Die Berliner Datenschutzbehörde hat jüngst das in Deutschland bisher höchste Bußgeld ausgesprochen und ein weiteres Bußgeld in Millionenhöhe angekündigt.
Während die Datenschutzbehörden in anderen Europäischen Ländern, z.B. in Großbritannien oder Frankreich, bereits in der Vergangenheit ganz erhebliche Bußgelder verhängt hatten, war die Praxis der deutschen Aufsichtsbehörden im Hinblick auf Bußgelder wegen Datenschutzverstößen auch nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) eher zurückhaltend. Zwei aufsehenerregenden Meldungen aus Berlin geben Anlass zu der Annahme, dass sich dies jetzt ändern wird. Außerdem haben sich die deutschen Datenschutzbehörden nun auf ein Modell zur Bemessung der Bußgelder verständigt.
Berliner Behörde sorgt mit höchsten bislang in Deutschland verhängten Bußgelder für Aufsehen
Wie ihrer Pressemitteilung vom 19. September 2019 zu entnehmen ist, hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen ein Lieferdienstunternehmen Bußgelder in Höhe von EUR 195.407 verhängt. Diese Entscheidung sei auch bereits rechtskräftig.
Geahndet wurden mit dem Bußgeld verschiedene datenschutzrechtliche Verstöße, insbesondere diverse Fälle, in denen die Betroffenenrechte von Kunden nicht gewahrt wurden. Dazu gehörten das Recht auf Auskunft, das Recht auf Löschung oder das Recht auf Widerspruch gegen Werbung. Laut der Pressemitteilung sollen die Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten.
Bereits zuvor war bekannt geworden, dass die Berliner Behörde in absehbarer Zeit in einem anderen Fall sogar ein Bußgeld in Millionenhöhe wegen Verstößen gegen DSGVO verhängen wird. Weitere Details hierzu sind bislang allerdings noch nicht gekannt.
Neues Modell zur Berechnung von Bußgeldern der Datenschutzbehörden
Insgesamt gibt es bisher noch kein einheitliches Bild zur Praxis der deutschen und anderen EU-Aufsichtsbehörden. Nicht nur zwischen den einzelnen EU-Mitgliedsstaaten sondern auch zwischen den Bundesländern gibt es teilweise erhebliche Unterschiede im Hinblick auf Anzahl und Höhe der erlassenen Bescheide. Einen stets aktualisierten Überblick über die bisher öffentlich bekannt gewordenen DSGVO Bußgelder bietet der CMS Enforcementtracker.
Jedenfalls für Deutschland sollen die Bußgelder aber nun vereinheitlicht bzw. nach einem einheitlichen Konzept berechnet werden. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich am 25. Juni 2019 auf ein Modell zur Berechnung von Bußgeldern verständigt. Damit soll eine systematische, transparente und nachvollziehbare Bußgeldbemessung gewährleistet werden.
DSGVO-Compliance im Unternehmen sollte überprüft sowie stets auf aktuellem Stand gehalten werden
Um Beanstandung der Datenschutzaufsichtsbehörden und Bußgelder zu vermeiden, sollten Unternehmen prüfen, ob alle festgelegten Maßnahmen zur Implementierung der DSGVO tatsächlich abgeschlossen wurden. Eine praktische Orientierungshilfe hierfür bietet der „Kriterienkatalog zur Querschnittsprüfung in der Wirtschaft″ sowie der „Fragenkatalog Querschnittsprüfung″ der Landesbeauftragten für den Datenschutz Niedersachsen.
Für alle Datenverarbeitungsvorgänge, die nach dem 28. Mai 2018 eingeführt wurden, gilt die DSGVO selbstverständlich ebenfalls. Unternehmen müssen sicherstellen, dass für jeden neuen Prozess:
- eine Sicherstellung und Dokumentation erfolgt, dass Daten nur auf Basis einer Rechtsgrundlage verarbeitet werden (z.B. aufgrund eines Vertragsverhältnisses mit dem Betroffenen oder einer Einwilligung);
- Einwilligungserklärungen der Betroffenen dokumentiert werden;
- das Verzeichnis der Verarbeitungstätigkeiten aktualisiert wird;
- Informationen an Betroffene (Kunden, Arbeitnehmer, Lieferanten) über die neuen Datenverarbeitungsvorgänge bzw. über Änderungen des ursprünglichen Verarbeitungszwecks erfolgen;
- die getroffenen technisch-organisatorischen Maßnahmen geeignet sind, um für die neuen Verfahren ein angemessenes Schutzniveau zu erreichen, und den Stand der Technik berücksichtigen;
- eine Sicherstellung erfolgt, dass Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen erkannt und für diese eine Datenschutz-Folgenabschätzung durchgeführt wird.
Ebenso wie bei der initialen Implementierung der Vorgaben der DSGVO sollten alle beteiligten Fachabteilungen eingebunden werden.