Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat ein Bußgeld in bis zu zweistelliger Millionenhöhe wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) angekündigt. Aus rechtlichen Gründen im laufenden Verfahren konnte die Sprecherin der Berliner Datenschutzbeauftragten jedoch nicht sagen, um welches Unternehmen es sich handelt.
Erst kürzlich hat die Berliner Datenschutzbeauftragte gegen ein ebenfalls nicht genanntes Unternehmen zwei Bußgelder in Höhe von insgesamt 200.000 Euro verhängt.
Bislang wurden durch die Datenschutzbeauftragten der Länder deutlich geringere Bußgelder erlassen. Die bislang höchsten Bußgelder wurden in Baden-Württemberg (80.000 Euro) und Berlin (50.000 Euro) verhängt. In Baden-Württemberg waren Gesundheitsdaten betroffen, in Berlin hatte eine Online-Bank unbefugt Daten ehemaliger Kunden verarbeitet.
Vielen Unternehmen ist gar nicht klar, welche Verstöße gegen die DSGVO überhaupt bußgeldbewehrt sind. Dies ist im Bußgeldkatalog der Art. 83 Abs. 4-6 DSGVO geregelt.
Art. 83 Abs. 4 DSGVO sieht ein Bußgeld in Höhe von bis zu 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens vor. Entscheidend ist dabei der höhere von beiden Beträgen. Ein solches Bußgeld kommt u.a. bei den folgenden Verstößen in Betracht:
- Nichtvorhandensein datenschutzfreundlicher Technikgestaltung und Voreinstellungen
- Fehlen von Joint-Control- oder Auftragsverarbeitungsverträgen
- Fehlendes Verzeichnis von Verarbeitungstätigkeiten
- Mangelnde Zusammenarbeit mit der Aufsichtsbehörde
- Unzureichende technische und organisatorische Maßnahmen
- Unterlassene Meldungen von Datenschutzverletzungen
- Nicht durchgeführte Datenschutz-Folgenabschätzung
- Fehlende Bennenung eines Datenschutzbeauftragten und fehlende Veröffentlichung der Kontaktdaten und Meldung an die Aufsichtsbehörde
Art. 83 Abs. 5 DSGVO gibt einen Bußgeldrahmen von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens vor, wobei auch hier der höhere Betrag entscheidend ist. Ein solches Bußgeld kommt u.a. bei den folgenden Verstößen in Betracht:
- Nichteinhaltung der Grundsätze der Verarbeitung (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Datenrichtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit)
- Nichteinholen einer erforderlichen Einwilligung
- Verstoß gegen die Rechte der betroffenen Personen (Informationspflichten, Recht auf Auskunft, Datenübertragung, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht)
- Übermittlung personenbezogener Daten an Empfänger in Drittländer
- Nichtbefolgung einer Anweisung der Aufsichtsbehörde
Die Höhe des Bußgeldes orientiert sich u.a. nach den folgenden Kriterien:
- Art, Schwere und Dauer des Verstoßes (berücksichtigt wird Art, Umfang oder Zweck der Verarbeitung, Zahl der betroffenen Personen, Ausmaß des erlittenen Schadens)
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
- Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
- Grad der Verantwortlichkeit unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
- Frühere Verstöße
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde
- Kategorieren betroffenener personenbezogener Daten
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde
- Einhaltung der in Bezug auf denselben Gegenstand bereits angeordneten Maßnahmen
Die Einhaltung der Vorschriften der DSGVO ist daher zur Vermeidung von Bußgeldern unerlässlich.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz