Derzeit wird unsere Wahrnehmung von besonders vielen wichtigen Themen beherrscht. Zwischen Inzidenzen, Lockdowns und Schutzmaßnahmen muss das Leben weitergehen. Gerade auch durch alternative Geschäftsprozesse, die durch Geschäftsschließungen oder Meldevorgaben eingeführt wurden, sind Dauerthemen wie die Datennutzung und die dazugehörige technische sowie organisatorische Absicherung nochmals wichtiger geworden.
Die Fehler der Anderen
Um Sie vor Fehlern zu bewahren, sensibilisieren wir Sie für häufige und naheliegende Versäumnisse, die im Ernstfall zu empfindlichen Sanktionen führen können. Dazu haben wir nachfolgend einen kurzen Überblick jüngster Bußgelder für Sie zusammengestellt und die Fälle kurz beschrieben.
- UK, £250,000 Bußgeld für das Versenden von 2,670,140 Werbe-SMS an Betroffene ohne deren Einwilligung. Innerhalb von 41 Tagen gingen über 10,000 Beschwerden bei der Aufsicht ein. Außerdem waren die Absenderinformationen irreführend und der Verantwortliche (Leads Work Limited) ließ die Marketingaktion weiterlaufen, selbst als die Aufsichtsbehörde den Fall schon untersuchte. Da der Verantwortliche auch nicht kooperativ und transparent gegenüber der Aufsicht agierte, erkannte diese keine mildernden Umstände.
- UK, £50,000 Bußgeld für Muscle Foods Limited, wegen des Versendens von ca. 135,651,627 Werbemails und 6,354,425 Werbe-SMS ohne Einwilligungen, über einen Zeitraum von 7 Monaten.
- Polen, ca. 30,000 EUR Bußgeld für die Verletzung von Meldepflichten. Eine unberechtigte Person erhielt von einem Mitarbeiter des Verantwortlichen (Enea S.A.) eine E-Mail, welche die persönlichen Daten von hunderten Personen enthielt. Die Daten wurden zwar in einem passwortgeschützten, jedoch unverschlüsselten E-Mail-Anhang übermittelt. Der Verantwortliche hatte den Vorfall zudem geprüft und dabei aber selbst keine Datenschutzverletzung festgestellt, die eine Benachrichtigung erfordert hätte.
- Polen, in zwei Fällen Bußgelder (ca. 4,645 EUR und ca. 22,140 EUR) wegen der Verletzung der Pflicht zur Kooperation mit der Aufsichtsbehörde. Zum einen ging es um eine Stellungnahme zu einer Beschwerde einer betroffenen Person, zum anderen um die Aufklärung eines Datenschutzvorfalls im Zusammenhang mit einem Internetportal und der Erfassung der verwendeten TOM.
- Polen, ca. 22,275 EUR Bußgeld wegen des Fehlens angemessener TOM. Eine Datenbank der Nationalen Schule für Justiz und Staatsanwaltschaft mit über 50.000 Betroffenen wurde innerhalb einer Schulungsplattform unbefugt weitergegeben. Weiterhin wurde festgestellt, dass ein Auftragsverarbeiter einbezogen, aber die Vorgaben des Art. 28 DSGVO nicht eingehalten wurden. Die unzureichende Bezeichnung der Betroffenen und der verarbeiteten Daten bzw. Datenkategorien und die fehlende Verpflichtung zur Weisungsgebundenheit wurden dem Verantwortlichen angelastet und der Auftragsverarbeiter ausdrücklich nicht für die Datenschutzverletzung verantwortlich gemacht.
- Deutschland, 14,5 Millionen EUR Bußgeld gegen die Deutsche Wohnen SE noch nicht rechtskräftig. Wegen unberechtigter Verarbeitung von Mieterdaten wurde das Bußgeld von der Berliner Aufsichtsbehörde verhängt. Das Landgericht Berlin hob das Bußgeld auf, weil es nicht den Anforderungen des Deutschen Verwaltungsrechts, an die genaue Bezeichnung des Beschuldigten und der konkreten Tathandlung entsprach. Die Aufsichtsbehörde legte Beschwerde ein und hofft auf eine Klärung des Verhältnisses von DSGVO und nationalem Straf- bzw. Ordnungswidrigkeitenrecht. Die Entscheidung wird insbesondere für Konzerne mit internationalen Strukturen von großer Bedeutung sein.
- Deutschland, 10,4 Millionen EUR gegen notebooksbiller.de wegen unzulässiger Videoüberwachung von Beschäftigten. Aufgrund eines generellen Verdachts wurden Beschäftigte an Arbeitsplätzen, in Verkaufsräumen, Aufenthaltsbereichen und im Lager über 2 Jahre hinweg per Video überwacht und die Aufnahmen lange gespeichert. Die Aufsichtsbehörde verwies darauf, dass mildere Mittel zumindest geprüft werden und konkrete Verdachtsfälle bestehen müssen.
