitung.
- Das Land mit den meisten, mit Bußgeld geahndeten Verstößen gegen die DSGVO ist Spanien mit 76 Bußgeldern.
- Italien ist mit EUR 45,6 Millionen Euro das Land mit der höchsten DSGVO-Geldbuße.
Dies sagt noch nicht sehr viel über die Situation für deutsche Unternehmen aus. Für Unternehmen in Deutschland lohnt es sich deshalb besonders, die Meldungen der Aufsichtsbehörden zu sichten, die anlässlich der Verhängung von Geldbußen nach DSGVO erschienen sind. Diese sollen nun näher betrachtet werden.
Die Bußgelder in Deutschland
Was also kann man aus den Bußgeldverfahren lernen, die die deutschen Aufsichtsbehörden gemeldet hatten? Welches sind die geahndeten Datenschutzverletzungen?
Mangelhafte Datenschutzorganisation, Werbung ohne informierte Einwilligung: Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Artikel 32 der DSGVO) hat die Bußgeldstelle des LfDI Baden-Württemberg gegen eine Krankenkasse eine Geldbuße von 1.240.000 Euro verhängt. Die Krankenkasse veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit.
Dabei wollte die Krankenkasse die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, unter anderem durch interne Richtlinien und Datenschutzschulungen, wollte die Krankenkasse hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der Krankenkasse festgelegten Maßnahmen genügten jedoch nicht. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.
Unzureichende Datensicherheit, mangelhaftes Authentifizierungsverfahren für Kunden: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat einen Telekommunikationsdienstleister mit einer Geldbuße in Höhe von 9.550.000 Euro belegt. Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.
Der BfDI hatte Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sah der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.
Mangelhafte Datenschutzorganisation, fehlerhaftes Kunden-/Patientenmanagement: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hatte im Dezember 2019 gegenüber einem Krankenhaus in Rheinland-Pfalz eine Geldbuße in Höhe von 105.000 Euro verhängt. Die bestandskräftige Geldbuße beruht auf mehreren Verstößen gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten. Diese hatte eine falsche Rechnungsstellung zur Folge und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.
Mangelhaftes Archivsystem, Verletzung der Löschpflichten: Im Oktober 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen eine Immobiliengesellschaft einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) erlassen. Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hatte die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen.
Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten.
Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie zum Beispiel Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge.
Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen.
Nichtachtung der Betroffenenrechte, unerwünschte Werbung: Im August 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit Bußgelder in Höhe von insgesamt 195.407 Euro inklusive Gebühren gegen einen Lieferdienst erlassen.
Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.
Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte der Lieferdienst in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienstplattform des Unternehmens aktiv gewesen waren.
Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.
Gründe für Geldbußen nach DSGVO
„Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern“, erklärte zum Beispiel der Landesdatenschutzbeauftragte von Rheinland-Pfalz. „Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird.“
Die Unternehmen selbst sollten die Geldbußen also ernst nehmen, auch wenn sie (noch) nicht selbst betroffen sind. Aus Fehlern lernen oder aus den Fehlern anderer lernen, um diese selbst nicht zu begehen, das gilt auch im Datenschutz.