Datenschutzrecht

Zahlreiche DSGVO-Bußgeldverfahren eingeleitet – Die Schonfrist ist vorbei

Die DSGVO gilt seit dem 25. Mai 2018 uneingeschränkt in ganz Europa. Trotzdem haben viele Unternehmen die neuen EU-Datenschutzregeln nicht oder nicht ausreichend umgesetzt. Inzwischen haben die Aufsichtsbehörden bereits zahlreiche Bußgeldverfahren eingeleitet. Häufige DSGVO-Verstöße sind werbliche Ansprachen per E-Mail oder Fälle, in denen angeschriebene Verantwortliche ihren Auskunftspflichten nicht nachkamen.

Die Schonfrist zur DSGVO-Umsetzung scheint endgültig vorbei zu sein. Einer Umfrage des „Handelsblatt“ zufolge haben inzwischen mehrere Aufsichtsbehörden der Bundesländer zahlreiche Bußgeldverfahren wegen DSGVO-Verstößen eingeleitet. Diese würden noch in diesem Jahr zu Bußgeldern „in erheblichem Umfang“ führen, zitiert das Handelsblatt Stefan Brink, Leiter der Behörde in Baden-Württemberg. In Hamburg sei es bereits zu einigen Verwarnungen gekommen, in Nordrhein-Westfalen schon zu ersten Bußgeldbescheiden.

Gründe für die eingeleiteten Verfahren seien etwa rechtswidrige Videoüberwachungen bzw. die illegale Nutzung von Dashcams. Auch Verletzungen des Schutzes personenbezogener Daten durch technische und organisatorische Maßnahmen sei ein Thema bei den Behörden. Häufig werbliche Ansprachen per E-Mail ohne Rechtsgrundlage vor. Ein Dauerthema sei auch der Fall, dass Vermieter vor einer Besichtigung bereits unzulässig viele Daten erheben. Schließlich gab es Verfahren wegen nicht eingehaltener Auskunftspflicht.

Gravierende Erhöhung der Bußgelder

Es wird mit (An-)Spannung erwartet, wie hoch diese Bußgelder tatsächlich ausfallen werden. Denn nun sieht die EU-DSGVO theoretisch Bußgelder bis zu 20 Mio. Euro bzw. bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vor. Unabhängig davon, ob die Leistungen entgeltlich oder unentgeltlich erbracht werden soll die Verschärfung der Bußgelder, wie die EU beabsichtigt, viele Unternehmen dazu bewegen, dem Datenschutz eine höhere Priorität zu gewähren. Die direkten Bußgeldhöhen hängen von den Umständen des Einzelfalls ab. Dabei sind die Datenschutzaufsichtsbehörden an festgelegte Kriterien gemäß Art. 83 Abs. 2 DSGVO gebunden.

Anlasslose Kontrollen geplant

Die Behörden können hier entweder auf Meldung von Betroffenen tätig werden oder sie können aus eigenem Entschluss tätig werden. In mehreren Bundesländern seien anlasslose Kontrollen bei den für die Datenverarbeitung Verantwortlichen – Großunternehmen wie kleineren Unternehmen – geplant, so die Auskunft der Datenschützer. Dann müssen Verantwortliche innerhalb eines kurzen Zeitraums alle erforderlichen Unterlagen vorlegen können. Außerdem sollen in Spezialbereichen stichprobenartige Kontrollen durchgeführt werden, wie zum Beispiel bei der IT-Sicherheit (Patch-Management, SSL-Zertifikate für Kontaktmöglichkeiten auf der Website).

Anstieg von Beschwerden, Meldungen und Anfragen

Es hätten sich auch schon viele Betroffene an die Aufsichtsbehörden gewendet und Beschwerden eingereicht. Die Beschwerden hätten sich im Vergleich zu BDSG-Zeiten massiv erhöht, so die einhellige Meinung aller befragen Datenschützer. Moniert wurden vor allem Verletzungen der Betroffenenrechte. Häufige Gründe seien etwa nicht erteilte Auskünfte oder falsch erteilte Selbstauskünfte, ignorierte Daten-Löschansprüche oder unerwünschte E-Mail-Werbung. Auch der Einsatz von Cookies sowie nicht vorhandene bzw. fehlerhafte Datenschutzerklärungen seien vielfach gemeldet worden.

Auf der anderen Seite seien die meisten Unternehmen aber durchaus sensibilisiert in Bezug auf den Datenschutz. Es habe seit dem 25. Mai sehr viele Meldungen von Datenpannen gegeben. Da es ja unwahrscheinlich ist, dass plötzlich mehr Pannen passieren als vorher, deutet das darauf hin, dass die Unternehmen ihrer Meldepflicht sehr viel gewissenhafter nachkommen als es vorher der Fall war. Mit hoher Wahrscheinlichkeit liegt es an den verschärften Sanktionsmöglichkeiten, dass die DSGVO in Unternehmen nun stark diskutiert wird und mehr Beachtung findet als zuvor das BDSG. Schließlich ist das alte deutsche Datenschutzgesetz von vielen zuvor kaum beachtet worden.

Auch bei den Anfragen an die Aufsichtsbehörden sei ein massiver Anstieg zu verzeichnen. Häufige Nachfragen bezögen sich etwa auf die Frage, ob ein Datenschutzbeauftragter zu bestellen sei, ob ein Auftragsverarbeiter-Vertrag abgeschlossen werden müsse oder wie die Informationspflichten auf Webseiten (Datenschutzerklärungen) zu erfüllen seien. Diese Anfragen kämen vor allem von kleineren Unternehmen, Selbstständigen und Vereinen, die sich keine Rechtsberatung leisten könnten, so die Berliner Sprecherin gegenüber dem Handelsblatt. All diese Beschwerden, Meldungen und Anfragen brächten die Behörden an die Grenzen ihrer Kapazitäten, insbesondere in Hamburg und Berlin.

Insgesamt zeigen die Entwicklungen aber, dass es nun dringend an der Zeit ist, die DSGVO vollumfänglich umzusetzen – denn jetzt wird es wirklich ernst!

ahe

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (2 Bewertungen, Durchschnitt: 4,50 von 5)

RSSKommentare (1)

Kommentar schreiben

  1. D. Fahrenberg sagt:

    Guten Tag,
    in sämtlichen Artikeln zur DSGVO wird von Unternehmen, Selbstständigen und Vereinen gesprochen. Was ich hier vermisse ist die nicht unbedeutende (mehrere tausend Webseiten) Nische der WebRadios.
    Da diese ausnahmslos personenbezogene Daten erheben oder/und ein Kontaktformular anbieten, ist auch dort eine Datenschutzerklärung notwendig?
    Wenn ja, wie muss dann die Umsetzung aussehen?
    Was ist vom Inhalt her wichtig?
    Darf die DS-Erklärung im Impressum implementiert sein?
    Wie muss die dargestellte DS-Erklärung erreichbar sein (einzelner Punkt ohne den BS-Inhalt scrollen zu müssen)?
    Ist die nicht korrekte DS-Erklärung meldefähig (Landesdatenschutzbeauftragter)?

    Für eine Info wären wir sehr dankbar.

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.