- Zypern, 40,000 EUR Bußgeld gegen die dortige Strombehörde wegen eines automatischen Systems zur Überwachung der gesundheitsbedingten Abwesenheit seiner Mitarbeitenden. Dabei wurden ohne gültige Rechtsgrundlage personenbezogene Daten nach Art 6 und 9 DSGVO verarbeitet und den Mitarbeitenden nicht ihr Widerspruchsrecht gem. Art. 21 DSGVO eingeräumt. Dies wäre erforderlich gewesen, da die Entscheidungsfindung Auswirkungen auf die Gesamtbewertung der Mitarbeitenden hatte.
- Norwegen, ca. 24,000 EUR Bußgeld gegen einen unbenannten Verantwortlichen für die Weiterleitung einer E-Mail. Diese an einen Mitarbeiter adressierte E-Mail wurde an ein allgemeines Postfach des Unternehmens weitergeleitet. Dafür gab es keine Rechtsgrundlage und der Verantwortliche hatte keine Maßnahmen (TOM) implementiert, den Zugriff auf E-Mails zu regeln.
- Spanien, 9,000 EUR Bußgeld gegen einen unbenannten Verantwortlichen für die Veröffentlichung eines Fotos auf der Webseite ohne die Einwilligung der Betroffenen. Zudem wurden die Informationspflichten (Art. 13 DSGVO) bei Erhebung der Daten nicht erfüllt.
- Spanien, 200,000 EUR Bußgeld gegen Vodafone wegen Kontaktaufnahme via E-Mail trotz vorangegangenen Löschungsverlangens der Betroffenen. In Anbetracht der fehlenden Rechtsgrundlage im Einzelfall und zwei ähnlicher vorangegangener Fälle, wurde die Strafe verhängt. Da Vodafone einlenkte, wurde sie deutlich auf 120,000 EUR reduziert.
- Italien, 50,000 EUR Bußgeld gegen die Gesundheitsbehörde der Emilia-Romagna für unterlassene Sicherungsmaßnahmen (TOM). Krankenhausmitarbeiter haben Familienangehörige kontaktiert und ihnen Gesundheitsdaten mitgeteilt. Da es keine gültige Rechtsgrundlage gab, stellte dies eine Datenschutzverletzung dar. Der Verantwortliche hatte keine Maßnahmen zur Datenverwaltung und eventuellen Herausgabe getroffen.
- Italien, 30,000 EUR Bußgeld gegen eine Gesundheitsbehörde wegen der Verwendung eines Fingerabdrucksystems zur Anwesenheitskontrolle. Die Fingerabdrücke von 2,000 Mitarbeitenden wurden mit deren Personaldaten verknüpft und dazu genutzt, die Anwesenheitszeiten zu überwachen. Die verwendeten Einwilligungen der Mitarbeitenden waren zweifelhaft hinsichtlich ihrer Freiwilligkeit und der notwendigen Informationen an die Betroffenen. Die Aufsicht untersagte die weitere Datenverarbeitung.
- Italien, 300,00 EUR Bußgeld wegen unrechtmäßiger Verarbeitung personenbezogener Daten im Zusammenhang mit der Ausschüttung von COVID-19-Hilfen. Das Nationale Institut für Sicherheit (INPS) hatte Daten von Personen, die politische Positionen innehatten, mit Daten von Personen, die COVID-19-Hilfen beantragt hatten, abgeglichen. Dabei wurden Rechtmäßigkeit und Transparenz nicht ausreichend sichergestellt und eine angesichts der sensiblen Daten notwendige DSFA unterlassen.
Fazit
Aus der Zusammenstellung wird deutlich, dass die Kooperation mit der Aufsicht stets hohe Priorität hat. Die polnische Entscheidung zur Verantwortlichkeit für AV-Verträge ist für jeden Auftraggeber alarmierend, der sich auf die Dokumente der Dienstleister verlässt oder die entsprechenden Punkte ohne eigene Kontrolle vom Dienstleister ausfüllen lässt. Fehlende oder unzureichende Rechtsgrundlagen sind ein Klassiker, führen deshalb im Wiederholungsfall oder in Verbindung mit Daten nach Art. 9 DSGVO zu deutlich schärferen Maßnahmen der Aufsichtsbehörden. Die COVID-19-Pandemie machte viele Anpassungen und neue Perspektiven notwendig. Doch das Beispiel aus Italien zeigt eindrucksvoll, dass der Datenschutz durch die Pandemie nicht ausgesetzt wurde.
Stefan Effmert
Legal Advisor
Consultant Data Protection
Am 02.03.2021 teilte Microsoft mit, dass Schwachstellen in Microsoft Exchange-Servern (=E-Mail Server) aktiv durch Hacker ausgenutzt wurden und werden. Daraufhin stellte Microsoft ein Update für die Nutzer bereit.
Was ist passiert?
Durch vier Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) wurde es Hackern ermöglicht, Daten abzugreifen (z.B. E-Mail-Kommunikation) und sich dadurch ggfs. Zugang zum gesamten Unternehmensnetzwerk zu verschaffen und Schadsoftware auf den Systemen zu implementieren.
Der Hackerangriff betrifft laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ca. 9.000 in Deutschland ansässige Unternehmen. Das BSI schätzt die Bedrohung als sehr hoch ein und hat bereits damit begonnen, potenziell Betroffene zu informieren. Laut Microsoft sind von dem Hackerangriff keine Privatpersonen und deren Exchange Server betroffen.
Was ist jetzt zu tun?
Sofern noch nicht erfolgt, sollten Unternehmen umgehend die von Microsoft bereitgestellten Updates implementieren, um diese Schwachstellen zu schließen. Zudem sollte von den Systemadministratoren über das von Microsoft zur Verfügung gestellte Powershell-Skript geprüft werden, ob ein Exchange-Server bereits erfolgreich angegriffen wurde. Wenn bereits ein erfolgreicher Hackerangriff stattgefunden hat, muss das Unternehmen in den Incident Response Modus wechseln und entsprechende Nachforschungen betreiben.
Genauere Ausführungen zu den Schwachstellen und zum weiteren Vorgehen entnehmen Sie der: Sicherheitswarnung des BSI.
Laura Piater
Justiziarin
Consultant für Datenschutz
In Reportagen hört man immer wieder, wie Menschen auf Betrugsmaschen hereinfallen und dadurch große Geldsummen verlieren. Doch das Thema trifft nicht nur im privaten Bereich zu, sondern kann auch Mitarbeitern im Unternehmen passieren, denn die angewendeten Betrugsmaschen werden immer raffinierter.
Vishing
Beim so genannten Vishing (Kombination aus Voice und Phishing) gibt sich jemand als Person bzw. Unternehmen aus (Bsp. Experte, Mitarbeiter, Kundenunternehmen) und versucht im Gespräch Informationen über Passwörter, Geburtsdaten etc. zu erhalten. Ziel der Betrüger ist es dabei, sich Zugang zu den Daten des Unternehmens zu verschaffen für den anschließenden Datenklau.
Versierte Betrüger können durch das so genannte Caller ID Spoofing sogar den Eindruck vermitteln, von einer dem Angerufenen bereits bekannten Telefonnummer aus anzurufen. Den Betrügern gelingt es dadurch das Vertrauen der angerufenen Person zu gewinnen, um an die benötigten Informationen zu gelangen.
CEO-Fraud
Beim so genannten CEO Fraud gibt sich eine Person als Vorstandsmitglied, Geschäftsleitung oder anderen Führungsperson des eigenen Unternehmens aus. Per E-Mail oder Telefon sollen Mitarbeiter dazu bewegt werden, hohe Geldbeträge ins Ausland zu überweisen. Durch Informationen von der Homepage des Unternehmens sowie Social Media Inhalten erweckt der Betrüger den Anschein, über interne Informationen zu verfügen. Gepaart mit dem Anschein eines hohen Zeitdrucks kommen Mitarbeiter dem Zahlungswunsch schließlich nach.
Wie vermeidet man, dass Mitarbeiter auf den Betrug eingehen?
Oftmals wird die Wahrscheinlichkeit, auf diese oder ähnliche Betrugsmaschen hereinzufallen, von den Unternehmen als gering bewertet. In jedem Fall sind Unternehmen gut damit beraten, ihre Mitarbeiter regelmäßig hinsichtlich (aktueller) Betrugsmaschen zu sensibilisieren und Hilfestellungen in Form von Verhaltensweisen an die Hand zu geben (Bsp. keine Weitergabe von Passwörtern oder internen Informationen).
Zudem sind in die bestehenden Prozesse zum Zahlungsverkehr auch Kontrollmechanismen einzubauen, sodass der Betrug schnell erkannt wird und rechtzeitig gestoppt werden kann, sofern es notwendig werden sollte.
Laura Piater
Justiziarin
Consultant für Datenschutz
Seit Einführung der DSGVO werden Verstöße immer wieder mit hohen Bußgeldern geahndet. Auch die Deutsche Wohnen erhielt 2019 ein Bußgeld, welches nun vom Landgericht Berlin aufgehoben wurde.
Sachverhalt
Bei der Deutsche Wohnen handelt es sich um einen der größten Immobilienkonzerne in Deutschland. Im Rahmen der Vermietung werden viele personenbezogene Daten von Mietern und Interessenten verarbeitet.
Bereits im Jahr 2017 wurde die Deutsche Wohnen von der Aufsichtsbehörde auf Mängel hinsichtlich des Archivsystems hingewiesen. Bei einer erneuten Prüfung im Jahr 2019 konnte die Aufsichtsbehörde jedoch weiterhin gravierende Mängel feststellen.
Zum einen verstoße das Archivsystem der Deutsche Wohnen gegen den Grundsatz Privacy by Design gemäß Art 25 DSGVO, da das System die Löschung der personenbezogenen Daten nicht vorsieht. Dadurch befinden sich im Archivsystem Informationen, wie Gehaltsabrechnungen, Informationen aus den Arbeitsverträgen und Selbstauskünfte der Mieter. Der Vorwurf der Aufsichtsbehörde lautet weiter, dass von der Deutsche Wohnen nicht geprüft wurde, ob die Speicherung der personenbezogenen Daten rechtmäßig und erforderlich ist.
Die Aufsichtsbehörde verhängte daraufhin ein Bußgeld in Höhe von 14,5 Mio EUR gegen die Deutsche Wohnen. Dagegen legte die Deutsche Wohnen Einspruch ein, sodass das Landgericht Berlin mit dem Fall befasst war.
Entscheidung des Landgerichts Berlin
Das Landgericht Berlin stellte das Verfahren ein, weil der Bußgeldbescheid unwirksam sei (LG Berlin, Beschluss der 26. Großen Strafkammer v. 18.2.2021, Az.: 526 AR). Begründet hat das Landgericht Berlin die Unwirksamkeit damit, dass im Bußgeldbescheid keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens enthalten seien. Zu den Datenschutzverletzungen an sich hat sich das Landgericht Berlin dabei nicht geäußert.
Diese Entscheidung wirft jedoch auch neue Rechtsfragen auf. Insbesondere muss geklärt werden, ob eine konkrete Handlung von Leitungspersonen oder gesetzlichen Vertretern nachgewiesen werden muss, um entsprechende Verstöße gegen die DSGVO ahnden zu können.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat in der Presseerklärung vom 03. März 2021 bereits zu bedenken gegeben, dass viele Verstöße gegen die DSGVO in diesen Fällen nicht mehr geahndet werden können, da der Nachweis einer konkreten Handlung eines Organs des Unternehmens - insbesondere bei Unternehmen mit komplexen Konzernstrukturen - nicht möglich sein wird. In diesem Zusammenhang würden jedoch Unternehmen mit weniger komplexen Strukturen (v.a. kleine und mittelständische Unternehmen) benachteiligt werden.
Ausblick
Auch wenn das Landgericht Berlin das Verfahren eingestellt hat, bedeutet das noch nicht, dass die Deutsche Wohnen nicht doch noch ein Bußgeld zahlen muss.
Denn die Staatsanwaltschaft hat gegen die Entscheidung des Gerichts bereits Beschwerde eingelegt. Im weiteren Verfahren ist zu hoffen, dass das Gericht das Verhältnis zwischen DSGVO und dem deutschen Ordnungswidrigkeitenrecht klärt.
Laura Piater
Justiziarin
Consultant für Datenschutz
Auch wenn in dieser Hinsicht noch einige Fragen offen sind, nehmen die Verfahren zu Schadensersatzansprüchen nach der Datenschutzgrundverordnung (DSGVO) zu. Wir hatten hierzu auch bereits berichtet (siehe Blog "Datenschutz Bußgelder Anfang 2021"). Hier soll ein kurzer Überblick über die rechtliche Grundlage in § 82 DSGVO gegeben und diese anhand von Beispielen veranschaulicht werden.
Rechtliche Grundlage
Nach § 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.
Zu einem solchen Schaden können beispielsweise führen: Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, Verlust der Kontrolle über die personenbezogenen Daten oder Einschränkung der Rechte der betroffenen Personen, Verlust der Vertraulichkeit vom Berufsgeheimnis unterliegenden Daten oder finanzieller Verlust.
Unrechtmäßige Datenübermittlung an die Schufa
Das Landgericht Lüneburg hat einem Kläger wegen einer unrechtmäßigen Datenübermittlung an die Schufa Schmerzensgeld in Höhe von 1.000€ zugesprochen. Der Kläger hatte ein Bankkonto mit einem Dispokredit von 1.000€, den er um 20€ überschritt. Nachdem er von der Bank hierüber informiert wurde, glich er die überzogenen 20€ aus. Die Bank meldete der Schufa danach trotzdem die Überziehung des Kontos.
Damit verstieß die Bank gegen die DSGVO, da sie kein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) an der Datenübermittlung hatte. Für den Schaden ließ es das LG Lüneburg – im Gegensatz zu anderen Gerichten, die eine schwerwiegende Persönlichkeitsverletzung fordern – schon ausreichen, dass die unrichtige Meldung an die Schufa negativen Einfluss auf die wirtschaftliche Handlungsfreiheit des Kunden haben könnte, auch wenn die Falschmeldung bis zur Berichtigung nur 2 Wochen bestanden habe.
Falscher E-Mail-Empfänger
Das Landgericht Darmstadt hat einem Kläger 1.000€ Schmerzensgeld wegen einer falsch versandten Nachricht zugesprochen. Die Beklagte wollte dem Kläger, der sich bei ihr beworben hatte, eine Nachricht über Xing schicken, in der es um die Gehaltsvorstellungen des Klägers ging, versandte sie aber an eine dritte Person. Für diese Datenverarbeitung (= Versand der Nachricht) bestand jedoch keine Rechtsgrundlage, sodass ein Datenschutzverstoß vorlag. Zusätzlich lag ein Verstoß gegen Art. 34 DSGVO vor, da ein hohes Risiko für die persönlichen Rechte und Freiheiten des Klägers bestand und die Beklagte den Kläger nicht unverzüglich benachrichtigte.
Unberechtigter Versand von Gesundheitsdaten
Das Arbeitsgericht Dresden hat einem Kläger 1.500€ Schmerzensgeld zugesprochen, weil die Prokuristin des Unternehmens der Ausländerbehörde und der Arbeitsagentur in einer E-Mail mitteilte, dass ein ausländischer Beschäftigter des Unternehmens arbeitsunfähig erkrankt sei und listete die Krankheitszeiten auf. Dabei handelt es sich um Gesundheitsdaten, sodass ein Verstoß gegen Art. 9 Abs. 1 DSGVO vorlag. Der immaterielle Schaden lag in der Rufschädigung des Beschäftigten und im Kontrollverlust über seine personenbezogenen Daten.
Fazit
Anhand dieser Fälle lässt sich gut erkennen, dass alltägliche Vorkommnisse, die von einigen bestimmt als „nicht so schlimm“ bewertet werden würden, durchaus (erhebliche) Auswirkungen auf die betroffenen Personen haben und somit auch einen Schadensersatzanspruch nach der DSGVO begründen können.
Seien Sie deshalb vorsichtig bei Datenverarbeitungen und prüfen Sie vor einer Datenübermittlung gewissenhaft, ob sie hierzu berechtigt sind und es sich auch um den richtigen Empfänger handelt.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Datenpannen sind in der Regel nach Art. 33 Abs. 1 Satz 1 DSGVO meldepflichtig, es sei denn, sie führen voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Person. Eine meldepflichtige Datenpanne muss vom Verantwortlichen innerhalb von 72 Stunden nach dessen Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet werden.
Oft stellt sich jedoch die Frage: Ab wann wird eine Datenpanne dem Verantwortlichen überhaupt bekannt?
Mehrere Landesbeauftragte für Datenschutz und Informationsfreiheit haben sich mittlerweile zu dieser Frage geäußert.
Der Landesbeauftragte in Bayern hat sich zur Kenntniszurechnung in Behörden geäußert. Nach dessen Ansicht wird das meldepflichtige Ereignis jedenfalls dann bekannt, wenn bestimmte Funktionseinheiten bzw. bestimmte Funktionsträger Kenntnis von dem in Rede stehenden Vorfall erlangen. Klargestellt wurde, dass dem Verantwortlichen nicht das Wissen des behördlichen Datenschutzbeauftragten zuzurechnen ist.
Der Landesbeauftragte in Hamburg vertritt die Ansicht, dass es für die Kenntnis bereits genügt, dass eine beliebige Person im Unternehmen oder der Behörde Kenntnis von dem Vorfall erlangt.
Nach Ansicht der Landesbeauftragten des Saarlandes begründet die positive Kenntnisnahme der Datenschutzverletzung durch den Verantwortlichen den Fristbeginn für die 72 Stunden. Dem Verantwortlichen ist dabei die Kenntnis desjenigen Mitarbeiters/derjenigen Mitarbeiterin zuzurechnen, der/die nach der internen Organisation für die Verarbeitung personenbezogener Daten verantwortlich ist oder von dem dies aufgrund seiner Stellung im Unternehmen erwartet werden kann.
Kenntnis gilt folglich eher früher als erlangt als später. Darauf sollten sich die Unternehmen einstellen. Folgt man der strengeren Ansicht aus Hamburg, so kann die Kenntnis eines jeden Mitarbeiters ausreichen, um die Frist in Gang zu setzen. Schaffen Sie also in Ihrem Unternehmen immer ein ausreichendes Risikobewusstsein bei allen Ihren Mitarbeitern im Umgang mit Daten und Datenpannen.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Die große Bußgeldwelle nach Inkrafttreten der europäischen Datenschutzgrundverordnung im Jahr 2018 ist ausgeblieben. Jetzt, fast drei Jahre danach steigt die Zahl der erfassten Verstöße und die damit verbundenen Bußgelder stetig. Im Jahr 2020 verhängten die europäischen Bußgeldbehörden gemeinsam Bußgelder in Höhe von 158,5 Millionen € wegen Verstößen gegen das europäische Datenschutzrecht.
Schaut man sich die Zahlen der erfassten Verstöße an, sieht man einen deutlichen Zuwachs im Vergleich zu den Jahren zuvor, seit Mai 2018. Tatsächlich stieg die Zahl um 39%!
Im europäischen Vergleich sind, wie auch vor der DSGVO deutliche Unterschiede zu erkennen. Nicht nur die Zahlen der Verstöße, gerade der unterschiedliche Umgang mit diesen wird deutlich.
Die meisten Verstöße sind mit 77.747 Fällen in Deutschland dokumentiert. Bezieht man die gemeldeten Verstöße aber auf die Einwohnerzahl, liegt Dänemark mit 155,6 gemeldeten Verstößen pro 100.000 Einwohner vor allen anderen Mitgliedstaaten. Aus diesen Zahlen sollte man allerdings nicht voreilig folgern, dass in Deutschland oder Dänemark ein besonders niedriges Datenschutzniveau herrscht.
Zum Vergleich: Im gleichen Zeitraum gab es in Frankreich 5389 und in Italien lediglich 3460 geahndete Fälle. Interessanterweise belegt Italien aber bei der Gesamtsumme von verhängten Bußgeldern den ersten Platz mit insgesamt 69 Millionen Euro.
Dies macht deutlich wie unterschiedlich die DSGVO durch die Datenschutz- und Bußgeldbehörden ausgelegt wird. Denn oftmals bedeutet die Meldung eines Datenschutzvorfalls nicht gleich ein Bußgeld für den Verantwortlichen.
Fazit:
Die Höhe und der Anstieg der geahndeten Fälle und die Summe der verhängten Bußgelder zeigt, dass die Zeit der nachsichtigen Aufsichts- und Bußgeldbehörden ein Ende nimmt. Unternehmen hatten ausreichend Zeit ihr Datenschutzmanagement aufzustellen und damit die Rechte der betroffenen Personen zu schützen.
Im Jahr 2021 ist davon auszugehen, dass es erneut zu mehr Bußgeldern kommen wird. Die Probleme, welchen sich Unternehmen aufgrund des Coronavirus gegenübersahen, werden dieses Jahr nicht mehr als Ausrede taugen, sodass gegen datenschutzrechtliche Verstöße konsequenter vorgegangen werden muss.
Jan Brinkmann
Consultant für Datenschutz
Volljurist
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat der notebooksbilliger.de AG ein Bußgeld in Höhe von 10,4 Millionen Euro wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) auferlegt.
Das Unternehmen hat seine Beschäftigten über einen Zeitraum von mindestens zwei Jahren per Video überwacht, wobei die Kameras u.a. Lager, Verkaufsräume, Arbeitsplätze und Aufenthaltsbereiche erfassten. Eine Rechtsgrundlage für diese Überwachung gab es nicht.
Ziel der Videoüberwachung sei laut dem Unternehmen die Verhinderung und Aufklärung von Straftaten sowie eine Nachverfolgung des Warenflusses in den Lagern gewesen. Eine Videoüberwachung zur Aufdeckung von Straftaten kann jedoch nur rechtmäßig sein, wenn tatsächliche Anhaltspunkte den Verdacht begründen, dass eine konkrete Person eine Straftat begangen hat. Ein Generalverdacht reicht nicht aus. Ferner ist bei einem begründeten Verdacht nur eine zeitlich begrenzte Überwachung angezeigt. Die Videoüberwachung bei notebooksbilliger.de war jedoch weder auf einen bestimmten Zeitraum noch auf konkrete Personen beschränkt. Die Aufzeichnungen wurden zudem teilweise 60 Tage gespeichert und damit laut LfD Niedersachsen deutlich länger als erforderlich. In der Regel sind die Daten innerhalb von 2 bis 3 Tagen (max. 72 Stunden) nach Erhebung zu löschen, da es zumutbar ist, in diesem Zeitraum zu klären, ob eine Sicherung des Materials notwendig ist.
