Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat ein Bußgeld in bis zu zweistelliger Millionenhöhe wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) angekündigt. Aus rechtlichen Gründen im laufenden Verfahren konnte die Sprecherin der Berliner Datenschutzbeauftragten jedoch nicht sagen, um welches Unternehmen es sich handelt.
Erst kürzlich hat die Berliner Datenschutzbeauftragte gegen ein ebenfalls nicht genanntes Unternehmen zwei Bußgelder in Höhe von insgesamt 200.000 Euro verhängt.
Bislang wurden durch die Datenschutzbeauftragten der Länder deutlich geringere Bußgelder erlassen. Die bislang höchsten Bußgelder wurden in Baden-Württemberg (80.000 Euro) und Berlin (50.000 Euro) verhängt. In Baden-Württemberg waren Gesundheitsdaten betroffen, in Berlin hatte eine Online-Bank unbefugt Daten ehemaliger Kunden verarbeitet.
Vielen Unternehmen ist gar nicht klar, welche Verstöße gegen die DSGVO überhaupt bußgeldbewehrt sind. Dies ist im Bußgeldkatalog der Art. 83 Abs. 4-6 DSGVO geregelt.
Art. 83 Abs. 4 DSGVO sieht ein Bußgeld in Höhe von bis zu 10 Millionen Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens vor. Entscheidend ist dabei der höhere von beiden Beträgen. Ein solches Bußgeld kommt u.a. bei den folgenden Verstößen in Betracht:
- Nichtvorhandensein datenschutzfreundlicher Technikgestaltung und Voreinstellungen
- Fehlen von Joint-Control- oder Auftragsverarbeitungsverträgen
- Fehlendes Verzeichnis von Verarbeitungstätigkeiten
- Mangelnde Zusammenarbeit mit der Aufsichtsbehörde
- Unzureichende technische und organisatorische Maßnahmen
- Unterlassene Meldungen von Datenschutzverletzungen
- Nicht durchgeführte Datenschutz-Folgenabschätzung
- Fehlende Bennenung eines Datenschutzbeauftragten und fehlende Veröffentlichung der Kontaktdaten und Meldung an die Aufsichtsbehörde
Art. 83 Abs. 5 DSGVO gibt einen Bußgeldrahmen von bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens vor, wobei auch hier der höhere Betrag entscheidend ist. Ein solches Bußgeld kommt u.a. bei den folgenden Verstößen in Betracht:
- Nichteinhaltung der Grundsätze der Verarbeitung (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Datenrichtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit)
- Nichteinholen einer erforderlichen Einwilligung
- Verstoß gegen die Rechte der betroffenen Personen (Informationspflichten, Recht auf Auskunft, Datenübertragung, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht)
- Übermittlung personenbezogener Daten an Empfänger in Drittländer
- Nichtbefolgung einer Anweisung der Aufsichtsbehörde
Die Höhe des Bußgeldes orientiert sich u.a. nach den folgenden Kriterien:
- Art, Schwere und Dauer des Verstoßes (berücksichtigt wird Art, Umfang oder Zweck der Verarbeitung, Zahl der betroffenen Personen, Ausmaß des erlittenen Schadens)
- Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
- Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
- Grad der Verantwortlichkeit unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen
- Frühere Verstöße
- Umfang der Zusammenarbeit mit der Aufsichtsbehörde
- Kategorieren betroffenener personenbezogener Daten
- Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde
- Einhaltung der in Bezug auf denselben Gegenstand bereits angeordneten Maßnahmen
Die Einhaltung der Vorschriften der DSGVO ist daher zur Vermeidung von Bußgeldern unerlässlich.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Die Datenschutzgrundverordnung (DSGVO) ist gut ein halbes Jahr alt. Die anfängliche Aufregung war spürbar, doch seit ein paar Monaten ist es ruhiger geworden um die DSGVO. Nun wurde aber das erste ernstzunehmende europäische Bußgeld für Google erlassen.
Google soll in Frankreich insgesamt 50 Millionen Strafe zahlen. Die französische Datenschutzbehörde CNIL stellte eine Vielzahl von Verstößen gegen die DSGVO fest.
Informationen zur Verarbeitung der erhobenen Daten und der Speicherdauer sind für die Nutzer nur schwer zugänglich, erklärte die französische Datenschutzbehörde am Montag. Die Informationen sind in mehreren Dokumenten verteilt. Auch ist Vieles unklar formuliert.