Einige Kameras waren auch auf Sitzgelegenheiten im Verkaufsraum gerichtet, sodass von der unzulässigen Videoüberwachung neben den Beschäftigten auch Kunden und Kundinnen des Unternehmens betroffen waren. Die Landesbeauftragte führte aus, dass die betroffenen Personen in Bereichen, in denen sich Menschen typischerweise länger aufhalten, z.B. um die angebotenen Geräte ausgiebig zu testen, hohe schutzwürdige Interessen haben. Dies gelte besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen.
Sie betonte außerdem, dass es sich hierbei um einen schwerwiegenden Fall der Videoüberwachung im Betrieb handele und Unternehmen verstehen müssen, dass sie damit massiv gegen die Rechte ihrer Mitarbeiter und Mitarbeiterinnen verstoßen.
Bei dem Bußgeld in Höhe von 10,4 Millionen handelt es sich um das bisher höchste Bußgeld, das Niedersachsen seit Inkrafttreten der DSGVO ausgesprochen hat. Der Bußgeldbescheid ist jedoch noch nicht rechtskräftig, da notebooksbilliger.de hiergegen Einspruch eingelegt hat.
Nach der Verhängung des bisher höchsten Bußgeldes in Deutschland in Höhe von 35,3 Millionen Euro im letzten Jahr, zeichnet sich auch durch diese Entscheidung der LfD Niedersachsen ab, dass die Aufsichtsbehörden ihr Vorgehen bei Datenschutzverstößen verschärfen. Prüfen Sie daher auch in Ihrem Unternehmen sorgfältig, ob Sie die Vorgaben der DSGVO einhalten.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Nachdem Großbritannien die EU zum 31.01.2020 verlassen hat und die anschließende Übergangsphase zum 31.12.2020 endete, wurden Unternehmen erneut vor die Frage des richtigen Umgangs beim Datentransfer mit Großbritannien gestellt.
Situation ab 01.01.2021
Am 24.12.2020 hat Großbritannien mit der EU das EU- UK Handels- und Kooperationsabkommen vereinbart (Zustimmung des Europaparlaments noch ausständig), worin eine neue Übergangsphase vereinbart wurde.
Das Abkommen besagt, dass unter den derzeitig geltenden Datenschutzregelungen Großbritanniens Datenübermittlungen zwischen Großbritannien und EU- Mitgliedsstaaten nicht als Datenübermittlungen in Drittstaaten angesehen werden.
Das bedeutet für Unternehmen mit Sitz innerhalb der EU, dass für die Datenübermittlung mit Großbritannien keine zusätzlichen Vereinbarungen geschlossen werden müssen. Es kann vorerst so verfahren werden wie bei Datentransfers innerhalb der EU.
Das Abkommen gilt zunächst für 4 Monate ab in Kraft treten und kann automatisch um zwei weitere Monate verlängert werden, wenn seitens der Vertragsparteien keine Einwände bestehen.
Situation nach Ablauf des Abkommens
Nach Ablauf des Abkommens ist Großbritannien dann aus datenschutzrechtlicher Sicht ein Drittstaat, für den die besonderen Regelungen der Art. 44 bis 49 DSGVO gelten. Um weiterhin unproblematisch den Datenaustausch zwischen den Partnern zu gewährleisten wäre es wünschenswert, wenn Großbritannien ebenso als „Drittland mit angemessenem Schutzniveau“ eingestuft würde wie etwa die Schweiz. Bis zum Ende der Übergangsfrist sollte die EU-Kommission über einen Angemessenheitsbeschluss gem. Art. 45 DSGVO entscheiden.
Sofern es bis zum Ablauf der Übergangsfrist noch keinen Angemessenheitsbeschluss für Großbritannien geben sollte, müssen Datentransfers entsprechend abgesichert werden (Bsp. Standarddatenschutzklausel, Binding Corporate Rules).
Fazit
Zunächst müssen aus datenschutzrechtlicher Sicht keine unmittelbaren Maßnahmen eingeleitet werden, wenn im Unternehmen Daten mit Großbritannien ausgetauscht werden. Allerdings sollte das Bewusstsein geschaffen werden, dass das Land zukünftig als Drittstaat gelten kann, um im Zweifelsfall rasch auf die veränderte Situation reagieren zu können.
Laura Piater
Justiziarin
Consultant für Datenschutz
Das Landesgericht Köln hat mit seinem Urteil vom 14.09.2020 (2 Sa 358/20) entschieden, dass die Kostenregelung aus § 12a ArbGG auch für Schadensersatzansprüche sowie Beseitigungsansprüche aus der DSGVO gilt.
§12a ArbGG regelt die Kostentragungspflicht im ersten Rechtszug vor dem Arbeitsgericht und sieht vor, dass kein Anspruch der obsiegenden Partei auf Entschädigung wegen Zeitversäumnis und auf Erstattung der Kosten für die Zuziehung eines Prozessbevollmächtigten oder Beistandes besteht.
Mit der Geltendmachung eines Beseitigungsanspruchs nach Art. 17 DSGVO und Geltendmachung von Schadensersatz nach Art. 82 DSGVO im Rahmen einer arbeitsrechtlichen Auseinandersetzung vor dem Arbeitsgericht Köln wurde der Klägerin Schadensersatz i.H.v. 300,00 € zugesprochen. Sie ging damit gegen ihre vorherige Arbeitgeberin vor, welche unbeabsichtigt, aber auch unbefugt, eine PDF mit personenbezogenen Daten der Klägerin auf ihrer Webseite auch nach Beendigung des Arbeitsverhältnisses veröffentlicht hielt. Hinsichtlich des geltend gemachten Kostenerstattungs- und Freistellungsanspruchs verlor sie und legte Berufung ein.
Neben der Feststellung, dass die Intensität der Rechtsverletzung marginal war, bestätigte das Landgericht im Berufungsverfahren die Entscheidung des Arbeitsgerichts und lehnte ebenfalls die volle Höhe des verlangten Schadensersatzes ab.
Aus Sicht der Klägerin müsse § 12a ArbGG im Zusammenhang mit Schadensersatzansprüchen aus Art. 82 DSGVO wegen der Unabdingbarkeit der DSGVO als europäische Verordnung unangewendet bleiben. Diese verlangte neben dem primären Schadensersatz aufgrund der Rechtsverletzung der Beklagten, auch die Kosten für die Zuziehung ihrer Prozessbevollmächtigten erstattet.
Dieser Ansicht ist das Landgericht nicht gefolgt und wies die Berufung mit folgender Begründung ab.
Das Gericht legt dar, dass die Schadensersatzansprüche der DSGVO ausschließlich den primären Schadensersatz begründen. Also Ersatz des Schadens, welcher durch den Verstoß gegen die DSGVO entstanden ist. Weitere Kosten die entstehen, wie Anwalts- und Prozesskosten, werden durch Art. 82 DSGVO nicht erfasst, sondern werden durch nationales Recht geregelt (Vgl. Kommentierung von Däubler 2. Aufl. EU DSGVO, Art. 82 Rn. 14 sowie Plath Becker, 2. Aufl., BDSG/DSGVO Art. 82 Nr. 8).
Hinzu kommt, nach Auffassung des Gerichts, dass der Schadensersatzanspruch dadurch nicht eingeschränkt wird oder es zu einer Benachteiligung der Arbeitsnehmer kommt. § 12a ArbGG schützt ja gerade den Arbeitnehmer. Verlangt der Arbeitnehmer nämlich zu viel Schadensersatz im ersten Rechtszug und verliert zumindest teilweise, kommt ihm die Norm aus dem ArbGG hinsichtlich der zu erstatteten den Kosten zu Gute.
Bezüglich der Anwendbarkeit von § 12a ArbGG im Zusammenhang mit dem Beseitigungsanspruch aus Art. 17 DSGVO führt das Landgericht aus, dass die Prozessnorm den Beseitigungsanspruch nicht ausgestaltet. Er regelt lediglich die Kosten des Beseitigungsanspruch, wozu es in der DSGVO keine Regelungen gibt, sodass es bei den allgemeinen deutschen Regeln zur Kostenverteilung verbleibt.
Fazit:
Mithin stellt das Landgericht fest, dass nationale prozessrechtliche Regelungen sehr wohl bei Geltendmachung von Ansprüchen auf Grundlage der DSGVO anwendbar sind. „Das materielle deutsche Prozessrecht behalte seine Geltung“. Dieses Urteil und weitere Urteile (siehe auch Landgericht Köln, 28 O 71/20) zeigen, dass eine uferlose Haftung auf Grundlage der DSGVO vermieden werden soll.
Handlungsbedarf für das Datenschutzmanagement löst das Urteil nicht aus. Im konkreten Fall sollte es aber in die Abwägung mit einfließen, da es Folgen für die Beurteilung der Risiken im Zusammenhang mit Datenschutz und gerichtlichen Prozessen zwischen Arbeitgeber und Arbeitnehmer haben kann.
Jan Brinkmann
Consultant für Datenschutz
Volljurist