Zudem ist nach Ansicht der Aufsichtsbehörde die von Google eingeholte Einwilligung zur Anzeige von personalisierter Werbung nicht rechtskonform. Die Einwilligenden werden nicht ausreichend informiert.
Google wolle nun nach einer ausführlichen Prüfung des Bescheides die Transparenz bzgl. der Daten erhöhen.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Was ist Whistleblowing?
Beim Whistleblowing geht es darum, Mitarbeitern in einem Unternehmen die Möglichkeit zu geben, zu melden, wenn sie bei Kollegen verbotenes Verhalten feststellen. Banken sind verpflichtet, einen Whistleblowing-Prozess einzuführen. Andere Branchen müssen dies im Rahmen der Korruptionsbekämpfung.
Was hat Whistleblowing mit Datenschutz zu tun?
Mit der Meldung von Verstößen müssen üblicherweise personenbezogene Daten erhoben, verarbeitet und genutzt werden. So kommt eine Meldung nicht ohne Angabe der Beschuldigten, etwaiger Zeugen und ggf. auch des Meldenden aus. Neben der möglichen Weiterleitung an Strafverfolgungsbehörden kann es sein, dass die so erhobenen Daten innerhalb des Konzerns und damit verbunden in Drittstaaten übermittelt werden.
Rechtsgrundlagen
Auch für den Datenverarbeitungsvorgang des Whistleblowings muss eine Rechtsgrundlage gegeben sein. Dafür kann Art. 88 Abs.1 DSGVO, § 26 Abs. 1 S. 2 BDSG herangezogen werden, wonach zur Aufdeckung von Straftaten Beschäftigtendaten unter bestimmten Voraussetzungen erhoben und verarbeitet werden dürfen. Nach Auffassung der Aufsichtsbehörden sollte der Hinweisgeber anonym bleiben oder seine Daten nur mit seiner informierten Einwilligung verarbeitet werden, Art. 6 Abs. 1 lit. a) DSGVO, § 26 Abs. 2 BDSG.
Mitarbeiterinformation
Regelungen über das Whistleblowing (z.B. Betriebsvereinbarungen) müssen im Unternehmen bekannt gemacht werden und zwar so, dass es für alle Arbeitnehmer möglich ist, ohne großen Aufwand vom Inhalt der Regeln Kenntnis zu bekommen. Die Betroffenenrechte wie Auskunftsrecht, das Berichtigungsrecht und das Löschungsrecht sind in diesem Zusammenhang nochmal deutlich zu erwähnen.
Information der Beschuldigten
Über Ermittlungen aufgrund von Whistleblower-Meldungen sind beschuldigte Personen gem. Art. 14 DSGVO umfassend zu informieren. Die Information an den Beschuldigten darf nach Art. 14 Abs. 5 lit. b) DSGVO zurückgehalten werden, wenn der Ermittlungserfolg durch eine frühzeitige Information gefährdet wäre. Allerdings muss der Verantwortliche seine Informationspflicht nachholen, wenn die Gefährdungslage nicht mehr gegeben ist. Dies ergibt sich aus Art. 14 Abs. 5 lit. b) S. 2 DSGVO, wonach der Verantwortliche geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen des Beschuldigten ergreifen muss.
Löschung
Unverzügliche Datenlöschung bei unbegründeter Meldung, ansonsten spätestens 2 Monate nach Beendigung des Untersuchungsverfahrens. Eine längere Speicherung ist nur bei der Durchführung eines Disziplinar- oder Strafverfahrens möglich. Wird ein Sachverhalt gemeldet, der den Verdacht einer Straftat begründet, dürfen die Daten für die Dauer der Untersuchung bzw. solange aufbewahrt werden bis sich daran anschließende rechtliche Maßnahmen und Verfahren abgeschlossen sind.
Maßnahmen vor Einführung des Whistleblowings
- Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
- Aufnahme ins Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Abs.1 DSGVO
- Erfüllung von Informationspflichten Art. 13, 14 DSGVO
- Betriebsrat beteiligen
- Falls ein Dienstleister beteiligt ist (Anbieter eine Hotline) ADV mit dem Dienstleister nach Art. 28 DSGVO abschließen
- Regellöschfristen festlegen
Michaela Dötsch
Rechtsanwältin